USB 메모리의 컨테이너ID를 이용한 PKI 기반의 개인키 파일의 안전한 관리 방안

김선주(Seon-Joo Kim),조인준(In-June Joe) 한국콘텐츠학회 2015 한국콘텐츠학회논문지 Vol.15 No.10

대부분의 인터넷 사용자 및 스마트폰 보유자는 공인인증서를 발급 받았고, 공인인증서를 통해 계좌 이체, 주식거래, 쇼핑 등 다양한 업무에 활용하고 있다. 대부분은 PC나 USB 메모리와 같은 외부 저장매체에 공인인증서와 개인키를 저장한다. 특히, 공인인증기관에서는 공인인증서와 개인키 저장매체로 하드디스크보다는 보안토큰, 휴대폰, USB 메모리 등의 저장매체를 권장하고 있다. 그러나 USB메모리는 PC에 연결되는 순간 쉽게 이동/복사될 수 있고, 악성코드나 파밍 사이트 연결을 통해 쉽게 해커에게 인증서 파일과 개인키 파일이 노출될 수 있다. 더욱 큰 문제는 해커에게 복사된 인증서 파일과 개인키 파일은 아무런 제약없이 사용자의 패스워드만 알면 정당한 사용자처럼 사용할 수 있다는 점이다. 이에 본 논문에서는 암호화된 개인키 파일의 패스워드와 USB 메모리의 HW 정보를 이용하여 USB 메모리에 개인키 파일의 안전한 관리 방안을 제안하였다. 이를 통해, 해커에 의해 암호화된 개인키 파일을 임의로 이동/복사되거나 또는 개인키 파일이 노출되더라도 암호화된 개인키를 안전하게 보호할 수 있다. 또한, 개인키 파일의 패스워드가 노출되더라도 USB 메모리의 컨테이너ID라는 추가 인증요소를 활용하여 개인키를 안전하게 보호할 수 있다. 따라서 활용도가 매우 높은 공인인증체계에서 제안시스템은 저장매체 보호 방안으로 보안성이 크게 향상될 것으로 기대한다. Mosts user of internet and smart phone has certificate, and uses it when money transfer, stock trading, on-line shopping, etc. Mosts user stores certificate in a hard disk drive of PC, or the external storage medium. In particular, the certification agencies are encouraged for user to store certificate in external storage media such as USB memory rather than a hard disk drive. User think that the external storage medium is safe, but when it is connect to a PC, certificate may be copied easily, and can be exposed to hackers through malware or pharming site. Moreover, if a hacker knows the users password, he can use users certificate without restrictions. In this paper, we suggest secure management scheme of the private key file using a password of the encrypted private key file, and a USB Memorys hardware information. The private key file is protected safely even if the encrypted private key file is copied or exposed by a hacker. Also, if the password of the private key file is exposed, USB Memorys container ID, additional authentication factor keeps the private key file safe. Therefore, suggested scheme can improve the security of the external storage media for certificate.

