사이버安保法制에 있어 個人情報權 制限의 基準과 限界

김법연 고려대학교 정보보호대학원 2020 국내박사

사이버안보에 관한 여러 쟁점과 이슈는 기술의 발전과 사회의 변화에 따라 개혁을 반드시 필요로 하는 매우 중요한 문제이다. 특히 사이버안보에 대한 원칙과 예외를 정하는 것은 법제도가 반드시 풀어야 하는 과제라 할 수 있다. 모든 사이버상의 제도적 이슈들이 그러하듯 사이버안보의 문제 또한 전통적 군사안보와 물리적 차원의 국가안보를 다루던 방식으로는 대응이 불가능하기 때문이다. 특히 IT인프라가 고도로 갖추어진 우리나라의 상황에서 사이버위협에 대한 대응체계를 마련하는 것은 아무리 강조해도 지나침이 없을 것이다. 그간 우리는 사이버안보에 관한 다양한 이슈들에 대하여 법제도적 근간을 마련하기 위하여 많은 노력을 하였지만, 오랜 기간의 논의 속에서도 특별한 해법을 찾지 못하고 있다. 사이버안보를 둘러싼 갈등요소들이 다양하게 전개되고 있지만, 그 중 가장 첨예하게 대립하고 있는 것은 개인정보권 침해에 대한 문제이다. 국가의 사이버안보 활동이 강화될수록 개인의 프라이버시와 개인정보권이 침해되며, 대규모의 국가감시가 실시될 것이라는 우려에서이다. 국가안보의 정도는 군사력과 물리력의 우위에 따라 결정되기도 하지만 정보력에 의한 안보의 확보에서 결정적 차이를 유발시킨다. 사이버상에서의 안보활동은 특히 정보수집의 역량이 절대적 역할을 하기 때문이다. 사이버공격이 어느 시점에 누구에 의하여 어떤 위력으로 나타날 것인지 예측이 어려우며, 그 피해 또한 한정적이지 못하기 때문에 위협정보를 인지하고 이를 사전에 예방하는 것이 가장 중요하다. 이러한 이유로 사이버안보의 법제는 국가로 하여금 사이버상에서의 다양한 정보수집 혹은 정보공유의 활동을 정당화시키게 된다. 한편, 데이터시대에 살고 있는 현대시민들은 매일 다양한 개인과 관련한 데이터를 만들어낸다. 그것이 자의적이든 타의적이든 데이터를 생산하고 또 누군가에게 그 정보를 제공한다. 통신사업자, 신용카드회사, 웨어러블 기기 사업자 등은 매일 개인이 통화한 기록, 물건을 구입한 기록, 이동한 위치의 기록을 보유하고 있다. 이렇게 축적된 정보들로 기업의 능력은 과거의 어느 때보다 커지게 되었으며, 이는 정부도 마찬가지이다. 사이버안보를 위한 국가의 정보수집 활동이 강화되었고, 국민 대다수의 개인정보와 사생활에 대하여 접근이 가능해졌다. 국가의 안전보장을 이유로 국가로 하여금 개인의 삶을 집합적으로 자세히 들여다 볼 수 있는 기회를 주게 된 것이다. 이러한 이유로 사이버안보와 개인정보권과의 갈등관계가 발생한다. 그러나 문제는 사이버안보의 활동과 개인정보권과의 갈등관계에서 개인정보권이 지나치게 침해되고 있는 불균형의 상황이라는 점이다. 오늘날의 기술이 국가는 물론 기업에게 엄청난 양의 정보를 수집할 수 있는 기능을 주었고, 이는 대량감시를 할 수 있는 기회가 되었다. 2013년 에드워드 스노든(Edward Snowden)은 이와 같은 국가의 대량감시가 우려가 아닌 현실임을 알게 해주었다. 우리는 국가감시가 인종, 종교, 정치적 신념 등을 이유로 차별을 가능하게 하고, 사람들이 보는 것과 하는 것, 말하는 것, 나아가 생각하는 것까지 통제하는 것에 이용될 수 있다는 것을 그간의 경험으로 익히 알고 있다. 그리고 이는 결국 민주주의에 대한 도전이 된다. 국가안보를 위한 정보의 수집활동 자체가 문제가 되는 것은 아니다. 문제는 이를 어떤 방식과 수단으로 가능하게 할 것인지에 대한 합의가 아직 이루어지지 못하였다는 점이다. 우리 헌법 질서는 국가안보를 위하여 국가로 하여금 개인의 기본권을 침해하는 것을 허용하고 있다. 그러나 그 행위가 허용되기 위해서는 개인의 기본적 권리의 본질적 요소를 침해하지 않아야 한다. 따라서 국가의 안전보장 활동을 보장하면서도 개인의 기본권을 합리적으로 제한할 수 있는 균형감 있는 제도의 설계가 필요하다. 이에 본 연구는 사이버안보와 개인정보권이라는 양 법익의 균형과 조화를 위해서 사이버안보법제에서의 개인정보권 제한의 기준과 한계에 대해서 다루었다. 기술과 사회의 변화 속에서 사이버위협으로부터 국가와 국민을 안전하게 보호하고 이에 따라 개인의 기본적 권리인 개인정보권을 얼마나 제한할 수 있는지에 대하여 합의가 필요한 시점이다.

보안성숙도 모델을 활용한 정보보호 관리수준 점검방법에 관한 연구

이상규 고려대학교 정보보호대학원 2019 국내석사

사람과 사물이 다각적으로 이어지는 초 연결 사회 환경이 형성되고 있고, 데이터 주도 시대가 도래하면서 경제적 활용가치가 높은 정보의 수집과 분석, 생산과 유통의 안정성을 확보하기 위한 정보보호 관리의 중요성이 날로 높아지고 있다. 반면 정보보안을 침해하는 공격의 수법은 점차 지능화, 고도화 되고 있어 기업의 입장에서는 중요 정보자산에 대한 악의적인 해킹공격과 불법적인 정보 유출로 인한 피해예방에 심혈을 기울여야 하는 상황이다. 이러한 환경에서 기업은 정보보호 관리체계 인증을 통해 정보보안에 대한 신뢰를 보장받고 있으나 관리체계를 구성하는 세부영역에 대한 수준 평가와 활용은 제한적이다. 이에 반해 보안 성숙도 모델은 기업의 정보보호 수준을 단계적으로 진단할 수 있고 시급히 개선해야 할 영역을 판단할 수 있음은 물론 기업의 특성과 수준에 맞는 목표 설정을 지원하는 도구가 된다. 본 논문에서는 성숙도 모델을 바탕으로 정보보호 분야에 특화되어 개발, 활용되고 있는 보안 성숙도 모델의 사례인 ISM3와 C2M2를 비교하여 특징을 소개하고 정보보호 관리체계 수준점검 목적에 부합하는 참조모델을 결정하였다. 또한 국내 정보보호 관리체계(ISMS) 인증과 이를 비교, 분석하여 정보보호 관리 수준을 점검하기 위한 모형으로의 참조 가능성을 검증하였고 참조모델에 기반한 수준점검 방법을 제안하기 위하여 정보보호 업무를 수행하는 기업 담당자를 대상으로 전문가 의견조사를 실시하였다. 이를 통해 ISMS인증의 정보보호대책 세부영역을 구성하는 점검항목 간 우선순위를 도출하여 단계적으로 정보보호 관리수준을 점검하고 구축을 지원할 수 있는 방법을 제시하였다. 마지막으로, 최근 정부산하 기관 및 산업계와 학계에서 연구 활용중인 정보보호 관리수준 평가모델과 비교를 통해 실효성을 검증하였다. 기업은 개선된 정보보호 관리수준 점검방법을 통해 정보보호 수준을 단계적으로 평가할 수 있으며 이를 통해 효과적으로 정보보호 대책을 수립하고 발전시켜 나갈 수 있을 것이라 기대한다.

