사이버安保法制에 있어 個人情報權 制限의 基準과 限界

김법연 고려대학교 정보보호대학원 2020 국내박사

사이버안보에 관한 여러 쟁점과 이슈는 기술의 발전과 사회의 변화에 따라 개혁을 반드시 필요로 하는 매우 중요한 문제이다. 특히 사이버안보에 대한 원칙과 예외를 정하는 것은 법제도가 반드시 풀어야 하는 과제라 할 수 있다. 모든 사이버상의 제도적 이슈들이 그러하듯 사이버안보의 문제 또한 전통적 군사안보와 물리적 차원의 국가안보를 다루던 방식으로는 대응이 불가능하기 때문이다. 특히 IT인프라가 고도로 갖추어진 우리나라의 상황에서 사이버위협에 대한 대응체계를 마련하는 것은 아무리 강조해도 지나침이 없을 것이다. 그간 우리는 사이버안보에 관한 다양한 이슈들에 대하여 법제도적 근간을 마련하기 위하여 많은 노력을 하였지만, 오랜 기간의 논의 속에서도 특별한 해법을 찾지 못하고 있다. 사이버안보를 둘러싼 갈등요소들이 다양하게 전개되고 있지만, 그 중 가장 첨예하게 대립하고 있는 것은 개인정보권 침해에 대한 문제이다. 국가의 사이버안보 활동이 강화될수록 개인의 프라이버시와 개인정보권이 침해되며, 대규모의 국가감시가 실시될 것이라는 우려에서이다. 국가안보의 정도는 군사력과 물리력의 우위에 따라 결정되기도 하지만 정보력에 의한 안보의 확보에서 결정적 차이를 유발시킨다. 사이버상에서의 안보활동은 특히 정보수집의 역량이 절대적 역할을 하기 때문이다. 사이버공격이 어느 시점에 누구에 의하여 어떤 위력으로 나타날 것인지 예측이 어려우며, 그 피해 또한 한정적이지 못하기 때문에 위협정보를 인지하고 이를 사전에 예방하는 것이 가장 중요하다. 이러한 이유로 사이버안보의 법제는 국가로 하여금 사이버상에서의 다양한 정보수집 혹은 정보공유의 활동을 정당화시키게 된다. 한편, 데이터시대에 살고 있는 현대시민들은 매일 다양한 개인과 관련한 데이터를 만들어낸다. 그것이 자의적이든 타의적이든 데이터를 생산하고 또 누군가에게 그 정보를 제공한다. 통신사업자, 신용카드회사, 웨어러블 기기 사업자 등은 매일 개인이 통화한 기록, 물건을 구입한 기록, 이동한 위치의 기록을 보유하고 있다. 이렇게 축적된 정보들로 기업의 능력은 과거의 어느 때보다 커지게 되었으며, 이는 정부도 마찬가지이다. 사이버안보를 위한 국가의 정보수집 활동이 강화되었고, 국민 대다수의 개인정보와 사생활에 대하여 접근이 가능해졌다. 국가의 안전보장을 이유로 국가로 하여금 개인의 삶을 집합적으로 자세히 들여다 볼 수 있는 기회를 주게 된 것이다. 이러한 이유로 사이버안보와 개인정보권과의 갈등관계가 발생한다. 그러나 문제는 사이버안보의 활동과 개인정보권과의 갈등관계에서 개인정보권이 지나치게 침해되고 있는 불균형의 상황이라는 점이다. 오늘날의 기술이 국가는 물론 기업에게 엄청난 양의 정보를 수집할 수 있는 기능을 주었고, 이는 대량감시를 할 수 있는 기회가 되었다. 2013년 에드워드 스노든(Edward Snowden)은 이와 같은 국가의 대량감시가 우려가 아닌 현실임을 알게 해주었다. 우리는 국가감시가 인종, 종교, 정치적 신념 등을 이유로 차별을 가능하게 하고, 사람들이 보는 것과 하는 것, 말하는 것, 나아가 생각하는 것까지 통제하는 것에 이용될 수 있다는 것을 그간의 경험으로 익히 알고 있다. 그리고 이는 결국 민주주의에 대한 도전이 된다. 국가안보를 위한 정보의 수집활동 자체가 문제가 되는 것은 아니다. 문제는 이를 어떤 방식과 수단으로 가능하게 할 것인지에 대한 합의가 아직 이루어지지 못하였다는 점이다. 우리 헌법 질서는 국가안보를 위하여 국가로 하여금 개인의 기본권을 침해하는 것을 허용하고 있다. 그러나 그 행위가 허용되기 위해서는 개인의 기본적 권리의 본질적 요소를 침해하지 않아야 한다. 따라서 국가의 안전보장 활동을 보장하면서도 개인의 기본권을 합리적으로 제한할 수 있는 균형감 있는 제도의 설계가 필요하다. 이에 본 연구는 사이버안보와 개인정보권이라는 양 법익의 균형과 조화를 위해서 사이버안보법제에서의 개인정보권 제한의 기준과 한계에 대해서 다루었다. 기술과 사회의 변화 속에서 사이버위협으로부터 국가와 국민을 안전하게 보호하고 이에 따라 개인의 기본적 권리인 개인정보권을 얼마나 제한할 수 있는지에 대하여 합의가 필요한 시점이다.