개인정보처리자에 관한 연구

김민호(Kim, Min-Ho) 성균관대학교 법학연구소 2014 성균관법학 Vol.26 No.4

공공부문과 민간영역을 모두 아우르는 「개인정보 보호법」이 제정ㆍ시행되었으나 여전히 타인의 개인정보를 불법 수집ㆍ이용하는 이른바 개인정보 침해사고는 여전히 기승을 부리고 있다. 오히려 법집행에 따른 단속이나 행정처분 등으로 일반 국민들에게 피로감만 증폭시키고 있다는 비판이다. 기업들은 과도한 개인정보 보호정책 때문에 정상적인 기업 활동이나 새로운 서비스 개발에 제약을 받고 있다는 불만을 제기하고 있다. 법제정을 위한 사전 연구와 검토가 부족한 탓도 있고 행정기관 상호간의 이해관계 충돌로 정보통신망에서의 개인정보, 금융분야 신용정보로서의 개인정보 등과 관계 정리를 소홀히 한 탓도 있다. 많은 학자들이 법 시행을 과정에서 법과 현실의 괴로 인한 법집행의 한계가 노정된 가장 커다란 원인으로 ‘개인정보’의 개념이 지나치게 넓고 모호해서 법적용의 곤란성을 증폭시키고 있다는 점을 들고 있다. 그래서 개인정보의 정의를 재정립하자는 주장이 계속해서 제기되고 있다. 이들 주장은 대체로 개인정보의 개념을 세분화하려는 시도, 프라이버시의 관계정립을 통해 개인정보를 차별화하자는 주장, 개인정보의 핵심 개념인 ‘식별성’에 대한 수정이 필요하다는 견해들이다. 하지만 이들 논의는 모두 논리적ㆍ입법론적 한계가 있다. 개인정보는 어떠한 정의 기법을 사용하더라도 결국 “개인에 관한 모든 정보”일수밖에 없다. 현행 「개인정보 보호법」은 개인정보 개념의 모호성과 광범위성을 극복하고 법과 현실의 간극을 없애기 위해 ‘개인정보파일’과 ‘개인정보처리자’라는 개념을 따로 설정하고 있다. ‘개인정보파일’을 별도로 정의하여 ‘개인정보가 기재되어 있는 문서라 할지라도 체계적으로 배열ㆍ검색할 수 있도록 구성되어 있지 않은 단순한 문서 집함물인 경우’를 「개인정보 보호법」의 적용에서 제외하고 있으며, “개인정보처리자”라는 제한적 개념을 정의하여 법적 금지 또는 행위규범의 준수자(수범자)를 제한하고 있다. 하지만 이러한 입법취지와는 다르게 현행 「개인정보 보호법」은 개인정보처리자의 범위를 또 다시 모호하게 하는 오류를 범하고 있다. “개인정보파일을 운영하는...”이라는 작용적 개념을 사용하여 개인정보처리자를 한정적으로 구체화함에도 불구하고 “개인정보파일을 운영하기 위하여....”라는 목적적 개념을 사용함으로써 현재의 실제적 작용이 없더라도 미래적ㆍ목적적으로 “개인정보파일을 운영할 가능성”만 존재하면 개인정보처리자가 될 수 있다. 따라서 「개인정보 보호법」의 수범자를 한정ㆍ구체화하여 법 집행의 실효성을 높이려는 당초의 입법목적을 충실하게 반영하기 위해서는 개인정보처리자를 “업무를 목적으로 스스로 또는 다른 사람을 통하여 개인정보를 처리하여 개인정보파일을 운용하는 공공기관, 법인, 단체 및 개인 등을 말한다.”로 한정ㆍ구체화하는 것이 타당하다. 이외에도 개인정보처리자와 벌칙적용대상자의 관계, 법인에 대한 양벌규정, 개인정보처리자로서의 공공기관 특히 행정청에 대한 벌칙적용 및 과태료 부과의 타당 성 등에 대한 문제도 살펴보고 그 대안적 방안을 제시하였다. 「Personal Information Protection Act」(PIPA) integrating both public and private sector’s personal data protection is in force. Although illegal to collect other personal informations is still rampant. But rather to be displeased because of overdone administrative penalties according to law enforcement. Companies complain that they are interrupted the normal business activities and develop new services because of excessive regulations of PIPA. In many scholars’ opinion, the most significant cause of gap between regulation and practice is that the concept of ‘personal Information’ is too vague and broad. So the argument for redefining the definition of personal information continues to be raised. These claims are usually an attempt to refine the deference concepts between privacy and personal information, and to modify ‘identity’which is the core concept of the personal information. However, these discussions have all logical and legislative theoretical limit. In conclusion personal information is defined as all information relating to the individual. On the purpose that the current PIPA is to overcome the ambiguity and broad concept of the personal information and eliminate the gap between the law, legislator created the concept of ‘Personal Information File’and ‘Data Controller'. The reason why the Personal Information File was defined specially at PIPA is excluded Simple Data Controller except manager of Personal Information File from the application of the PIPA. And also the using the concept of Data Controller is same purpose. However, in spite of this legislative intent the current PIPA mistakes again. Because the PIPA defined Data Controller to not ‘....... to operate the personal information file ...’ but ‘..... likely to operate a personal information file....’any personal information controller in order to make file is likely treated by Data Controller of the PIPA. Therefore, for adjusting legislative intent the current PIPA has to revise form ‘..... likely to operate a personal information file...’ to ‘....... to operate the personal information file ...’. In addition, the current PIPA should revise several clauses including enforcement, penalties, and fines imposed on the administrative agency through studying on the cause of gap between regulation and practice of the current PIPA.