정보보호 관점에서 공공기관의 정보공개제도 개선방안 연구 : 정보공개법상 비공개대상정보를 중심으로

엄광용 高麗大學校 情報保護大學院 2011 국내석사

현대사회는 정보사회이다. 정보사회에서 정보는 경쟁의 성패를 결정짓는 중요한 요소 중의 하나이다. 즉, 누가 얼마나 많은 정보를 얼마나 빠르게 취득하여 활용하는가가 경쟁의 우위를 점할 수 있는가를 결정한다. 이러한 사실은 국가간의 경쟁, 기업간의 경쟁 그리고 개인간의 경쟁 모두에서 동일하다. 특히 기업간의 경쟁에선 고객의 선호도 조사정보, 최신기술 동향 정보, 정부의 정책정보 등 많은 형태의 정보들이 기업의 생산, 영업, 경영활동에서 경쟁업체에 대한 우위를 확보하는데 있어 매우 중요한 요소가 되었다. 이에 기업들은 신규 사업을 시작하면서 또는 기존 사업을 확장하는데 있어 경쟁업체보다 우위를 선점하기 위한 유익한 정보를 획득하는데 우선적으로 많은 시간과 노력을 투자하고 있다. 정보통신기술의 발전은 정보의 유통을 보다 빠르고 원활하게 만들었다. 특히 인터넷의 발달은 정보를 마치 살아있는 생명체와 같게 만들었다. 정보는 매체에 독립적이고 저장, 전달 및 변경이 매우 용이한 특징을 갖고 있어 일단 새로운 정보가 생산되어 인터넷에 올려 졌다면 그 정보는 어느 누구에 의해서도 제어될 수 없다. 그 정보는 인터넷을 통해 급속히 전파될 것이고 다른 매체에 저장되고 다른 정보와의 융합과정을 거쳐 새로운 정보를 생산하고 전파되고 저장되는 과정을 끊임없이 반복하게 된다. 이러한 정보의 유통과 활용은 많은 긍정적인 결과와 부정적인 결과를 동시에 만들고 있다. 정보는 현대사회의 경쟁에서 성패를 결정짓는 중요한 요소이기 때문에 현대인의 정보에 대한 욕구와 갈망은 과거의 어느 때보다 높으며 앞으로 더욱 더 높아질 것이다. 그리고 그러한 욕구는 충족되어야 한다. 우리나라의 헌법재판소에서도 판례를 통해 알권리를 국민의 기본권으로 판단하고 있다. 알권리는 자유로운 정보의 수집 및 수령의 권리이며 필요로 하는 정보의 공개를 청구할 수 있는 권리이다. 우리나라는 국민의 알권리를 충족하고자 헌법에선 국회의 입법에 대한 공개(헌법 제50조 제1항)와 법원의 재판에 대한 공개(헌법 제109조)를 명문화하고 있으며 「공공기관의 정보공개에 관한 법률」(이하 ‘정보공개법’이라 한다)을 통해 행정에 대한 공개를 시행하고 있다. 하지만 정보공개를 통한 정보의 원활한 유통이 매체에 독립적이고 저장, 전달, 변경이 용이하다는 정보의 특징과 정보자체의 높은 가치로 인해 항상 긍정적인 결과만을 만들지는 못한다. 적절치 못한 정보의 공개는 국가기밀, 개인의 사생활비밀 또는 기업의 영업비밀 등을 유통시킬 수 있으며 이는 개인의 사생활권을 침해하고 기업의 재산권을 침해하는 결과를 만들 수도 있다. 따라서 정보의 공개와 보호의 적절한 균형점을 찾아 관리하는 것이 매우 중요하다. 정보공개법은 국민의 알권리를 충족하고자 공공기관의 정보를 공개하는 것이 주된 목적인 정보공개제도이다. 하지만 정보공개법에도 비공개대상정보의 규정을 두어 정보의 공개와 보호의 균형점을 찾고자 노력하고 있다. 그러나 정보공개법의 비공개대상정보의 경우, 정보공개의 관점에서 볼 때 그 내용이 매우 추상적이거나 또는 포괄적이어서 자칫 동 법률의 제정 목적인 국민의 알권리 충족을 상당히 제한할 수 있으며 비공개대상정보를 정보공개대상자인 공공기관이 판단하기 때문에 이 또한 정보의 원활한 유통을 제한할 수 있는 문제점을 갖고 있다. 반면 정보보호의 관점에서 보면 구체적이지 못한 규정과 공공기관의 잘못된 판단으로 인해 자칫 보호해야할 국가비밀, 개인의 사생활비밀 또는 기업의 영업비밀이 공개되어 국가적 혼란을 야기하고 개인의 사생활권 및 기업의 재산권을 침해하는 사회적 해악을 초래할 수 있다는 우려가 있다. 본 연구는 정보공개법과 공공기관의 정보공개제도 운영 실적에 대한 분석을 통해 공공기관의 정보공개제도를 이해하고 정보보호 관점에서 정보공개법의 비공개대상정보 규정의 문제점을 제시하고자한다. 그리고 정보의 공개 및 비공개의 범위를 명확히하는 법제의 개선과 정보공개제도의 적절한 운영을 위한 정보공개지침의 마련이 필요하다는 것을 정책 제언하고자 한다.

금융회사 개인신용정보 수탁사에 대한 관리ㆍ감독 현황 및 개선방향에 관한 연구

이용진 高麗大學校 情報保護大學院 2014 국내석사

현대 금융회사의 고객 서비스는 개인신용정보를 기반으로 이루어지고 있다. 이러한 금융서비스들은 금융회사 내에서 자체적으로 처리할 수 있는 분야가 한정적이고 금융회사의 본질적 금융업무 외 기타 업무분야는 전문성 및 비용-효율성을 고려하여 외부 전문 수탁사에 위탁하고 있는 것이 현실이다. 하지만 개인신용정보와 같은 민감한 정보를 수탁사에 위탁하는 것은 정보에 대한 안전한 관리와 감독의 의무가 동시에 지워지게 되며 이를 위해 수탁사에 대한 선정에서 개인신용정보 처리, 관리․감독 등과 같은 다양한 이슈사항이 발생하게 된다. 이러한 문제점을 해결하기 위해서는 개인신용정보 및 위탁업무의 평가, 수탁사의 선정 및 관리․감독 기준, 다수의 수탁사를 감독할 수 있는 효과적인 점검 방법론 및 프로세스 적용이 필요하다. 본 논문에서는 금융회사의 수탁사에 대한 관리․감독에 대한 현황 및 문제점을 조사하고 문제점에 대한 개선 방향을 모색해 보고자 한다. Most financial institutions serves as variety of services based on personal credit information in nowadays. All of the services have been a trouble in to be treated in financial institutions due to their capacities. In most cases, financial institutions consign to other services like personal fiduciary services except for their core services. It given to duty on the supervisory and secure administration for personal credit information, sensitive information. There are issues such as selection of fiduciary institutions, personal information processing, administration, supervisor. In order to properly treat a problem, It need to efficient inspection methodology and adaptable process for assessment of fiduciary tasks, selection of fiduciary institutions, personal information processing, management and supervisory criteria. In this paper, we research the status and problem, and then propose the improvement about supervisory for financial fiduciary intuitions.