국내 금융분야 마이데이터 정책의 개인정보보호 강화방안 연구 : 유럽 PSD2 사례로 살펴본

송미정 고려대학교 정보보호대학원 2020 국내석사

데이터 기반 경제시대에서 데이터 활용능력이 경쟁력이 됨에 따라 개인정보의 보호와 더불어 개인정보의 활용을 통한 경제적 부가가치를 창출하려는 노력이 함께 강조되고 있다. 이 가운데 등장한 금융분야 마이데이터 정책은 정보 주체인 개인의 자기정보통제권을 강화하고, 혁신적인 상품과 서비스를 제공하는 핀테크 업체 등이 금융 시장에 진입하여 대형 은행들과 공평하게 경쟁함으로써 금융 산업의 효율성과 경쟁력을 크게 제고할 것으로 기대된다. 하지만 이러한 정책 시행으로 개인의 소중한 금융 데이터 및 관련 정보가 금융기관에서 제3자 회사로 이동함에 따른 데이터 프라이버시와 해 킹 등의 보안사고 위험이 커진 것도 사실이다. 본 연구에서는 전 세계 오픈뱅킹의 시초가 된 EU의 PSD2(the Second Payment Service Directive) 제도와 규제적 기술기준인 RTS(Regulatory Technical Standards)의 내용을 중심으로 국내 금융분야 마이데이터 정책들을 비교해보고, 금융분야 마이데이터 정책의 개인정보보호 및 보안 위험요소들을 개인정보 생명주기(Lifecycle)별로 나누어 분석해 보았다. 금융분야 마이데이터 정책의 개인정보 보호 및 보안 위험 요소는 크게 3가지로 나누어 볼 수 있다. 첫째 데이터 수집단계에서 정보 주체자의 동의와 관련된 위험, 둘째 데이터 제공 및 이용 단계에서데이터 전송 방식의 위험, 셋째 데이터 저장 및 파기 단계에서 정보처리자의 관리상의 위험이 존재한다. 이러한 위험들에 대해서 적절한 제도 및 기준을 설정할 필요가 있는 데, 첫째 데이터 수집단계에서는 ‘정보이동권’과 같은 정보주체의 권리 보장과 동의 제도의 합리화가 필요하고, 두 번째 데이터제공 및 이용 단계에서는 제공방식의 보안성 확보를 위한 API 방식의 의무화 및 강력한 본인인증 절차 이행 등 기술적 기준 마련과 실행이 필요하며, 세 번째 데이터 저장 및 파기 단계에서는 정보처리자의 책임 및 의무를 강화하는 규제 제도가 필요하다. 디지털 금융 시대의 빠른 기술변화에 맞추어 관련 정책과 제도들을 대응시키고 변경하는 것은 매우 어려운 일이다. 기존의 보호 위주의 개인정보보호 정책도 문제이지만 현재의 핀테크업 활성화 및 개방 중심의 규제 완화 정책 역시 위험부담이 크다. 개인정보 보호와 활용이 적절히 균형을 이루도록 국내 금융분야 마이데이터 정책들을 실효성 있게 정착시켜 국민적 신뢰를 얻고 금융 산업 경쟁력 제고를 이루어 나가야 하겠다. As the ability to use data becomes competitive power in the data-driven economy, the effort to create economic value by using personal data is emphasized as much as to protect personal data. EU’s PSD2(the second Payment Service directive) became the initiative of the Open Banking trends all over the world, as it is the Mydata policy which protects the data subject’s right by empowering the subject to control over the personal data with the right to data portability and promotes personal data usages and transfer. Since the MyData policy in financial sector is expected to greatly enhance the efficiency and competitiveness of the financial industry by empowering individuals with so much control over their own data and giving Fintech companies with innovative products and services an opportunities to compete fairly with large banks in the financial market, Korean government is now fast adopting EU’s PSD2 in financial sector and promoting various polices. However, there is growing concerns in personal data abuse and misuse, and data breach. The data privacy and security risks has increased due to the personal financial data and other personal data’s migration from banks to the third parties. This study analyzes domestic financial Mydata policy in comparison with EU’s PSD2 and focus on Personal information life-cycle risks of financial Mydata policy. Some suggestions on how to promote personal information and privacy in domestic financial Mydata Policy will be given.