개인정보보호법 위반 사범 수사를 위한 법리적 검토 및 제언

정세종(Jung, Se Jong) 한국공안행정학회 2020 한국공안행정학회보 Vol.29 No.1

본 논문은 「개인정보보호법」 상 개인정보 불법제공 및 누설과 관련해서 일반시민은 물론 수사실무에서 많은 혼선이 제기되어 왔다는 점에 주목하고 법적 쟁점들을 도출하고 관련 판결문을 분석하며 궁극적으로 실무상 법적용 기준점을 제시하고자 하는 목적에서 진행되었다. 선행연구들은 현행 법률의 문제점으로 첫째, ‘개인정보’의 개념이 명확하지 않아 죄형법정주의에 반할 우려가 크고, 둘째, 개인정보 활용에 지나친 제약을 가하고 있으며, 셋째, 형사처벌 범위가 매우 넓어 일률적인 중벌화의 경향이 짙고, 넷째, ‘동의’의 법적 효력에 관해서 논란의 여지가 존재하며, 다섯째, 개인정보활용을 제한하는 형사처벌 규정 체계가 지나치게 복잡해서 전문가들조차도 이해하기가 어렵다는 점 등을 지적하였다. 법원은 ①정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서는 영리를 목적으로 개인정보를 수집하여 제3자에게 제공하더라도 처벌할 수 없고, ②‘개인정보처리자’와 ‘개인정보를 처리하거나 처리하였던 자’를 명확하게 구분하고 있으며, ③‘업무상 알게 된 개인정보’를 ‘개인정보를 처리하거나 처리하였던 자’가 그 업무 즉, ‘개인정보를 처리하는 업무와 관련하여 알게 된 개인정보’로 한정하고, ④‘개인정보처리자’의 범위를 엄격하게 해석하려는 태도를 보였다. 필자는 수사실무에서의 명확한 법적용을 위해서는 첫째, ①‘개인정보’, ②‘개인정보파일’, ③‘처리’와 같은 용어를 명확하게 이해하고, 둘째, 개인정보 불법제공 및 누설과 관련된 여러 구성요건을 명확하게 구별하여야 한다는 점을 지적했다. 구성요건에 관해서 구체적으로 언급하면, 먼저, 개인정보 불법제공은 ①미동의 정보제공(법 제71조 제1호)과 ②목적외 정보제공(법 제71조 제2호)으로 대별된다. 정보제공의 주체 측면에서 전자는 ‘개인정보처리자’만 해당되는 반면, 후자는 ‘개인정보처리자’외에도 ‘개인정보처리자로부터 개인정보를 제공받은 자’, ‘수탁자’, ‘영업양수자등’이 모두 포함된다. 정보를 제공받는 자의 관점에서도 전자는 “그 사정을 알면” 곧바로 처벌대상이 되지만 후자는 “영리 또는 부정한 목적”이 추가적으로 요구되는 목적범이다. 다음으로, 업무상 정보누설 및 제공(법 제71조 제5호) 또한 정보누설 등의 주체는 ‘개인정보를 처리하거나 처리하였던 자’로 제한되는 신분범으로 이해되고, 객체는 ‘개인정보를 처리하는 업무와 관련하여 알게 된 개인정보’로 한정되며, 정보를 제공받는 자에서도 “영리 또는 부정한 목적”이 추가적으로 요구된다. This study was conducted to draw legal issues, analyze relevant rulings, and ultimately present legal points of reference in practice, noting that many confusion has been raised in the working level of investigation related to the illegal leakage of personal data under the “Personal Information Protection Act”(PIPA). PIPA was enacted on March 29, 2011 to protect individuals’ privacy from collection, leakage, misuse and abuse of personal data. According to PIPA §2., ①the term personal information means information relating to a living individual that makes it possible to identify the individual by his/her full name, resident registration number, image, etc. (including information which, if not by itself, makes it possible to identify any specific individual if combined with other information), ②the term personal information controller means a public institution, legal person, organization, individual, etc. that processes personal information directly or indirectly to operate the personal information files for official or business purposes. The preceding studies have pointed out the problems of current law as follows. First, the concept of ‘personal information’ and ‘personal information controller are not clear, which can be contrary to criminal justice. Second, punishment is not fair because it is very serious compared to other laws. Third, PIPA place greater weight on curbing rather than promoting the use of personal information. The Supreme Court ruled that it could not be punished even if it collected personal information for profit purposes and provided it to a third party within the extent that it was objectively acknowledged that there was consent from the intelligence entity. And it has a limited interpretation of the scope of personal data controller. The writer pointed out that for clear legal use in the investigation practice, terms such as Personal Information, Personal Information File and Processing should be clearly understood, and various components related to the illegal provision and leakage of personal data should be clearly identified.