개인정보보호 정책의 효과성 분석에 관한 연구 : 공급자와 수혜자의 인식 차이를 중심으로

이경복 高麗大學校 情報保護大學院 2016 국내박사

As the principles and criteria of personal information protection are established by the enactment of the Personal Information Protection Act in 2011, social interest in protection of personal information has increased, national policies for the protection of personal information have been established, and various related activities have been actively promoted. However, with the recent incidents of the mass leakage of personal information, negative perceptions of the personal information has already spread among the public. Especially, as results of recent personal information breach litigations are finalized and the fact that government has been used spyware without permission is revealed, public concerns over personal information not only are serious, it is developed into distrust of the government. Also, IT development, such as smart phones, has been further accelerated the public's concerns about personal information. In other words, it is a situation in which efforts are urgently needed to solve the problems on of the people's anxiety and distrust of privacy, before these concerns and distrust lead to more serious social problems. Of course, the South Korean government is making many efforts to ensure and strengthen the rights of the personal information subject through the various policies on protection of personal information. In addition, the government also set up the privacy awareness raising of the people as one of the policy agenda, and has been implemented continuously. However, these policies and plans are requesting the efforts for the protection of personal information to the people, because these have been discussed mainly by the government. It may be asked whether the personal information protection policy is appropriately reflect the people’ opinions on personal information. In other words, there is a need to check whether the people are satisfied with national policy on the protection of personal information and to set the policy direction in order to develop into people-oriented policies that can meet the people’s requirements for the protection of personal information in the new technological environment. Depending on the need for these people-oriented personal information protection policy, the author tried to empirical analysis of the performance(effectiveness) of national policy on the protection of personal information, focusing on qualitative aspects of perception and satisfaction of the people, in order to identify that how the people recognized the personal information protection policy and that whether people are satisfied with the current policy. Prior to the empirical analysis, the author analyzed the focus and trends of national policy on the protection of personal information, and analyzed the related matters of the people’s perception on protection of personal information in policy, through literature research. In order to proceed with the empirical analysis in quantitative terms, the author approached the national policy on the protection of personal information from the point of view of public service, developed the SERVQUAL scale for measuring the effectiveness of personal information protection policy by applying the basic concepts and principles of personal information protection in the SERVQUAL model, and conducted a survey study using the developed SERVQAUL scale. Specifically, for subjective evaluation of the policy, the perception of the service provider(government, privacy officer) was investigated, and for the objective evaluation, the perception of the beneficiaries(people) receiving benefits of service was investigated together. And then, the author analyzed the factors affecting the satisfaction on the policy from the perceptions on effectiveness of providers and beneficiaries, identified the agenda elements and relative priorities for improvement of personal information protection policy, through the Importance-Performance Analysis and matrix analysis on the effectiveness perceptions level of providers and beneficiaries. To summarize the main results of the empirical analysis are as below. First, providers and beneficiaries have perceived the effectiveness of personal information protection policy differently. Privacy officers(providers in terms of public service) are aware of the higher effectiveness of policy than the people(beneficiaries in terms of public service). Similarly, privacy officers are more satisfied the personal information protection policy than the people. In the perceptions of the effectiveness of personal information protection policy, privacy officers have higher perceived effectiveness for ‘the efforts to confirm personal information’(efficiency) and ‘ensuring the security of personal information’(security). On the other hand, the people have increased effectiveness for ‘immediate implementation of the policy’(immediacy), ‘convenience of the data subject’(convenience), and ‘convenience, and role, responsibility and obligation related personal information protection’(responsibility.) In addition, while privacy officers have perceived the lowest effectiveness for ‘the exact implementation of work’(reliability), the people are aware of the lowest effectiveness for ‘the reduction of effort and expense of data subject’(efficiency). Second, in the perceptions of the effectiveness, key factor affecting the satisfaction of providers and beneficiaries is “security”. In the provider perspective, privacy officers’ perceptions of the effectiveness for ‘ensuring the security of personal information’(security) and ‘capability and expertise for ensuring the right of personal information’(assurance) have an effect on the satisfaction of policy. In terms of beneficiary, perceptions of the effectiveness for ‘compliance on the protection of privacy rights’(assurance), ‘ensuring the security of personal information’(security), and ‘corresponding social requirements for personal information protection’(responsiveness) have an effect on the