정보주체의 자기정보통제권 확보 방안 연구

주문호 고려대학교 정보보호대학원 2020 국내박사

현대사회는 데이터가 모든 산업의 발전과 새로운 가치 창출의 촉매 역할을 하는 데이터 경제시대로 전환되어 가고 있다. 데이터는 자본과 노동 등 기존 생산 요소를 능가하는 경쟁원천으로 부상하였으며 앞으로는 대규모 데이터를 효율적으로 활용하는 기업이 시장 혁신을 주도해나갈 것으로 예상된다. 이미 거대 데이터 플랫폼 기업들은 충분한 데이터베이스 서버 용량과 고도화된 데이터 처리·분석 능력을 기반으로 데이터를 대량으로 수집·축적해가고 있으며, 이들은 ‘현상을 해석’하고 ‘미래를 예측’할 수 있는 빅데이터 분석 능력과 고도화된 알고리즘을 통해 기업이 원하는 방향으로 이용자들의 의사결정을 유도할 수 있는 데이터 권력을 거머쥐게 되었다. 나아가 데이터 플랫폼 기업들은 데이터 접근권한 통제와 거대 자본과의 결탁을 통해 데이터 권력과 데이터 활용 편익을 독점해나가고 있으며, 정작 데이터 경제 구성원의 핵심인 정보주체는 본인의 정보에 접근하지 못하고 데이터의 처리 과정에도 개입하지 못한 채 데이터 경제에서 소외되는 현상이 생겨나고 있다. 정보주체의 소외 현상과 데이터 독점에 대한 우려에 대응하기 위해 개인정보보호 및 프라이버시 관련 권리의 속성과 보호 영역의 변화가 요청된다. 현대의 프라이버시는 단순히 개인의 사생활을 보호하는 차원을 넘어 타인에 구애받지 않고 공적 생활, 사회적 활동에 참여할 수 있도록 본인과 관계되는 정보에 대한 선택권과 통제권을 보장해달라는 요구로 확장되어가고 있고 이는 ‘자기정보통제권’이라는 적극적인 형태의 기본권으로 발현되었다. 자기정보통제권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 이용되도록 할 것인지를 정보주체가 스스로 결정할 수 있는 권리를 의미하며, 정보주체가 데이터 경제의 당당한 일원으로 참여할 수 있도록 하기 위한 전제조건이 된다. 자기정보통제권은 헌법이 승인한 새로운 독자적 기본권으로 확립되었지만 실제 권리의 실현에 있어서는 개인정보 처리 절차의 복잡성 증대, 알고하는 결정의 어려움, 형해화된 사전동의제, 비식별 정보 활용의 확대, 사후적 통제 행사의 한계 등으로 인해 현실적인 문제에 봉착하였으며 이론적이고 관념적인 권리로 머물 위기에 처해있다. 이에 자기정보통제권의 확대와 실효적 보장을 위한 해법이 요구되고 있으나 자기정보통제권에 대한 기존의 연구는 권리의 정의, 헌법적 근거, 입법 방향 등에만 초점을 맞추고 있으며 현실적인 권리 보장의 현황을 살펴보고 권리 공백에 대한 실질적인 보장방안을 탐색하기 위한 연구는 부족한 상황이다. 이에 본 논문은 헌법상 국민의 기본권으로 보호되는 자기정보통제권이 개개인의 주체적인 권리로 기능하고 실질적으로 보장되기 위한 과제를 식별하고 그에 대한 개선 방향을 제시하고자 하였다. 연구 흐름과 방법으로는 우선 데이터 경제시대의 사회 현상과 프라이버시권의 시대적 요구사항의 변화를 분석하여 연구의 필요성을 도출하고, 선행연구 분석, 국내외 주요국의 기본권 논의 및 자기정보통제권 관련 법률 비교를 통해 국제적 동향을 검토하였다. 이어 자기정보통제권의 내용과 변화에 대해 근원적인 이론부터 시대 적용의 흐름을 분석하여 자기정보통제권에 대한 이론적 고찰을 수행하고 권리의 개념을 정립하였다. 다음으로 자기정보통제권이 현대 사회에서 실질적으로 발현되는 양상과 기술적으로 구현되는 현황을 살펴보기 위하여 현재 서비스되고 있는 자기정보통제 서비스와 관련 신기술 현황의 조사·분석을 통해 권리의 실제 보장 수준과 보호 영역의 공백을 식별하였다. 이에 대한 결론으로 자기정보통제권의 보호 영역을 총 10가지의 영역으로 제안하고 자기정보통제권의 실질적 보장과 확대를 위한 향후 과제와 해결방향을 제시하였다. 본 논문의 핵심적인 결론을 간략히 정리하면 다음과 같다. 첫째, 국가는 자기정보통제권의 보호영역을 명확히 확립하여, 권리 보호의 공백을 없애고 장기적인 관점에서 국민의 인격권과 재산권의 침해를 최소화할 수 있도록 장기적인 보호 전략을 수립하여야 한다. 둘째, 자기정보통제권의 실현을 위한 정책적 수단과 기술적 수단의 적절한 역할 분담에 대한 고민이 필요하다. 셋째, 자기정보통제권이 실질적으로 작동하기 위해서는 권리의 주체이자 수요자인 이용자의 자기정보통제 동인을 확보해주어야 한다. 넷째, 자기정보통제권 강화를 촉진하기 위해서는 신기술 혁신과 비즈니스 모델 혁신의 적절한 조화가 필요하다. 다섯째, 정보주체의 수익배분권을 보장해주기 위해 데이터 가치 평가체계 및 데이터 수익 환원체계의 구축이 필요하다. 정보주체의 자기정보통제권은 데이터 경제시대에서 개인이 정체성을 확보하고 공동체의 민주적·합리적 운영을 위해 반드시 보호되어야 할 국민의 기본권이자 규범적 가치이다. 이에 정보주체의 자기정보통제권이 형식적이고 추상적인 권리에 머무르는 것이 아니라 실질적으로 작동하고 데이터 경제의 패러다임을 주도하는 권리로 기능할 수 있도록 법률과 정책, 서비스 시장, 그리고 신기술 혁신이 서로 적절한 역할을 찾아 제 역할을 해야 할 것이며, 본 논문이 이를 위한 바람직한 해법을 찾을 수 있도록 돕는 출발점이 되기를 기대한다. Modern society is transitioning to an era of data economy in which data serves as a catalyst for the development of all industries and the creation of new values. Data has emerged as a competitive source, surpassing existing production factors such as capital and labor, and in the future, companies that utilize large-scale data efficiently are expected to lead market innovation. Large data platform companies are already collecting and accumulating large amounts of data based on sufficient database server capacity and advanced data processing and analysis capabilities, and gradually monopolizing data power and data utilization benefits due to data access control and collusion with large capital. Meanwhile, the information subject at the core of the data economy increasingly loses its data sovereignty and is alienated from the data economy as it loses access to its own information and becomes unable to intervene in the processing of data. In this regard, this paper attempted to identify the tasks to ensure that self-information control rights protected by the basic constitutional rights of the people function as individual subject rights and to actually guarantee them, and to suggest directions for improvement. As the research flow and research method, the necessity of research was derived by analyzing the social phenomena of the data economic era and the changes in privacy requirements. Subsequently, previous research analysis, domestic and foreign law analysis, and international trend review were conducted. Next, the concept of self-information control was established by analyzing the flow of application of the era from the fundamental theory to the contents and changes of the self-information control right, and a theoretical study was conducted. In addition, the actual guarantee level and gap of rights were identified through the investigation of the current status of self-information control services and related new technologies in order to examine the actual manifestation of self-information control rights and the current state of technological implementation. As a conclusion on this, the protection area of ​​the self-information control right was proposed in a total of 10 areas, and the future tasks and solutions for the practical guarantee and expansion of the self-information control right were presented. The key conclusions of this paper are summarized as follows. First, the state should establish a long-term protection strategy to clearly establish the protection domain of the right to control self-information, eliminate the gap in protection of rights and minimize the infringement of people's personal and property rights from a long-term perspective. Second, it is necessary to consider the proper role sharing between policy means and technical means for the realization of self-information control. Third, in order for the right to self-information control to operate effectively, it is necessary to secure the self-information control driver of the user, who is the subject and consumer of the right. Fourth, in order to promote the strengthening of self-information control, it is necessary to properly mix new technology innovation and business model innovation. Fifth, it is necessary to establish a data value evaluation system and a data return system to guarantee the distribution of information subjects' profits.