개인정보 보호의 규범적 의의와 한계

김진환(Kim, Jin Hwan) 한국법학원 2014 저스티스 Vol.- No.144

개인정보 보호의 규범적 의의를 고찰하기 위하여 ‘개인정보 보호는 원래부터 당연한 것이었나?’와 ‘개인정보 보호를 통해 달성하고자 하는 법익은 개인정보자기결정권인가?’라는 두 가지 근본적인 질문을 살펴본다. 전자는 개인정보 보호의 현대적 의미에 향하여져 있고, 후자는 개인정보 보호를 통해 궁극적으로 추구되는 보호법익을 탐구하는 것이다. 개인정보 보호는, ‘프라이버시’라는 관념이 정립되기 시작한 이후 일반적인 프라이버시 보호라는 범주 내에서 논의되고 보호되었을 뿐, 개인정보가 갖는 특유한 성격을 고려하여 규범상으로 특별한 취급을 할 필요가 없었던 것인데, 비교적 최근에 이르러 컴퓨터 기술의 발전을 매개로 한 개인정보의 디지털화를 통해 대규모 집적, 무한 복제, 무한 분석 그리고 광속 전파가 가능함에 따라 통상적인 프라이버시 보호의 범주를 넘어서는 새로운 의미의 규범적 보호 체계가 절실하게 되었다. 개인정보 관련 법령의 이해와 해석을 위해서 이러한 사정은 충분히 고려되어야 하는바, 이와 관련하여 그간 별다른 관심을 받지 못하고 연구의 대상도 아니었던 개인정보법상의 ‘개인정보파일’ 개념이야말로 개인정보의 디지털화에 따른 대량화, 자동화라는 현대적 현상에 대응하는 합리적인 개인정보보호의 규범적 면모를 파악할 수 있게 한다. 현대적 의미의 개인정보 보호는 개인정보보호법상 개인정보파일의 개념을 통하여 상당 부분 그 보호대상을 규범적으로 한계 지을 수 있을 것이다. 한편, 개인정보 보호를 통하여 달성하려고 하는 보호법익 측면에서 보자면, 보호법익에는 절차적, 형식적 측면의 위험규제를 목적으로 하는 개인정보자기결정권과 실체적 권리로서 정보주체의 사생활의 비밀과 자유를 비롯한 각종 사권(私權)들이 존재한다. 그런데, 개인정보자기결정권의 침해와 정보주체의 실체적인 권리의 침해를 동일시할 수 없고, 결국 보호법익의 대상과 침해 정도에 따라 위법성의 정도, 적절한 구제책 등 각종 규범적 평가를 달리 하는 것이 타당할 것이다. 따라서 개인정보자기결정권은 개인정보 보호에 있어서 매우 중요한 위치를 차지하고 있지만, 개인정보 관련 법령을 통해 궁극적으로 보호되어야 할 정보주체의 실체적인 각종 권리를 보호하기 위한 수단적 역할이 주된 임무이지 그 자체로 목적이 될 수 없다는 점 또한 간과되어서는 안되고, 이러한 점에서 개인정보자기결정권의 본래 성격을 규명하는 것은 개인정보 보호나 그 침해에 대한 가장 적절한 보전책을 밝힐 수 있는 시발점이라고 할 수 있다. 이를 통해 개인정보보호법을 위반한 각종 행위에 대한 제대로 된 평가나 그로 인한 손해에 대한 합리적인 해석이 가능할 것이다. In this study, I ask the following two questions in order to consider the normative meaning of personal information protection; first, is the right to protection of one’s personal information a natural right, and second, is the legal right we seek to protect by enforcing personal information protection jurisprudence the right of self-determination of personal information? The first question explores the meaning of personal information protection in light of the ever changing modern landscape whereas the second seeks to understand what the legal right that ought to be protected by personal information protection really is. Originally, the notion of personal information protection was discussed as one part of the larger concept of the “privacy” and was not conferred with separate treatment due to any particular properties “personal information” may have over other types of protectable information. It is only in the relatively modern era of rapid digitalization which has permitted certain capabilities such as mass storage, unlimited copying, unlimited analysis and distribution at the speed of light, which has created a need for giving separate normative treatment to personal information. This empirical change must be given due consideration if we are to properly understand and interpret personal information related to the laws and regulations. In this respect, the concept of a “personal information file” under the Personal Information Protection Act, a concept which has been somewhat neglected until now, lends itself as a mean of ascertaining the normative aspects of personal information protection in the face of massification and automatization of personal information in the modern era. A modern interpretation of personal information protection should be able to normatively limit the scope of protection through the concept of a “personal information file.” As to what legal right is being protected through personal information protection, we may consider, on the one hand, the right of self-determination of one’s personal information, which could be described as a procedural, formal right, and on the other hand, the more substantive right to maintain a free private life. Clearly, the two rights should be evaluated separately, and normative standards, such as legality thresholds and remedies applied to the protection of each right should depend on the right we are seeking to protect and the seriousness of the infringement. Because the right of self-determination of one’s own information is fundamentally a mean to protect one’s substantive rights, such right cannot be treated as an end in and of itself, and understanding the true nature of the right to self-determination of one’s own information is an important starting point for properly ascertaining the meaning of personal information protection and evaluating the appropriate compensation for any infringement thereof. Only after such considerations are given, we would be able to reasonably evaluate the actions which violate the Personal Information Protection Act and properly assess the derivative damages.