satisfaction of policy. Third, based on the perceptions of the beneficiaries, the direction of improvement for people-oriented policy were discussed. And the direction and strategy for the development of the national policy on the protection of personal information were discussed through an integrated analysis of providers and beneficiaries’ perceptions. Items, that should be focused through the policy because the people’s expectations are high but the actual perceptions of performance are low, were identified as follows: ‘policy should be executed quickly and proactively’, ‘policy should be improved accordingly to reflect IT environment’, ‘the notice and consent to collect personal information should be done correctly’, ‘information related the protection of personal information should be available in an easy-to-understand words’, ‘personal information should be accurate, complete, and be kept up-to-date’. Discussion of the measures to ensure the effectiveness of the personal information protection policy is required with priority, focusing on these items. Moreover, since providers and beneficiaries have perceived low effectiveness of personal information protection policy, it was identified that the discussion of improving the policy should be required preferentially. Unlike previous studies, this paper empirically analyzed the people’s perception, and considered the direction of policy based on the results of empirical analysis. From these point, this paper is meant as a starting point for discussions in order to reflect the public's point of view to the policy of the government. Also there are methodological significance in that effectiveness(performance) of the policy were analyzed as quantitative with qualitative measures in the empirical analysis. Moreover, because this paper considered the implications to the awareness of the people for the protection of personal information, there are policy implications that can be used as a base material for the policy by researchers and policy makers. Since this paper did not target a specific policy, research and analysis have some limitations in the lack of objectivity. However, because this paper was presented the direction to people-oriented personal information protection policy macroscopically, the author expect this paper will be useful to strengthen the security of advanced information society. 2011년 개인정보보호법의 제정으로 사회 전반을 규율하는 개인정보보호 원칙과 기준이 마련됨에 따라, 개인정보보호에 대한 사회적 관심이 높아졌고 개인정보보호를 위한 국가정책들이 수립되어 관련된 제반활동이 활발하게 진행되고 있다. 하지만 그동안 많은 개인정보 유출 사고가 발생함에 따라 개인정보에 대한 부정적인 인식이 국민들 사이에 팽배한 상황이다. 특히 최근 확정된 개인정보 유출 사고들의 소송 결과나 정부의 스파이웨어 사용으로 인해 개인정보에 대한 국민들의 우려는 심화되는 수준을 넘어 정부에 대한 불신으로까지 발전하고 있고, 스마트폰과 같은 IT의 발전은 개인정보에 대한 국민들의 불안을 더욱 가속화되고 있어, 개인정보에 대한 국민의 불안과 불신이 심각한 사회 문제로 부상하기 전에, 이를 해결하기 위한 노력이 시급한 상황이라 할 수 있다. 물론 현재 우리의 개인정보보호 정책들에서는 개인정보 주체의 권리를 보장하고 강화하기 위한 여러 노력을 기울이고 있고, 국민의 개인정보보호 인식 제고를 하나의 정책 의제로 지속적으로 계획, 이행하고 있다. 하지만 이러한 정책의 논의는 공급자(정부) 중심의 정책으로, 주로 개인정보보호를 위한 노력을 국민 개인에게 요구하는데 그치고 있어, 개인정보보호에 대한 국민의 의사가 적절하게 정책에 반영되고 있는가에 대해서는 의문인 상황이다. 즉, 개인정보의 정보주체인 국민의 관점에서 국민들이 개인정보보호 정책에 만족하고 있는지를 확인하고, 이를 기반으로 새로운 기술 환경에서 국민의 개인정보보호에 대한 요구사항을 만족시킬 수 있는 국민 지향적인 정책으로 발전하기 위한 정책 방향을 설정해 나가야 할 필요가 있다. 이러한 국민 지향적인 개인정보보호 정책의 필요성 하에, 본 논문은 현 정부의 국가 개인정보보호 정책이 국민에게 어떠한 의미로 인식되고 있고 이에 대해 만족하는지를 확인하기 위해, 국민의 인식과 만족도라는 질적인 측면을 중심으로 국가 개인정보보호 정책의 성과(효과성)에 대한 실증적인 분석을 시도하였다. 실증적인 분석에 앞서, 본 논문은 개인정보보호법과 법 제정이후 마련/논의된 개인정보보호 법제도 및 정책 활동에 대한 문헌 연구를 통해, 개인정보보호에 대한 우리 정부의 정책의 초점 및 동향과 국민의 개인정보 인식과 관련된 사안이 어떻게 논의되고 있는지를 분석하였다. 그리고 개인정보보호 정책의 효과성에 대한 국민의 인식을 정량적인 관점에서 분석하기 위해, 개인정보보호 정책을 일종의 공공서비스로 이해하고, 공공서비스의 성과를 분석하는 척도로 활용되고 있는 SERVQUAL 모형에 개인정보 보호의 기본적인 개념과 원칙을 적용하여 개인정보보호 정책의 효과성을 측정할 수 있는 SERVQUAL 척도를 개발하고, 이를 이용한 설문조사 연구를 수행하였다. 구체적으로 설문조사는 정책에 대한 주관적인 평가를 위해, 서비스를 제공하는(정책을 마련하고 이행하는) 공급자(정부, 개인정보보호 담당자) 측면의 인식을, 객관적 평가를 위해 서비스의 혜택을 받는 수혜자(일반 국민) 측면의 인식을 함께 조사·분석하였다. 그리고 이러한 공급자와 수혜자의 효과성 인식이 개인정보보호 정책의 만족도에 미치는 요인을 분석하고, 공급자와 수혜자의 효과성 인식 수준에 대한 중요도-성과 분석과 매트릭스 분석을 통해 개인정보보호 정책의 개선을 위한 의제 요소와 상대적 우선순위를 식별하였다. 이러한 개인정보보호 정책의 효과성에 대한 실증적 분석의 핵심 결과를 요약하면 다음과 같다. 첫째, 공급자와 수혜자는 개인정보보호 정책의 효과성을 다르게 인식하고 있다. 세부적으로 개인정보보호 정책에 대해 공급자인 개인정보보호 담당자는 수혜자인 국민보다 정책의 효과성을 더 높게 인식하고 있고, 개인정보보호 정책에 대한 만족도 역시 더 높게 나타났다. 정책의 효과성 인식에 있어, 개인정보보호 담당자는 개인정보를 확인하기 위한 노력(효율성)과 개인정보에 대한 안전의 보장(안전성)에 대한 효과성을 가장 높게 지각하는 반면, 국민은 정책의 즉각적인 이행(신속성)과 정보주체의 편의(편의성)와 개인정보보호 관련 역할, 책임, 의무(책임성)에 대한 효과성을 높게 지각하고 있다. 또한 개인정보보호 담당자는 업무의 정확한 이행(신뢰성)에 대한 효과성을 가장 낮게 인식하는 반면, 국민은 정보주체의 노력과 비용의 감소(효율성)와 관련된 효과성을 가장 낮게 인식하고 있다. 둘째, 개인정보보호 정책의 효과성에 대한 공급자와 수혜자의 인식이 정책 만족도에 미치는 핵심 영향 요인은 ‘안전성’이며, 다른 주된 영향요인은 다르게 나타났다. 개인정보보호 담당자의 경우, 개인정보에 대한 안전의 보장(안전성)과 개인정보의 권리 보장을 위한 역량 및 전문성(보증성)에 대한 효과성 인식이 정책 만족도에 영향을 미치는 반면, 국민의 경우, 개인정보 권리 보장의 적합 여부(보증성), 개인정보에 대한 안전의 보장(안전성), 개인정보보호에 대한 사회적 요구의 대응(반응성)에 대한 효과성 인식이 정책 만족도에 영향을 주고 있다. 셋째, 수혜자의 인식을 토대로, 국민지향적인 개인정보보호 정책을 위한 정책 방안을 고찰하고, 개인정보보호 정책에 대한 공급자-수혜자 인식의 통합적 분석을 통해, 개인정보보호 정책의 발전을 위한 방향과 전략을 고찰하였다. 구체적으로 국민이 기대하는 바가 높지만, 실제 성과가 낮게 인지되어 집중되어야 할 사항으로 ‘정책이 신속하고 능동적으로 시행되고’, ‘IT 기술 환경을 반영하여 적절하게 개선되며’, ‘정책을 통해 개인정보 수집에 대한 고지와 동의가 정확하게 이루어지고’, ‘개인정보보호 관련 정보가 이해하기 쉬운 단어로 제공되며’, ‘개인정보가 정확하고, 완전하며, 최신의 정보로 유지되어야’ 함이 식별되었고, 이를 중심으로 개인정보보호 정책의 실효성을 확보하기 위한 방안의 논의가 우선적으로 요구된다. 또한 공급자와 수혜자가 개인정보 업무처리에 있어, 정책의 성과를 낮게 인식하고 있어, 개인정보보호 담당자에 대한 신뢰나 적극성, 전문성을 향상시키고, 이를 통해 업무처리의 실수/오류를 줄이고 업무처리의 정확성과 신속성을 확보할 수 있는 정책 개선의 논의가 우선적으로 필요하며, 개인정보 활용 제한에 대한 신뢰성 역시 개선을 위한 대안이 마련되어야 함이 식별되었다. 본 논문은 기존 개인정보보호 연구와 달리, 개인정보보호에 대한 국민의 인식을 국가 정책에서 어떻게 반영하여 정책을 개선·발전시켜야 하는가에 대해 실증적 조사 분석을 수행함으로서, 국민의 인식과 만족도를 기반으로 정책이 나가야할 방향을 고찰한다는 점에서, 정부 정책에 국민의 관점을 반영하기 위한 논의의 시발점으로서 그 의미가 있다. 그리고 실증적 분석을 위해, 공공서비스의 관점에서 국가 개인정보보호 정책을 접근하여 공공서비스의 품질을 정책의 성과로서 분석함으로써, 정책의 효과성(성과)을 정성적인 척도에서 계량적으로 분석했다는데 방법론적 의의가 있다. 또한 증가하고 있는 개인정보에 대한 위협과 이에 따라 높아지고 있는 개인정보보호의 중요성 인식에 비해, 부정적이고 낮아지고 있는 개인정보보호 활동에 대한 국민의 인식을 제고할 수 있는 시사점을 고찰한다는 점에서, 연구자 및 정책입안자들에게 정책 수립을 위한 기반자료로 활용되어, 고객 지향적 개인정보보호 정책의 마련에 기여할 것이라는 점에서 정책적인 함의가 존재한다. 본 논문은 특정 정책을 대상으로 하지 않았기에, 조사 및 분석에 있어 객관성이 부족한 한계점을 가지지만, 새로운 기술사회로의 진입에 있어 개인정보보호 정책이 나아가야할 국민지향적 정책으로의 발전 방향을 거시적으로 제시하였기에, 고도화된 정보 사회의 안전을 보다 강화하는데 도움이 될 것을 기대한다.