기업의 정보보호 활동과 정보침해사고 간의 관계 : 정보보호인식의 매개효과를 중심으로

문건웅 고려대학교 정보보호대학원 2017 국내석사

본 논문은 기업이 정보보호 활동 수행과 정보보호 인식 제고를 했을 때 정보침해 사고 예방에 효과가 있는지 실증분석을 통해 알아보고자 한다. 또한 정보보호 인식을 매개로 기업이 정보보호 활동을 수행했을 때의 정보침해 사고예방에 효과가 있는지도 알아본다. 실증분석의 데이터로서 한국정보보호 진흥원인 KISA(Korea Internet and Security Agency)의 ‘기업별 정보보호 실태 조사(A Survey of Information Security)’를 데이터를 활용하였다. 분석 대상의 일반적 특성은 빈도 분석을 실시하였으며, 측정 도구의 신뢰도는 Cronbach’s α 계수를 활용하여 확인하였다. 모형의 타당도 검증은 확인적 요인 분석으로 집중타당도(Convergent Validity)와 판별타당도 (Discrimination Validity)로 검증하였다. Sobel Test를 통해 매개효과를 검증하였다. 또한 구조 모형에서 정보보호 활동이 정보침해 사고에 미치는 지를 통계적 유효성으로 검증하고 총 효과와 간접 효과를 검토하였다. 이와 같은 연구는 그동안 정보보호 성과를 기업적 측면과 개인적 측면을 구분하여 살펴본 연구들과는 달리 각각의 측면들 사이의 관련성을 살펴봄으로써 종합적으로 분석하였다는 점에서 정보보호에 관한 연구영역의 확대에 기여함은 물론 후속 연구의 가능성을 확장시킬 수 있을 것으로 기대된다.