개인정보 보호법의 제문제

구태언(Taeeon Koo) 서울대학교 법학평론 편집위원회 2012 법학평론 Vol.3 No.-

대한민국은 단시간에 세계 최고 수준의 정보통신 인프라를 구축하였고 이로써 우리는 ‘항상 온라인에 접속한 삶(always connected)’을 살게 되었다. 그러나 국민들은 “개인정보 유출 및 명의도용”을 인터넷 기반 사회의 가장 큰 문제점으로 인식하며 우려하고 있다. 개인정보 보호법이 제정되기 전에는 관련 법령의 규율범위가 정보통신망, 의료, 금융 등으로 한정되어 있어 입법적 공백이 많아 개인정보를 충분히 보호하지 못했다. 이러한 문제점을 해결하고자 개인정보 보호에 관한 일반법인 개인정보 보호법이 제정되어 2011. 9. 30.부터 시행되기에 이르렀다. 개인정보 보호법은 약 350만 개의 공공기관, 사업자, 각종 비영리단체, 개인 모두를 규율대상으로 함으로써 기존에 비해 개인정보 보호에 관한 입법적 공백 자체는 많이 줄어들게 되었다. 그러나 외국 입법례와 달리 우리나라는 개인정보 보호에 관한 개별법을 존치시킨 관계로 규범간의 충돌, 집행기관 사이의 권한배분 문제 등이 여전히 존재하고, 유권해석·재판례 등이 충분히 축적되지 못하여 법의 해석·적용· 집행에 있어서 상당한 혼란이 벌어지고 있다. 대규모 개인정보 유출사건이 연달아 발생하면서 개인정보 보호법이 법조계는 물론이고 사회 전체의 관심을 받는 것은 고무적인 일이지만, 세간의 관심이 유독 개인정보 유출과 기업이미지 하락, 집단소송을 통한 손해배상 정도로 한정되는 점은 안타까운 일이다. 이에 본고에서는 특정 사건이나 주제에 관한 심도 있는 논의보다는 개인정보 보호법과 관련하여 그 동안 실무적으로 문제가 되었던 여러 사례들을 개인정보 보호법 조문 순서에 맞춰 개략적으로 살펴봄으로써 개인정보 보호법이 우리 실생활과 밀접한 관련을 맺고 있는 중요한 법인지를 다시 한 번 돌아보는 계기로 삼고자 한다. In Korea, the world’s highest level of information and communication infrastructure has been built in a short period of time, so we are now living ‘the life of always connected to the online’. But the citizens are recognizing and worrying ‘personal information leak and identity theft’ as the most serious problems of the internet based society. Before the Personal Information Protection Act (PIPA) was legislated, the range of regulation of related laws was limited to the information and communication network field, the medical field, and the financial field. To solve this problem, the PIPA was established and was enforced from Sep. 30, 2011. Now all about 3.5 million of public institution, business operators, nonprofit organizations and individuals are in the range of regulation of PIPA, and now the gap of regulation has been almost reduced. But because the specific laws remain in Korea - different from the foreign legislation cases, there are still some problems such as conflicts between the specific laws, problems of distribution of the authority, and also lack of authoritative interpretation and judicial precedent brings considerable confusion to the interpretation, application, execution of the law. It is very encouraging that the entire society, including the legal field, is now interested in the PIPA with continuous occurrence of the big personal information leak affairs, but it is very regrettable that the main public concern is limited to the personal information leak issues, the damage of the company’s image, and the group damage suit. So this document contains some case reviews in the sequence of the PIPA provisions rather than in-depth discussion of the specific cases or specific subjects, and we can recognize why the PIPA is very closely connected with our lives again.