핀테크 서비스의 개인정보보호 자가평가항목 개발에 관한 연구 : 간편결제 서비스 중심으로

강민수 고려대학교 정보보호대학원 2016 국내석사

핀테크 서비스 산업은 현재 전 세계적으로 ICT기술을 기반으로 모바일 등 다양한 채널을 통해 금융 및 결제서비스의 혁신을 이끌며 빠르게 성장하고 있다. 국내에서도 간편결제 서비스를 중심으로 다양한 핀테크 서비스 산업이 형성되고 있다. 이러한 핀테크 서비스는 여러 가지 보안 위협들이 존재하며, 그 중 개인정보 및 금융정보를 수집ㆍ이용함에 따라 이에 대한 정보 유출이나 프라이버시 침해 사고 가능성도 증가할 것이다. 이에 본 논문에서는 핀테크 서비스 중 간편결제 서비스를 대상으로 자신의 개인정보보호에 대한 합리적인 선택을 하는 이용자들(Privacy Pragmatists)에 대해 해당 서비스를 이용 및 선택 시 개인정보보호에 대한 자가평가를 할 수 있도록 평가항목을 도출하며, 이를 통해 향후 핀테크 서비스의 개인정보보호를 위한 보안 정책을 제언하고자 한다.

위험관리 방법론 기반의 실효적 국가 정보보호 관리체계 도입에 대한 연구 : 공공기관 정보보호 아키텍처 도입에 대한 제언

강현호 高麗大學校 情報保護大學院 2012 국내석사

적국으로부터의 사이버공격이 원인으로 지목된 2009년 농협전산망 사고, D-DoS 공격으로 인한 웹사이트 서비스 중단사태 및 Stuxnet 악성코드 공격으로 인한 이란 핵발전소 중단사고 등 이미 사이버공격은 국가위기를 초래하는 중대한 위험이 되었다. 우리나라에서는 주요기반시설을 국가 주요정보통신기반시설로 지정하여 정기적인 취약성 점검을 하고 있으며 공공기관에 대하여는 국가정보원 주관으로 정보보안 관리실태 평가를 시행하고 또한 주요 정보통신사업자 등을 대상으로 정보보호 안전진단제도를 운영해 왔다. 그럼에도 불구하고 지속적으로 발생하는 사이버 공격으로 인한 개인정보유출사태 등 정보보안 침해사고가 끊이지 않는 것은 무슨 이유일까? 연구자는 이에 대한 답변으로 ISO 국제표준 및 해외선진사례에서 중요하게 제시하고 있는 위험관리를 충실히 하고 있지 않은 것이 원인이라 판단한다. 즉, ISO 27000 시리즈 국제표준 및 미국 NIST의 지침에서 정보보호를 위한 필수요건으로 제시하고 있는 위험분석 및 평가 즉, 위험관리를 상대적으로 소홀히 하고 있다고 판단한다. 위에서 언급한 기반시설 취약성점검, 공공기관 보안관리 실태평가, 정보통신사업자 정보보호 안전진단 등은 다소 차이는 있으나 이미 정해진 천편일률적인 통제항목을 해당기관이 준수하고 있는지 안하는지를 점검·평가하는 것이 주요내용이다. 따라서, 많은 기관들이 이러한 통제항목 준수를 위한 정보보호 대책수립 및 투자에는 전력하고 있으나 상대적으로 기관의 사정에 맞는 위험관리절차의 수립, 위험의 분석 및 평가수행 등은 소홀히 하고 있는 것이 보안의 핵심을 놓치고 있다고 보는 것이다. 본 논문에서는 공공기관에 우선적으로 국내외표준에서 제시하고 있는 위험관리방법론을 기반으로 한 정보보호아키텍처(rSA)를 도입할 것을 제언하며 구체적인 모델을 제시한다. rSA는 이미 공공기관에 도입이 의무화된 EA(정보기술아키텍처)가 기관의 업무최적화를 위한 정보화의 효익측면을 강조하는데 반해 위험측면을 정보화사업초기부터 고려하게 함으로써 합리적인 의사결정을 도모한다. 나아가 기관에 최적화된 정보보안대책을 수립하여 시행함으로써 실효적인 국가정보보안체계를 수립할 수 있다.

한ㆍ미 정보보호산업의 국제경쟁력 분석 : 포터의 다이아몬드 모델을 중심으로

원종성 高麗大學校 情報保護大學院 2012 국내석사

우리나라의 정보통신산업은 국내 경제성장을 견인하는 동시에 우리나라 전체 수출의 20%를 차지하여 국가차원의 핵심적인 전략산업으로 자리 잡아 왔다. 그러나 보안 산업은 세계수준의 기술력으로 충분한 가능성을 갖고 있음에도 불구하고 해외시장 진출은 활성화되지 못하고 있는 실정이다. 특히 정보보호 시장은 미국, 캐나다, 유럽 등의 선진국을 중심으로 형성되어 왔지만 최근에는 IT 인프라 개발이 빠르게 진행되며 인터넷 활용이 높아지고 있는 신흥 개발도상국들의 관심도 높아지면서 전 세계적으로 정보보호 시장은 크게 주목받고 있다. 본 연구에서는 마이클 포터의 다이몬드 모델을 이용하여 정보보산업의 경쟁력 분석을 위한 정보보호산업의 국가경쟁력 평가지표를 도출하여 정보보호산업의 국가 경쟁력을 개량적으로 측정할 수 있는 단초를 제시하고 더 나아가 산업발전 및 수출 활성화를 위한 기업전략과 정부의 정책방향에 대한 개인의 의견을 제시한다.