클라우드 컴퓨팅 보안인증제도의 개인정보보호 강화방안 연구

강민주 고려대학교 정보보호대학원 2019 국내석사

최근 클라우드 컴퓨팅 기술의 발전은 정보의 효율적인 접근을 제공하였지만, 개인정보 보안에 대한 이슈가 대두되며 클라우드 산업의 확산을 저해하고 있다. 국내에서는 다양한 클라우드 보안 문제를 해결하기 위해 클라우드 보안 인증제를 수행하고 있다. 국내 클라우드 보안 인증제의 경우, 클라우드발전법, 정보통신망법, 개인정보보호법 등 법률과의 관계는 다음에 근거한다. 클라우드발전법 제 4조(다른 법률과의 관계)에 의거, 클라우드 컴퓨팅의 발전과 이용촉진 및 이용자보호에 관해서는 클라우드발전법이 타 법률에 우선하여 적용된다. 다만, 개인정보 보호에 관해서는 개인정보 보호법, 정보통신망법에서 정하는 바에 따른다. 본 연구에서는 개인정보관련 법령인 개인정보보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률에서 다루고 있는 개인정보를 보호하기 위한 기술적 보호 조치 항목이 무엇인지 살펴보고, 기술적 보호 조치와 국내용 정보보호제품에 구현된 보안기능의 안전성과 신뢰성을 보증하는 제도인 국내용 CC평가 제품군과의 밀접도가 높음을 확인한다. 클라우드 환경에서 개인정보의 기술적 보호조치를 만족하기 위해서는 CC인증을 받은 제품군으로 서비스 환경을 구축해야 한다. 클라우드 서비스 환경이란 클라우드 보안 인증제도의 평가ㆍ인증대상이며, 동법 시행령 제 3조에 따라 클라우드 컴퓨팅 기술을 이용하여 정보 시스템의, 인프라, 응용프로그램, 개발환경 중 어느 하나 이상을 제공하는 경우에 해당한다. 보안서비스 구축 시 도입 인증 요건을 만족하는 제품 버전의 보안기능으로 서비스를 구축하여야 한다. 도입 인증 요건은 국내ㆍ외 CC 인증을 받은 제품이어야 하지만 국내ㆍ외 CC 인증의 경우 클라우드 환경은 인증 대상 범위로 포함하지 않는 한계가 있다. 국내 클라우드 보안 인증제에서 확인하고 있는 기술적보호조치의 세부 통제항목과 CC 인증제도의 보안인증제도의 항목과 비교하여 차이점을 도출한다. 도출한 차이점을 통해 CC인증제도의 운영환경에 클라우드 환경이 포함될 수 있도록 클라우드 보안 인증제도의 기술적보호조치 통제항목에 대한 시사점을 정리하였고, 향후 개인정보보호 관련 법령의 기술적 보호조치 사항을 만족하는 CC인증 제품의 보안요구사항 항목 중 클라우드 보안 인증제에서는 누락된 항목을 보완 시 이를 활용하여 국내 클라우드 서비스의 신뢰성과 안정성을 높이는데 기여할 수 있을 것으로 기대한다.

스마트시티 정보보호 정책에서의 소통 구조에 관한 연구

박혜성 고려대학교 정보보호대학원 2020 국내석사

스마트 기기와 IoT 기기들의 등장들로 인해 교통, 헬스케어, 에너지 등 도시를 유지하는 영역의 다양한 기기들과 서비스를 연결하고 이를 통해 수집·분석된 데이터를 기반으로 다양한 서비스를 시민에게 제공하는 도시인 스마트시티가 부상하고 있는 상황이다. 이러한 스마트시티는 각종 도시화 문제의 해결과 시민들의 삶의 질 향상이라는 목표를 달성하기 위해 세계 각 지역에서 시범 사업 등 다양한 형태로 진행되고 있으며, 우리나라도 스마트시티 사업에 일찍부터 참여하여 현재‘제 3차 스마트도시 종합계획’ 및 국가 시범 도시 등의 정책을 추진 중에 있다. 이러한 스마트시티에 이용되는 사물 인터넷, 빅데이터, 해당 기술들을 잇는 플랫폼 기술들은 기술 내재적으로 정보와 관련된 유출을 포함한 각종 위험을 내포하고 있다. 이는 정보의 수집과정부터 시작하여 정보의 처리 및 관리에 이르기까지 정보 생애 주기 전반에 걸쳐 존재한다. 이러한 이유로 해당 위험을 관리할 수 있는 스마트시티의 정보보호에 대한 정책이 반드시 필요하나 기존의 탑다운 방식의 정보보호 정책 수립 과정을 그대로 답습하는 것은 현재와 마찬가지로 정책 수행 주체들의 정보보호 정책 내용에 대한 인식이나 이해를 어렵게 하여 해당 정책의 실현에 문제가 발생하게 될 것이다. 이는 특히 정책의 이해관계자가 많고, 적용되는 분야의 범위가 넓으며, 적용되는 기술의 전문성이 높은 스마트시티에 있어서는 더욱 악영향을 미칠 수 있다. 따라서 이러한 스마트시티 정보보호 정책의 수립에 있어 소통을 활용해야 하며, 이러한 소통을 활용한 스마트시티 정보보호 정책 수립을 어떻게 구현할 수 있는지에 대하여 하버마스의 커뮤니케이션 이론을 기반으로 필요한 요건 및 실현 방안을 제안하고자 한다. Due to the emergence of smart devices and IoT devices, Smart City, a city that connects services with various devices in areas that maintain the city, such as transportation, healthcare, and energy, and provides various services to citizens based on collected and analyzed data, is emerging. In order to achieve the goal of solving various urbanization problems and improve the quality of life of citizens, these smart cities are being carried out in various forms, including pilot projects in various regions around the world. Goverment of Republic of Korea has also participated in the smart city project early on and is currently pursuing policies such as "the 3rd smart city comprehensive plan" and national pilot cities at Sejong si and Busan Metropolitan City. Internet of Things, big data, and Platform technology that connect the Internet of Things and big data, are used in the smart cities, and those technologies pose various risks, including information leakage inherently. This exists throughout the life cycle of information, from the process of collecting information to the processing and management of information. For this reason, while a smart city's policy on information security to manage the risks is essential, following the existing top-down information security policy-making process will make it difficult for people who carry out the policy to recognize or understand the contents of the information security policy as it is today. This can be particularly detrimental to smart cities with many stakeholders, a wide range of applications, and a high degree of expertise in applied technologies. Therefore, it is necessary to utilize communication in establishing such smart city information security policies, and to propose necessary requirements and implementation measures based on Harbermas' communication theory on how to implement smart city information protection policies using such communication.