개인정보 보호법의 법적용관계와 입법적 과제 - 위치정보법과의 관계를 중심으로 하여 -

함인선 대한변호사협회 2011 人權과 正義 : 大韓辯護士協會誌 Vol.- No.419

개인정보 보호 관련법은 공공부문과 민간부문으로 나뉘어, 이원적으로 규제되어 왔으나, 2011년 3월 29일에 통합된 개인정보 보호법이 제정․공포되어, 동년 9월 30일부터 시행될 예정으로 있다. 그런데 개인정보 보호법의 시행과 더불어 공공부문의 일반법적 역할을 한 「공공기관의 개인정보 보호에 관한 법률」은 폐지될 예정이나, 민간부문의 일반법적 역할을 한 「정보통신망 이용촉진 및 정보보호등에 관한 법률」의 개인정보에 관한 규정은 계속하여 존속된다. 또한, 현행법상으로 각 개별법에서 개인정보와 관련하여 규율하고 있다. 예컨대, 위치정보, 신용정보, 디엔에이신원확인정보 등을 들 수 있다. 따라서 개인정보 보호법을 제정하여 시행을 눈앞에 두고 있는 시점에서 개인정보 보호법과 정보통신망법 및 각 개별법과의 관계를 보다 명확히 하는 것이 필요하다고 할 것이다. 그 일환으로 개인위치정보 등을 규율하고 있는 개별법인 ‘위치정보의 보호 및 이용 등에 관한 법률’을 그 대표적인 예로 들어 개인정보 보호법과의 법적용관계를 명확히 하고자 하는 것이다. 본고에서는 양자의 법적용관계를상호우열관계, 상호보완관계, 상호경합(갈등)관계로 나누어 양 법을 구체적으로 검토하였다. 이러한 검토의 결과, 개인정보 보호법에 요청되는 입법적 과제를 개인정보 관련법률 상호간의 정합성 확보, 조직의 재설계와 기능의 재분배, 개인정보 단체소송과의 관련, 사후입법평가시스템의 운영의 문제로 나누어제시하였다. The legal regulation has been divided into public and private sectors with regard to the protection of personal information in Korea. But, the Personal Information Protection Act was made on 29 March 2011, and will be enacted from September 30 this year. Whereas the public sector’s act is going to be abolished at the same time with the enactment of the Personal Information Protection Act, the private sector’s act is going to continue to exist. Consequently, the legal regulation with regard to the protection of personal information is going to be carried out by the Personal Information Protection Act, private sector’s act and many individual acts. Afterwards there comes out many legal problems about the application of their acts. This article is focused on the legal relations of the acts concerning the protection of personal information. Finally, the legislative tasks are presented.

수사상 증거수집에 대한 개인정보 보호법의 적용요건

김형규 경찰대학 경찰대학 2023 경찰학연구 Vol.23 No.4

개인정보 보호법은 개인정보의 수집, 이용, 제공 등에 대한 일반법이다. 따라서 개인정보 보호법의 적용요건이 충족되면 수사기관의 증거수집과 그에 앞선 증거제출에 대해 다른 법률의 특별한 규정이 존재하지 아니하는 이상 개인정보 보호법 관련규정이 우선 적용된다. 수사상 증거수집에 대하여 적용되는 법률규정의 내용은 수사의 적법성 평가와 증거능력 인정의 기준이 되는데, 개인정보 보호법 관련규정은 형사소송법 관련규정과는 다른 내용을 두고 있는 경우가 많으므로 그 적용요건에 대해 면밀히 고찰할 필요가 있다. 개인정보 보호법 관련규정이 수사기관의 증거수집에 적용되기 위해서는 당해 증거가 개인정보이어야 하고, 수사기관 및 그 정보의 제공자가 개인정보처리자이어야 하며, 국가안전과 직결된 범죄에 대한 수사가 아니어야 한다. 첫째, 개인정보란 정보의 전체 또는 일부가 살아있는 자연인에 대한 정보로서, 정보주체의 신원을 특정하기 위해 의도적으로 생성된 정보, 다른 사람과 구별되는 정보주체의 특징에 대한 정보, 두 정보 중 어느 하나에 결합되어 있는 정보 또는 다른 정보와 쉽게 결합하여 두 정보 중 어느 하나에 해당하는 정보를 얻을 수 있도록 하는 정보이다. 둘째, 개인정보처리자란 “업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등”이다. 셋째, 개인정보 보호법 관련규정은 형법상 내란의 죄, 외환의 죄, 군형법상 반란죄, 국가보안법상 반국가단체구성죄, 국민보호와 공공안전을 위한 테러방지법상 테러단체구성죄 등 국가안전과 직결된 범죄에 대한 적법한 수사에서의 증거 수집에는 적용되지 아니한다. 수사기관은 소관업무인 수사를 목적으로 개인정보 파일인 형사사법 정보 시스템을 운영하기 위하여 개인정보를 처리하는 공공기관인 개인정보처리자이고, 수사는 형사처벌을 전제로 하므로 일반적으로 증거는 살아있는 사람에 대한 것, 즉 개인정보에 해당한다. 따라서 수사기관의 수사상 증거수집에는 개인정보 보호법 관련규정이 적용된다. Personal Information Protection Act (hereinafter referred to as "the PIPA") is a general law for the collection, use, and provision of personal information. Therefore, if the requirements of the PIPA are satisfied, the provisions of the PIPA shall prevail unless there are specific provisions in other acts for the collection of evidence by the investigative agency and the submission of evidence prior thereto. The contents of the legal provisions applied to the collection of evidence are the criteria for evaluating the legality of the investigation and the admissibility later at court. The provisions in PIPA are different from those in Criminal Procedure Act, so it is necessary to carefully consider the requirements for its application. In order for the provisions in PIPA to apply to the collection of evidence, the evidence must be personal information, the investigative agency and the evidence-provider must be a personal information controller, and the investigation must not be for a crime against national security. First, personal information is information about a natural person who is alive; information intentionally generated to identify the information subject, information about the characteristics of the information subject, information combined with any of them above, or information that can be easily combined with other information to obtain one of the information above. Second, personal information controller is a public institution, organization, individual, etc. that processes personal information directly or indirectly to operate the personal information files as part of its activities. Third, the PIPA provisions shall not apply to the collection of evidence in the legitimate investigation of crimes directly related to national security, such as crimes concerning insurrection or foreign aggression. The investigative agency is a public institution-personal information controller. Since an investigation is a preparatory process for criminal prosecution, evidence is generally about a living person, i.e., it is personal information. Therefore, the collection of evidence by the investigative agency is governed by PIPA.