AHP를 활용한 스마트워크 정보보호 요소의 중요도 분석 : 중소기업의 모바일 오피스를 중심으로

강경훈 고려대학교 정보보호대학원 2013 국내석사

1. 연구의 개요 스마트워크는 시간과 장소에 얽매이지 않고 언제 어디서나 편리하고 똑똑하게 근무함으로써 업무효율성을 향상시킬 수 있는 업무방식을 말하며, 과학기술 및 정보통신기술의 발달로 많이 이슈화되고 있다. 이에 본 연구에서는 중소기업이 스마트워크의 한 유형인 모바일 오피스를 도입할 때 고려해야할 정보보호 요소를 도출하고, 이들 간에 상대적 우선순위를 실증적으로 분석해봄으로써, 정보보호 측면에서의 스마트워크 정책 방향을 제시하는데 목적이 있다. 이를 위해서 본 연구에서는 이론적인 논의로써 모바일 오피스를 포함한 스마트워크의 개념 및 유형별 특성에 대해 알아보고, 모바일 오피스의 보안 위협 및 대응방안에 관한 선행연구 분석을 통해 모바일 오피스 도입시 고려해야 할 정보보호 요소에 대해 살펴보았다. 이상의 이론적인 논의를 바탕으로 정보보호 분야에서 AHP(Analytic Hierarchy Process)를 활용한 연구를 다양하게 검토함으로써, 연구의 프레임워크를 설정하였다. 이후, 중소기업 종사자를 대상으로 2012년 11월 12일부터 11월 23일까지 약 2주간 온라인 설문조사를 실시하여 136명의 표본을 추출하여 다양한 분석을 시도하였다. 즉, 본 연구에서는 AHP에 근거해 모바일 오피스 정보보호 요소 간의 우선순위에 대해서 분석하고, 추가적으로 모바일 오피스의 주요 특성과 정보보호 요소별 차이를 규명하기 위해서 교차분석(Cross Tab Analysis)과 평균비교분석(독립표본T-검정, 일원배치분산분석)을 실시하였다. 그리고 변수간의 상관관계를 규명하기 위해 이변량 상관관계분석(correlation analysis)을 실시하였다. 2. 주요 연구결과와 시사점 본 연구에서 검증하고자 하는 연구가설(research hypothesis)에 대응하여 다음과 같은 연구결과를 도출할 수 있었다. 1) 가설1에 대한 AHP 분석결과 및 시사점 본 연구에서는 가설1을 “모바일 오피스 정보보호 요소의 5개 영역(단말기, 응용프로그램 및 플랫폼, 네트워크, 서버, 사용자)과 세부 하위 요소에 대한 상대적인 가중치(우선순위)에는 차이가 존재할 것이다”로 설정하였으며, 이에 대한 구체적인 AHP 분석결과와 시사점은 다음과 같다. 첫째, 영역(Level1)에 대한 우선순위의 분석 결과, ‘사용자’가 24.810%로 상대적으로 가장 높은 비중을 차지하고 있어, 이와 관련된 다양한 세부 요소(교육훈련, 업무현황 모니터링, 정보유출 추적기술, 정보보안 관리 조직, 퇴사 시 단말 회수)에 대한 우선적인 고려가 필요한 것으로 나타났다. 둘째, 이를 각 영역별 세부 하위요소에 대해서 분석해보면, 첫째, ‘단말기’ 영역의 경우에는 ‘접속관리’가 22.137%로 가장 높은 가중치를 보이고 있어, PC와 스마트폰 사이의 데이터 전송 통제 및 P2P/웹하드 접속 금지 등에 대한 우선적 고려가 필요한 것을 알 수 있었다. 둘째, ‘응용 프로그램 및 플랫폼’ 영역의 경우, ‘시스템 언락(Unlock) 탐지·차단’이 24.708%로 가장 높은 가중치를 보이고 있어, 기본적으로 탑재되어 있는 펌웨어를 고의적으로 조작한 펌웨어로 교체하는 언락(Unlock) 탐지 및 차단이 우선적으로 고려되어야 하는 것으로 나타났다. 셋째, ‘네트워크’ 영역의 경우, ‘데이터 암호화’가 41.261%로 가장 높은 가중치를 보이고 있어, 데이터 및 음성의 도·감청 방지를 위해 송·수신 데이터의 암호화에 우선적으로 초점을 둘 필요가 있음을 잘 보여준다. 넷째, ‘서버’ 영역의 경우, ‘무선랜 침입탐지시스템’이 21.788%로 가장 높은 가중치를 보이고 있어, 무선랜을 통한 침입 탐지 및 차단 시스템 구축이 중요함을 알 수 있었다. 다섯째, ‘사용자’ 영역의 경우, ‘퇴사 시 단말 회수’가 24.931%로 가장 높은 가중치를 보이고 있어 모바일 오피스 사용자가 퇴사할 경우 사용하던 단말 회수 및 데이터 삭제가 우선적으로 고려되어야 함을 알 수 있었다. 셋째, 전술한 영역(Level1)과 세부 하위요소(Level2)의 상대적인 가중치를 종합적으로 고려하였을 경우에는 상대적으로 ‘네트워크’ 영역의 ‘데이터 암호화’가 8.473%로 1순위, ‘네트워크’ 영역의 ‘무선랜 통제’가 6.499%로 2순위, ‘사용자’ 영역의 ‘퇴사 시 단말 회수’가 6.185%로 3순위 등으로 상대적으로 높은 가중치를 보이는 것으로 나타났다. 따라서 ‘데이터 및 음성의 도·감청 방지를 위한 송·수신 데이터 암호화’, ‘보안이 취약한 무선랜(WiFi)을 통한 시스템 접속 통제’, ‘모바일 오피스 사용자가 퇴사할 경우 사용하던 단말 회수 및 데이터 삭제’ 등을 우선적으로 고려하여 모바일 오피스를 구현할 필요가 있음을 알 수 있다. 2) 가설2에 대한 교차분석 및 평균비교분석 결과 및 시사점 본 연구에서는 가설2를 “다양한 특성(모바일 오피스 도입여부, 소속기관 규모, 직급, 직무분야, 성별, 실무경력, 전문지식 수준 등)에 따라서 모바일 오피스 정보보호 요소의 필요정도, 모바일 오피스를 도입하지 않은 이유 및 정부 지원사항 등에 대한 인식에 차이가 존재할 것이다”로 설정하였으며, 이에 대한 구체적인 교차분석 및 평균비교분석 결과와 시사점은 다음과 같다. 첫째, 모바일 오피스 도입과 관련한 사항(소속기관 모바일 오피스 도입여부, 도입하지 않은 이유, 문제 해결을 위한 정부의 지원사항 등)에 대해 분석한 결과, 모바일 오피스를 도입한 곳은 약 21.3% 정도로 도입하지 않은 곳(78.7%)에 비해서 상대적으로 그 비중이 낮은 것으로 나타났다. 이를 인적특성과 연계하여 살펴보면, 소속기관 직원규모가 큰 조직일수록 모바일 오피스 도입을 했을 가능성이 높은 것으로 나타났으며, 남자인 경우 소속기관에 모바일 오피스를 도입한 비중이 상대적으로 여자보다 높음을 알 수 있었다. 그리고 하위 직급이나 최상위 직급에 비해서 중간 직급에 해당되는 경우를 중심으로 모바일 오피스 도입 비중이 높았으며, 사무직이나 전산직에 비해서 기술직, 영업직, 기타에 해당되는 직무분야를 중심으로 모바일 오피스 도입 비중이 높음을 알 수 있었다. 모바일 오피스 정보보호에 대한 전문지식 수준이 높은 표본일수록, 소속기관의 모바일 오피스 도입 비중이 상대적으로 높게 나타났다. 둘째, 그리고 모바일 오피스를 도입하지 않은 이유는 주로 모바일 오피스 시스템 구축 등의 예산문제가 37.4%로 가장 높은 응답 비중을 차지하고 있으며, 그 다음으로는 기업 기밀정보 및 개인정보 유출 등 보안 문제가 22.4% 등으로 나타났다. 