중·소형 공공기관 정보보호 관리방법 체계화에 관한 연구

강창식 고려대학교 정보보호대학원 2018 국내석사

이 연구는 우리나라 중‧소형 공공기관이 국가 사이버 안전관리 체계를 구성하는 법과 제도를 준수하면서도 효과적인 위험관리를 통해 정보보호 목표를 달성하는 방안에 관한 것이다. 중‧소형 공공기관이 원점에서 시작하여 자율적인 정보보호 관리체계를 구성한다는 전제하에 법‧제도적 요구사항과 위험요인에 대한 평가·분석·처리 프로세스를 거쳐 도출된 사항을 합하여 종합 통제지표를 구성하였다. 중·소형 공공기관 정보보호 관리체계의 핵심성공요인은 전 임직원의 적극적인 참여라고 판단하여 기관장을 포함한 분임체계를 마련하였다. 또한, 주기적 교육 및 체계적 점검을 통해 지속적인 개선이 이루어질 수 있도록 하는 등 자율관리모델을 제시하였다. 아울러, 자율적인 관리체계의 불완전성을 보완하기 위해 변화관리를 통한 중·장기적 정보보호 관리체계 성숙도 제고방안을 모색하였고, 정부의 평가제도 및 민간 부문의 아웃소싱 체계에 일부 개선이 필요한 사항을 제언하였다. The purpose of this study is to find out how Korea's small and medium-sized public institutions comply with the laws and regulations that form the national cyber safety management system and achieve the information security goal through effective risk management. A comprehensive control index is composed of the findings derived from evaluation, analysis, and processing processes of legal and institutional requirements and risk factors, provided that small and medium-sized public institutions start from the zero-base and constitute an autonomous information protection management system . As a key success factor in the information security management system for small and medium-sized public institutions, it was decided that all employees and employees actively participated in the system. In addition, the autonomous management model was suggested such as continuous improvement through periodic education and systematic check. In addition, in order to supplement the incompleteness of the autonomous management system, we sought to improve the maturity of the medium- and long-term information protection management system through change management, and suggested some items that need to be supplemented by the government evaluation system and the private sector outsourcing system.

사이버 보안 취약점과 법적 책임

전승재 고려대학교 정보보호대학원 2020 국내박사

취약점이 없는 소프트웨어를 만들기란 현실적으로 불가능하므로, 소프트웨어를 운영하는 사업자로 하여금 정보보호 조치를 통해 취약점을 최대한 방지하도록 주의의무를 부과함으로써 이것이 가급적 실제 보안사고로 이어지지 않도록 제도화해야 한다. 본 연구에서는 취약점을 막지 못한 과실로 인해 해킹(주로 이용자 개인정보 유출)을 당한 사업자에 대해 민사소송 대법원 판결, 행정청의 과징금 처분, 또는 형사판결이 내려진 일련의 사건을 망라적으로 분석하고(exhaustive case study), 관련하여 시사점을 얻을 수 있는 외국 사례를 함께 살펴보면서, 첨단기술의 안전성에 관한 분쟁을 적정하게 규율할 방안을 모색한다. 해킹 관련 우리나라 법집행은, 초창기 과소집행이 문제였다면, 지금은 과잉집행이 우려될 정도로 급격히 엄격해진 양상을 보인다. 1세대라고 할 수 있는 과거 옥션, 싸이월드, KT N-STEP 해킹 사건의 경우, 정부의 행정처분 없이 피해자들이 제기한 민사소송, 즉 사적집행(私的執行)만 진행되었는데 결국 기업의 법적 책임이 인정되지 않았다. 한편, 2세대 들어서는 정부의 과징금 처분을 비롯한 공적집행(公的執行)이 개시되었다. KT 마이올레 해킹이 첫 사건인데, 그래도 여기까지는 KT가 법적 책임을 면하는데 성공했다. 패소한 정부는 법집행 강도를 더 높였고, 후속 사건인 뽐뿌, 인터파크, 알패스 등 해킹 사건에서는 기업이 법위반책임을 벗지 못했다. 최근에는 3세대에 들어섰다. 2020년 들어 기업의 정보보호 담당자 개인을 처벌하는 형사판결까지 선고되기 시작했는데, 하나투어 및 빗썸 해킹 사건이 그 예이다. 당초 사적집행 단계에서부터 적절한 집행 수준을 찾았더라면 지금처럼 강한 정부 개입이 굳이 필요 없었을 수도 있는데, 왜 그렇게 하지 못했을까. 이는 불과 몇 년 전까지 법원에서 "정부가 고시한 보호조치만 했다면 처벌받지 않을 뿐만 아니라 정보유출 피해자에게 민사상 손해배상도 하지 않아도 된다"는 잘못된 법리가 통용되었기 때문이다. '정부가 고시한 보호조치'는 위반 시 과태료, 과징금, 형사처벌을 부과하는 제재 구성요건일 뿐 사법상 과실 여부 판단기준이 아니다. 즉, 위 법리는 마치 "교통사고를 낸 운전자가 전방주시 의무를 소홀히 했어도 형사처벌 대상이 아니므로 민사상 손해배상 책임도 없다"라고 말하는 것과 다름이 없다. 위 법리가 통용되자 정부로서는 행정입법의 불비로 피해자 구제 흠결이 발생한다는 지적을 피하기 위해 고시상 보호조치의 수준을 계속 높여야만 했다. 정부 규제의 획일성, 한번 강화되면 다시 완화되기 어려운 일방향성 등으로 인해 기업(특히 중소기업과 스타트업)에게 점점 과도한 정보보호 규제가 부과되고 있다. 이것이 본 연구가 갖는 핵심 문제의식이다. 한편, 외국의 대형 해킹 사건을 분석해본 결과, 외국에서도 공적집행 제도가 운영되기는 하지만, 정부는 금전적 제재처분 내지 형사처벌 부과 이상으로 사고 원인 조사에 더 집중하고, 그 조사 자료를 민간에 제공함으로써 소비자들이 제기한 민사소송(특히 미국의 경우 집단소송)을 통해 보상액이 조율될 수 있는 구조를 주로 취하고 있었다. 정보보호라는 첨단기술 분야에서 과잉규제와 과소집행 사이의 균형을 잘 잡아야만 산업의 발전과 소비자 보호라는 두 법익을 추구할 수 있다. 그러한 중도(中道)를 추구하려면 올바른 규제 철학이 필요하다. 본 연구의 제안은 '정부 고시상 보호조치'는 '교통사고 12대 중과실'처럼 운영하자는 것이다. 교통사고처리특례법은 신호위반과 같이 그야말로 최소한의 주의의무 범주에 속하면서 위반 여부가 명확한 유형은 처벌 대상으로, 그 이외의 일반적인 과실에 대해서는 보험처리 또는 피해자와의 합의 대상으로 각각 나누고 있다. 정보보호 분야도 마찬가지로, 고객의 데이터를 해킹 당한 기업에게는 원칙적으로 민사책임만 지우되, 중과실에 가까운 보안 소홀로 해킹을 당한 경우는 공법적 제재까지 부과하는 것으로 기준을 이원화해야 한다. 전자의 집행기관은 민사법원, 후자는 행정청이다. 개인정보 해킹 사례를 통해 형성된 제도는 장래에 소프트웨어 취약점으로 인한 인명·재산 사고 전반으로 확장 적용될 수 있다. 현재 보안사고 관련 행정처분·형사처벌은 거의 개인정보 관련 법률 위주로 집행되고 있다. 한편, 비트코인이 탈취되거나 자율주행차가 해킹을 당하는 등 개인정보보다 더 가치 있는 법익이 침해되었을 때 현재로서는 공법적 제재 근거규정이 없어 사업자와 피해자 간 민사소송으로만 규율되겠지만, 그러한 영역에서도 조만간 특별법이 마련되어 공권력의 개입 대상이 될 수 있으며, 이 때 개인정보 해킹 사고를 통해 축적되어 온 선례 및 법리가 참고가 될 것으로 예상된다. 따라서 본 연구는 현재 법률분쟁이 활발한 개인정보 해킹 사례를 중심으로 살펴보되, 법률상 보호 대상이 되는 데이터가 ‘개인정보’뿐만 아니라 향후 다른 데이터로 확장될 가능성을 염두에 두고자 한다. 이러한 맥락에서 수범자(受範者)의 호칭을 먼저 정리한다. 개인정보 보호법에서는 ‘개인정보처리자’, 정보통신망법에서는 ‘정보통신서비스 제공자’라는 용어를 쓰고 있으나, 본 연구에서는 정보보호 활동의 주체를 ‘사업자’라는 일반명사로 지칭하고자 한다.