OTP를 이용한 PKI 기반의 개인키 파일의 안전한 관리 방안

김선주(Seon-Joo Kim),조인준(In-June Joe) 한국콘텐츠학회 2014 한국콘텐츠학회논문지 Vol.14 No.12

인터넷이 활성화되면서 우리는 PC나 스마트폰에서 온라인 뱅킹, 주식 거래, 쇼핑 등의 다양한 전자상거래를 한다. 인터넷 상에서 거래 당사자 간의 신원확인 및 부인방지를 위한 주요 수단으로 공인인증서를 주로 활용한다. 하지만, 2005년 이후로 공인인증서 사용자에 대한 공격이 증가하고 있다. 즉, 공격자는 사용자 PC로부터 탈취한 공인인증서와 개인키 파일을 가지고, 은행 계좌 조회/이체나 전자상거래에 정당한 사용자로 위장하여 사용하게 된다. 이때, 개인키 파일은 사용자의 비밀번호로 암호화되어 저장되고, 필요할 때마다 복호화 되어 사용한다. 만약, 사용자의 비밀번호가 공격자에게 노출된다면 암호화된 개인키 파일을 쉽게 복호화 할 수 있다. 이러한 이유로 공격자는 사용자 PC에 트로이목마, 바이러스 등의 악성코드를 설치하여 사용자 인증서, 개인키 파일, 비밀번호를 탈취하려고 한다. 본 논문에서는 개인키 파일을 OTP 인증기술을 이용하여 암호화함으로써 안전하게 관리할 수 있는 방안을 제안한다. 그 결과, 암호화된 개인키 파일이 외부에 노출되더라도 일회용 패스워드와 사용자 비밀번호가 노출되지 않으므로 암호화된 개인키 파일은 안전하게 보관된다. We have various e-commerce like on-line banking, stock trading, shopping using a PC or SmartPhone. In e-commerce, two parties use the certificate for identification and non-repudiation but, the attack on the certificate user steadily has been increasing since 2005. The most of hacking is stealing the public certificate and private key files. After hacking, the stolen public certificate and private key file is used on e-commerce to fraud. Generally, the private key file is encrypted and saved only with the users password, and an encrypted private key file can be used after decrypted with user password. If a password is exposed to hackers, hacker decrypt the encrypted private key file, and uses it. For this reason, the hacker attacks user equipment in a various way like installing Trojan’s horse to take over the users certificate and private key file. In this paper, I propose the management method to secure private key of PKI using One Time Password certification technique. As a result, even if the encrypted private key file is exposed outside, the users private key is kept safely.