셋째, 위와 같이 모바일 오피스 도입을 주저하게 만드는 문제를 해결하기 위해서 정부가 지원해야 할 가장 중요한 사항은 최적의 모바일 오피스 솔루션 도입을 위한 컨설팅 제공(30.8%)이며, 그 다음으로는 모바일 오피스에 대한 인식 제고 및 활용 능력 향상을 위한 교육 제공(23.4%) 등으로 나타났다. 특히, 모바일 오피스 정보보호에 대한 전문지식 수준이 낮은 경우는 주로 컨설팅 제공과 같은 지원을 요구하고 있는 반면에, 전문지식 수준이 높은 경우는 그 외의 기술지원, 교육지원, 법제도 제정 등의 다른 지원사항을 요구하는 비중이 높음을 알 수 있다. 넷째, 표본들의 주요 특성(모바일 오피스 동비여부, 소속기관 직원규모, 직급, 직무분야, 실무경력, 전문지식 수준 등)에 따라서 모바일 오피스 정보보호 요소의 필요도에 대한 차이를 분석하였으며, 통계적으로 유의미한 결과를 토대로 다음과 같은 사항을 발견하였다. 모바일 오피스를 도입한 경우에 비해서 도입하지 않은 경우에서 모든 평균이 높아 각 영역 및 세부 하위요소에 대한 필요성을 더 많이 인식하고 있었다. 남자에 비해서 여자에 해당되는 표본이 모든 경우에서 평균이 높아 각 영역 및 세부 하위요소에 대한 필요성을 더 많이 인식하고 있는 것으로 해석할 수 있다. 소속기관 직원규모에 따라서는 제한적으로 ‘단말기’ 영역, 원격 잠금 삭제, 원격 데이터 관리, 모바일 전용백신의 경우에서만 통계적으로 유의미한 차이가 존재하였고, 대체로 직원규모가 작은 기관에 속해 있는 표본이 그렇지 않은 표본들에 비해 필요성을 더 많이 인식하고 있었다. 사무직과 기타에 해당되는 직무분야에서 각 영역 및 세부 하위요소에 대한 필요성을 더 많이 인식하고 있음을 알 수 있다. 실무경력과 전문지식 수준에 따라서 일부 지표에 차이가 존재하나, 비일관적인 패턴을 보였다. 3) 가설3에 대한 상관분석 결과 및 시사점 본 연구에서는 가설3을 “모바일 오피스 정보보호 영역 및 세부 하위요소 간에는 상관성이 존재할 것이며, 이에 따라 공동변화하는 정도에 차이가 있을 것이다”로 설정하였으며, 이변량 상관분석을 통해서 다음과 같은 분석결과와 시사점을 도출하였다. 첫째, 전체 5개 영역별 상관분석 결과, 각 변수간의 공동변화 정도는 (+)54.9%∼74.4% 정도로 높게 나타났으며, 특히, 모바일 오피스와 관련된 단말, 응용 프로그램 및 플랫폼, 네트워크, 서버, 사용자 등의 5개 영역별 필요도에 대한 관련성은 상당히 높은 편에 해당되며, 영역별로 유기적인 상관성이 있는 것을 알 수 있다. 둘째, 단말기 영역의 하위요소, 즉, 원격 잠금·삭제, 원격 데이터 관리, 사용자·단말기 인증, 모바일 전용 백신, 최신 운영체제, 접속관리 등 하위요소 간의 공동변화 정도가 (+)22.0%∼79.8% 정도로 높게 나타났다. 특히, 단말기 영역과 세부 하위요소의 상대적인 공동변화 정도는 모바일 전용백신(0.797), 최신 운영체제(0.771), 접속관리(0.766) 등의 순이며, 원격 잠금 삭제(0.666)의 공동변화 정도가 상대적으로 낮게 나타났다. 셋째, 응용 프로그램 및 플랫폼 영역의 하위요소, 즉, 애플리케이션 보안성 검증, 정보보호체계 확립, 응용프로그램 보안, 비정상적 사용패턴 탐지, 시스템 언락(Unlock) 탐지· 차단 등 하위요소 간의 공동변화 정도는 (+)54.6%∼88.7% 정도로 높게 나타났다. 그리고, 응용 프로그램 및 플랫폼 영역과 세부 하위요소의 상대적인 공동변화 정도는 애플리케이션 보안성 검증(0.887), 정보보호체계 확립(0.879), 비정상적 사용패턴 탐지(0.857) 등의 순이며, 상대적으로 시스템 언락(Unlock) 탐지 차단(0.802)의 공동변화 정도가 가장 낮은 편임을 알 수 있었다. 넷째, 네트워크 영역의 하위요소, 즉, VPN, 데이터 암호화, 무선랜(WiFi) 통제 등 하위요소 간의 공동변화 정도는 (+)48.0%∼84.8% 정도로 높게 나타났다. 그리고 네트워크 영역과 세부 하위요소의 상대적인 공동변화 정도는 VPN(0.848)이 가장 높으며, 상대적으로 데이터 암호화(0.818)의 공동변화 정도가 가장 낮은 편임을 알 수 있었다. 다섯째, 서버 영역의 하위요소, 즉, 침입차단 및 방지, 보안관제, 사용자 행위기록, 무선랜 침입 탐지 시스템, 릴레이 연계 서버 등 하위요소 간의 공동변화 정도는 (+)46.3%∼86.3% 정도로 높게 나타났다. 그리고 서버 영역과 세부 하위요소의 상대적인 공동변화 정도는 무선랜 침입 탐지 시스템(0.863)이 가장 높으며, 상대적으로 사용자 행위기록(0.783)의 공동변화 정도가 가장 낮은 편임을 알 수 있었다. 여섯째, 사용자 영역의 하위요소, 즉, 교육·훈련, 업무 현황 모니터링, 정보유출 추적기술(디지털 포렌식), 정보보안 관리조직, 퇴사 시 단말 회수 등 하위요소 간의 공동변화는 (+)39.8%∼86.8% 정도로 높게 나타났다. 그리고 사용자 종합과 세부 하위요소의 상대적인 공동변화 정도는 정보유출 추적기술(디지털 포렌식)(0.868)이 가장 높으며, 상대적으로 퇴사 시 단말 회수(0.781)의 공동변화 정도가 가장 낮은 편임을 알 수 있었다. 3. 연구의 한계와 후속 연구의 필요성 본 연구는 방법론상에서 다음과 같은 한계를 가질 수 있어 해석상의 주의와 향후 추가적인 보완 연구 등이 필요하다. 본 연구의 AHP 체계가 모바일 오피스에서 고려해야 하는 정보보호 요소를 모두 포함한 것인지, 그리고 각 계층별 하위항목간의 정렬이 타당하게 이루어진 것인지 등에 대한 방법론적 비판이 존재할 수 있다. 왜냐하면 의사결정 체계에 대한 자의성에 대한 비판은 AHP 방법론이 가지는 근원적인 한계이기 때문이다. 따라서 본 연구의 AHP 조사체계가 모바일 오피스와 관련된 세부 내용을 충분히 반영하고 있다고 주장하기 보다는 향후 다양한 외생적, 내생적 환경과 수요를 반영하여 해당 정책이 추가적으로 고려해야 할 요소가 무엇인지를 지속적으로 고민해보아야 할 것이다. 따라서 본 연구의 측정도구를 현실에 맞게 보다 정교화하여 다양한 분석단위를 대상으로 한 추가적인 실증분석도 이루어질 필요가 있을 것이다. 그리고 본 연구는 양적인 방법론을 활용한 연구결과이다. 이러한 연구결과는 일반적인 경향을 파악하는데 용이하나 각 표본들 간의 특수하고 개별적인 특성을 파악하는 데는 용이하지 못하다. 즉 이상의 양적인 방법이 가지는 기본적인 한계를 보완하기 위해서 해석학적 관점에서의 사례분석이나 인터뷰, 면접 등의 질적인 방법론을 활용한 보완적인 연구가 이루어질 필요가 있다.