개인정보의 제3자 제공시 정보보호 관련 법상 책임에 관한 연구 : open API 이용 핀테크 기업을 중심으로

김조은 고려대학교 정보보호대학원 2018 국내석사

핀테크 시장이 활성화되고, 금융회사, 공공기관 등이 보유하고 있는 다양한 정보를 오픈 플랫폼을 통해 적극적으로 핀테크 기업에게 개방하고 있는 추세다. 본 연구에서는 개인정보보호법, 정보통신망 이용 및 촉진에 관한 법률 등 정보보호 관련 법상 개인정보의 “제3자 제공”과 “위탁”의 개념 차이를 살펴볼 것이다. 그리고 개인정보의 “위탁”과 달리 핀테크 기업처럼 “제3자 제공”, 즉 일반적으로 “제휴” 관계인 경우 제공하는 기업의 법적 의무가 지나치게 완화되어 있는데 반해 정보유출 위험은 상대적으로 높기 때문에 현실에 맞는 정보보호 관련 법제도 정비를 제언하고자 한다. 또한 “제3자 제공“시 제공받는 기업이 스스로 정보보호 수준을 높일 수 있도록 정보보호 자가진단 체크리스트를 제시한다. 이를 통해 금융회사 오픈 플랫폼을 활용하는 31개 핀테크 기업을 진단한 결과, 수탁자보다 정보보호 수준이 상대적으로 미흡하다는 것을 확인하였다. 금융회사와 ”제3자 제공” 관계인 핀테크 기업의 정보보호 수준이 높아질 수 있도록 체크리스트의 적극적인 활용을 제언한다.