개인정보보호법에 대한 입법론적 검토

김정한(Kim, Jeong-Han) 조선대학교 법학연구원 2011 法學論叢 Vol.18 No.1

개인정보 보호를 위한 여러 개별법 정비의 필요성을 절감하면서도 실현되지 못하던 중, 최근 개정 정보보호법이 제정 공포되어 시행을 목전에 두고 있다. 이번에 제정된 법은 공공부문과 민간부문의 개인정보 보호제도를 모두 아우르고 있다는 점뿐만 아니라 고유식별정보 처리 제한제도, 개인정보 영향평가제도, 집단분쟁조정제도 등을 도입하고 있으며 벌칙 규정도 상당부분 정비하였다는 점 등에서 긍정적인 평가를 받을 만하다. 다만 개인정보 보호업무의 주무관청인 행정안전부장관에게 지나치게 많은 권한을 부여하면서도 보호위원회 등을 통한 통제절차는 미흡한 점, 언론기관ㆍ종교단체ㆍ정당의 개인정보 수집활동을 법적 통제 밖에 두고 있는 점, 본 법과 다른 개별법과의 상충관계를 적절히 조절하지 못하고 있는 점, 공공기관 아닌 개인정보처리자의 개인정보파일 운용을 방임하고 있는 점, 무리한 민사적 특칙을 마련하고 있는 점, 형벌 대상으로 함이 상당한 일부 행위를 과태료 대상으로 설정하고 있는 점, 너무 성급하게 단체소송제도를 도입한 점 등 적지 않은 문제점을 가지고 있는 것도 사실이다. 본 법의 중요성에 비추어 볼 때 법 제정 과정에 충분한 기술적ㆍ법률적 검토와 비판이 제기되지 못한 점이 매우 아쉽고 지금이라도 앞에서 언급한 여러 문제점들에 대하여 충분한 논의와 검토가 이루어져 좀 더 치밀하고 세련된 방향의 보완이 있기를 바란다. For the protection of personal information, We were faced with the necessity of various individual laws's modification. Nevertheless, it is not unrealizing. But recently The Privacy act was established and promulgated, it facing enforcement. The established bills deserve positive assessment. Because it encompassing to all personal information protection system, not only public sector but also private sector. Besides, it is introduct identification information processing limit system, privacy effects evaluation system and collective dispute mediation system. and it has modified large portion of the penal provisions. But it also has its considerable problems. that is giving too much power to the minister of public administration and security, who is the competent authorities of privacy practices. while the control procedure by the protection committee is insufficient, and the activities for collecting personal information by Media organizations, Political parties and Religious groups were not controlled legally, and it doesn't control properly, conflict of between this law and other various individual laws. neglecting the management of personal information file by the manager of personal information, not public institution. prepare unreasonable special civil law, Setting some act for fine instead of criminal process. In the light of this law's importance, I'm so worried about there's no technical and legal review and criticism. I hope more careful and elegant legislation through the enough discussions and reviews about the various issues as I mentioned before.

플래시메모리 파일시스템을 위한 안전한 파일 삭제 기법

선경문(Kyoungmoon Sun),최종무(Jongmoo Choi),이동희(Donghee Lee),노삼혁(Sam H. Noh) 한국정보과학회 2007 정보과학회 컴퓨팅의 실제 논문지 Vol.13 No.6

휴대전화, MP3플레이어 및 PMP, USB 메모리 저장장치와 같은 개인용 멀티미디어 및 저장용 이동기기의 사용이 보편화되면서 이동기기에 저장되는 데이타에 대한 안전성이 요구되고 있다. 요구되는 안전성 중 한 가지는 안전한 파일 삭제인데, 이것은 파일의 내용이 완전히 삭제되어 악의적으로 복구될 수 없도록 하는 것이다. 본 논문에서는 이동기기의 저장매체로써 주로 사용되는 플래시 메모리에서 어떻게 안전한 삭제를 할 수 있는지에 대하여 연구한다. 이를 위하여 0으로 덮어쓰기와 가비지 컬렉션을 이용하는 두 가지 안전한 파일 삭제 정책을 고려하였으며, 각 정책들이 플래시 메모리 파일 시스템의 성능에 미치는 영향을 분석하였다. 또한 두 가지 정책들의 장점을 취한 적응적인 파일 삭제 기법을 제안한다. 구체적으로 크기가 작은 파일들에 대해서는 0으로 덮어쓰기 기법을, 크기가 큰 파일들에 대해서는 가비지 컬렉션기법을 적용하였다. 그리고 실제실험 구현 및 결과를 통해 제안된 기법들이 안전하고 효율적으로 파일을 삭제할 수 있음을 보인다. Personal mobile devices equipped with non-volatile storage such as MP3 player, PMP, cellular phone, and USB memory require safety for the stored data on the devices. One of the safety requirements is secure deletion, which is removing stored data completely so that the data can not be restored illegally. In this paper, we study how to design the secure deletion on Flash memory, commonly used as storage media for mobile devices. We consider two possible secure deletion policy, named zero-overwrite and garbage-collection respectively, and analyze how each policy affects the performance of Flash memory file systems. Then, we propose an adaptive file deletion scheme that exploits the merits of the two possible policies. Specifically, the proposed scheme applies the zero-overwrite policy for small files, whereas it employs the garbage-collection policy for large files. Real implementation experiments show that the scheme is not only secure but also efficient.