디지털 時代 敎育情報의 合理的 保護體系 定立에 관한 硏究 : 美國 FERPA와의 比較를 中心으로

김미리 고려대학교 정보보호대학원 2020 국내석사

With the advent of the Fourth Industrial Revolution following the development and convergence of information and communication technology, data has become a source of new value creation and an important asset for economic activities. Data aggregation and utilization are activated worldwide in line with the trend of the times, and these changes are no exception in education. With the advent of Edu-Tech-based education services, digital education using big data and artificial intelligence is becoming more common, and all information of learners is collected and recorded in the online environment and used in various ways. However, there are concerns that the aggregation and utilization of information in these innovations will lead to personal information infringement. In fact, due to the nature of the Internet, problems such as information leakage, misuse, and abuse are still constantly occurring, and personal information protection is not properly implemented. In particular, in Korea, which has a high zeal for education, the risk of information infringement is also high as educational information is widely collected and recorded in large quantities, as it does not spare investment in educational activities. Moreover, due to the nature of the education field, the scope of education information is very wide because it contains all information about students, teachers, and schools, and it includes all sensitive information such as students' grades, friendships, medical history, disciplinary records, and counseling records, so the necessity of protection and the importance of management is further emphasized. The key problem is that there is no proper system or policy for protecting educational information. Currently, Korea protects personal information through the Personal Information Protection Act, a general law that deals with overall personal information protection. The law only contains general matters concerning personal information protection that do not take into account the specificity of individual fields, so there is a limit to the solution to protect sensitive information in the field of education. In addition, while the right to modify and delete self-information is being specified in the recent domestic and international personal information protection legislation, there are still no specific measures to enable information subjects to actively exercise the right to control their information in the field of education. Meanwhile, the U.S. has been protecting personal information in the field of education by establishing the FERPA (The Family Educational Rights and Privacy Act) as a federal special law. FERPA applied the fair information practice principles that allow fair use of personal information, and based on this, it granted active rights for the information subject to control its own information. In addition, FERPA the concept of educational information was clarified so that necessary information could be utilized appropriately. In response, this study emphasized the need for a system that can satisfy both aspects of the value of protection and utilization of personal information in the Korean education sector through comparison with FERPA in the United States. In order for the industry to be active in the era of the data economy, data must be used well, and information protection must be prioritized in order to activate data use. It is necessary to establish the principle of education information protection and the means for the implementation of the rights of information subjects and to design a system for establishing a balanced protection system so that data can be used rationally and efficiently while protecting it in a digital environment. 바야흐로 데이터 경제(Data Economy) 시대다. 정보통신기술의 발전과 융합에 따른 4차 산업혁명 시대가 도래하면서 데이터는 새로운 가치를 창출하는 원천이 되고 경제활동의 중요한 자산이 되었다. 시대의 흐름에 걸맞게 전 세계적으로 데이터의 집적 및 활용이 활성화되고 이러한 변화는 교육 분야에서도 예외가 아니다. 에듀테크(Edu-Tech) 기반 교육서비스의 등장으로 빅데이터, 인공지능 등을 활용한 디지털 교육이 점차 보편화되면서 온라인 환경에서 학습자의 모든 정보가 수집·기록되어 다양하게 활용되고 있다. 그러나 이러한 혁신 속에서 정보의 집적과 활용은 개인정보 침해로 이어질 우려도 존재한다. 실제로 인터넷 특성상 정보의 유출 및 오·남용과 같은 문제가 지금도 끊임없이 발생하고 있으며 개인정보보호가 제대로 이루어지지 않고 있다. 특히 교육열이 높은 우리나라의 경우 교육 활동에 있어서 투자를 아끼지 않는 만큼 교육정보가 대량으로 광범위하게 수집·기록되면서 그에 따른 정보침해의 위험성 또한 높을 수밖에 없다. 더욱이 교육 분야의 특성상 교육정보는 학생, 교사, 학교에 관한 일체의 정보를 담고 있어 그 범위가 매우 넓을뿐더러 일반 개인정보뿐만 아니라 학생의 성적, 교우관계, 병력, 징계기록, 상담기록 등 민감정보도 모두 포함하고 있기 때문에 보호의 필요성 및 관리의 중요성이 더욱 강조된다. 가장 큰 문제는 교육정보보호를 위한 제도나 정책이 제대로 마련되어 있지 않다는 점이다. 현재 우리나라는 개인정보보호 전반을 다루는 일반법인 「개인정보 보호법」을 통해 개인정보를 보호하고 있는데 이는 개인정보보호에 관하여 개별 분야의 특수성을 고려하지 않은 일반적 사항만을 담고 있을 뿐이어서 교육 영역에서의 내밀한 정보를 보호하기 위한 해결책으로는 한계가 있다. 또한, 최근 국내외 개인정보보호 법제들을 살펴보면 자기정보에 관한 정정권, 삭제권 등의 권리가 구체화되고 있는 데 반해 교육 분야에서는 정보주체로 하여금 자기정보에 관하여 적극적으로 권리를 행사할 수 있도록 하는 구체적인 방안이 아직 부재한 상황이다. 한편, 미국은 일찍이 연방 특별법으로 ‘FERPA(가족 교육권 및 프라이버시에 관한 법률)’를 두어 교육 분야의 개인정보를 보호하고 있다. 주목할 만한 점은 개인정보를 공정하게 이용할 수 있는 공정정보원칙을 적용하였다는 것인데 이를 바탕으로 정보주체가 스스로 자기정보를 통제할 수 있도록 적극적인 권리를 부여하고 교육정보에 관한 개념을 명확히 하여 필요한 정보를 적절히 활용할 수 있도록 하였다. 이에 본 연구는 미국의 FERPA와의 비교를 통해 우리나라 교육 분야의 개인정보에 관하여 보호와 활용이라는 두 가치 측면을 모두 만족시킬 수 있는 제도의 필요성을 강조했다. 전 세계가 주목하는 데이터 경제 시대에서 산업 활성화를 위해서는 데이터를 잘 활용하여야 하는데 그러려면 정보의 보호가 우선시되어야 한다는 것은 아무리 강조해도 지나치지 않다. 교육정보보호에 관한 원칙과 정보주체의 권리 구현을 위한 수단을 마련하고 디지털 환경에서 데이터를 보호하면서도 합리적·효율적으로 활용할 수 있도록 균형을 이룬 보호체계 정립을 위한 제도의 설계가 필요하다.