안보 목적의 온라인 정보수집 활용을 위한 법·기술적 수행방안

김창섭 고려대학교 정보보호대학원 2022 국내박사

글로벌 인터넷, 스마트폰의 대중화 및 강력한 암호화 등과 같은 정보통신 기술의 급격한 발전으로 인해 국가안보를 위한 해외정보(foreign intelligence) 수집활동은 이제 패러다임의 전환을 맞게 된다. 과거에 접근이 곤란했던 역외(국외 소재) 해외정보는 인터넷의 초국경성으로 인해 수집이 가능해지는 기회를 포착한 반면에, 과거 가능했던 국내에서의 해외정보 수집은 현대 암호의 보편적 사용으로 인해 수집이 곤란해지는 위기를 맞는 새로운 양상을 보이고 있다. 현대 국가안보의 개념은 전통적인 군사안보뿐만 아니라 경제안보, 환경안보 및 인간안보 등을 포함하는 포괄적인 안보로 확대되고 이를 뒷받침하는 해외정보도 국외 정보, 국내 안보정보 및 우주 정보를 포함하고 있어 국가의 해외정보 수집역량은 날로 그 중요성을 더하고 있다. 그러나, 전통적인 유무선 전화에서 국경이 없는 인터넷 기반의 암호통신으로 정보통신 환경이 변화됨에 따라 정보수사기관들의 기존 해외정보 수집수단이 無力化되고 있다. 최근에 구글 웹트래픽의 95% 이상이 암호통신이고 모바일 메시징의 36%가 종단간 암호를 기본으로 사용하며 스마트폰 대부분이 디바이스 암호를 적용하고 있다. 이러한 암호의 일상적인 활용은 개인정보보호에 크게 이바지하고 있지만, 국가안보와 범죄수사를 위한 국가의 합법적인 감청(lawful interception)이 불가능해지는 ‘암흑화(going dark)’ 현상을 맞게 된다. 이에, 최근 미국, 영국, 독일 등의 주요국들은 이러한 암흑화 상황을 해결하는 방안으로 해킹 소프트웨어를 활용하는 ‘온라인 정보수집 기술(online information collecting technologies)’을 감청의 수단으로 허용하고 이를 제도화하고 있다. 인터넷과 연결된 대상자의 정보통신기기에 접근하여 암호가 풀린 평문 상태의 정보를 수집할 수 있는 온라인 정보수집 기술은 글로벌 인터넷과 암호통신에 대응할 수 있는 실효적인 수집방안이 될 수 있다. 일반적으로 정보수집 법제는 범죄수사 법제보다 완화된 기준을 적용하고 있어, 해외정보 수집활동에 온라인 정보수집 기술을 적용하는 것은 충분히 합리적인 방법이 될 수 있다. 또한, 온라인 정보수집은 그 효용성에도 불구하고 기본권 침해, IT보안 훼손 등의 우려도 있어, 주요국들은 명확한 법제도와 오남용 통제장치를 마련하여 대응하고 있다. 이처럼 주요국들은 2000년 이후부터 온라인 정보수집 제도를 도입하고 이를 허용하는 법제도를 마련하고 있으나, 우리나라는 온라인 정보수집이 허용되지 않아 소프트웨어는 국가안보 목적의 수집수단일지라도 합법적인 감청수단이 아니고 악성 프로그램에 해당하여 활용시에는 통신비밀보호법, 정보통신망법 등과 같은 국내 현행법에 위반된다. 특히, 우리나라는 최첨단의 정보통신 인프라를 구축하고 있음에도 1990년대 유선 전화망 위주의 낙후된 감청제도를 유지하고 있어, 최신 암호통신의 일상적인 활용은 감청의 종말을 예견하는 듯하다. 본 논문에서는 국가안보 목적의 해외정보 수집활동 위주로 역외 및 국내에서의 온라인 정보수집의 필요성을 중점적으로 검토하고, 우리나라 환경에 적합한 온라인 정보수집제도 도입을 위한 법제도 개선과 수행체계를 다음과 같이 제안한다. 첫째, 역외 소재한 안보위협 세력에 대한 해외정보 수집을 위해 무기의 평등 차원에서 통신비밀보호법의 관할권을 역외로 확대하고 소프트웨어를 감청수단으로 인정하고 저장 통신을 감청에 포함하는 역외 온라인 정보수집을 허용하고 이를 통신비밀보호법에 규정해야 한다. 둘째, 낙후된 국내 감청체계로 인해 달리 감청수단이 없는 국내 현실을 반영하여 국내 소재한 외국인 테러 용의자나 간첩 등의 정보수집을 위해 외국인에 한해서 국내 온라인 정보수집을 통신비밀보호법상 감청으로 인정해야 하고, 또한 추가적으로 휴대전화 감청체계도 구축할 필요가 있다. 셋째, 우리 환경에 적합한 온라인 정보수집제도 도입 및 활용을 위한 수행 방안으로 수집체계 구현원칙, 동작 절차 표준설계, 수행조직의 분리배치, 수집 도구의 투명한 관리체계, 수집자료 자동선별 및 무결성 확보방안 등을 제시하고, 법제도 프레임워크 구축과 오남용 통제장치 마련 등을 제안한다. 제안된 수행원칙과 절차는 우리 법체계에 온라인 정보수집제도를 수용하기 위한 법률 및 표준 제정에 적극 활용되어야 할 것이다. 국가안보 차원의 해외정보 수집은 정당한 활동임에도 법제도 미비로 불법 논란에 휩싸여 활동이 위축되는 현실을 고려하여 기술발전과 정보환경 변화를 유연하게 반영할 수 있는 합리적인 법제도와 지침을 마련하여야 한다. 효율적으로 해외정보를 수집할 수 있는 법제도와 기술을 구현함으로써 정부는 적법 절차를 준수하면서 국가의 해외정보 경쟁력을 보다 강화할 수 있을 것이다.