Min
블로그 이미지

Home

Write

Setting

About Me
Dark
Security Study/Securiy News

20.09.07 ( 개인정보보호 연차보고서 - 주요이슈, 개인정보보호 연차보고서 - 실태조사 결과, 파이어폭스 악성코드 위험을 줄일 기능 도입 )

HelloMG
|2020. 9. 7. 11:24

1. 개보위의 개인정보보호 연차보고서 - 주요 이슈!

 

개인정보보호위원회(개보위)에서 '2020 개인정보보호 연차보고서'를 발행했습니다. 이는 신기술 발전에 대응한 관계 부처별 개인정보보호 정책 동향을 분석한 것으로 1년간의 판례, 보호위원회 결정례 등 여러 정보들을 담고 있습니다 :D 이러한 내용들을 시리즈로 소개를 한다고 하니 저도 요약해서 알아보도록 하겠습니다!

 

4차 산업혁명 시대에 들어서 개인정보 생태계는 빠르게 변화되고 있습니다. 이에 따라 새로운 데이터 생태계에서 정보주체가 자신의 개인정보에 대한 통제권을 유지하며 데이터 경제의 발전을 도모할 수 있는 새로운 균형을 찾아내어 정보주체, 개인정보처리자, 개인정보중개자, 개인정보이용자 모두의 만족을 이룰 수 있는 전략이 필요한 시기이죠!

 

데이터기반 경제, 안전한 개인정보 활용

 

데이터기반 경제에서 신산업의 발전을 도모하면서 개인정보 처리의 안정성을 보장하기 위해 '비식별처리'를 함으로써 많은 나라들이 산업의 길을 열게 되었습니다.

특히 국내에서도 '개인정보 비식별 조치 가이드라인'을 발간하며, 신산업 발전에 힘쓰기 위해 가이드라인만 지키게 된다면 법적 규제 없이 활용할 수 있게 되었죠! 하지만 법적 구속력이 없다는 한계가 드러나자 '데이터 3법'이라는 방안을 내었으며, 장기간에 걸쳐 2020년 1월에 통과하게 되었습니다.

개정 '개인정보보호법'은 익명정보와 가명정보의 개념을 구분하여 규율하고 있다고 하는데요! 제 58조의 2는 익명정보라는 용어를 사용하지 않지만, "이 법은 시간, 비용, 기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보에는 적용하지 아니한다"고 규정하고 있다고 합니다!

한편, 개정법은 가명정보가 개인정보에 해당하는 것이라고 밝히고 있으며, 익명정보와 다르게 추가정보를 통해 정보주체와 연결 가능성을 가지고 있는 데이터인 것이라고 합니다. 하지만 개정법에는 가명정보를 정보주체의 동의 없이 처리할 수 있다고 하고 있습니다. 특히, 목적을 위한 경우라도 정보처리자 간에 가명 정보를 자체적으로 결합하는 것은 허용되지 않으며 개보위나 중앙행정기관의 장이 지정한 전문기관에서만 결합이 가능하다고 합니다. 결합된 정보를 반출하는 경우 전문기관의 장의 승인을 받아야한다고 하네요 :D

또한, 가명정보를 처리하다 특정 개인을 알아볼 수 있는 정보가 되면 즉시 처리 중단하고 파기 및 회수 한다고 합니다. 그리고 분리 보관 후 유출 사고가 발생하지 않도록 안전조치의무를 이행해야 한다고 하네요. 안전조치를 하지 않고 사고가 발생한다면 2년이하의 징역을 받게 된다고 합니다 :D

 

개인정보보호 집행체계의 일원화

 

개인 '개인정보보호법'은 보호위원회를 국무총리 소속의 중앙행정기관으로 격상하고, 다른 기관에서 행해지던 개인정보보호 기능 전부 보호위원회로 이관하였습니다. 다음은 법령에서 나오는 일원화에 관한 주요 사항입니다 :D

  • 제7조 제2항
    보호이원회의 독립성 강화를 위해 위원회가 수행한 조사, 집행, 법령의 개인정보침해요인 평가에 관한 사무는 국무총리의 지휘 및 감독을 배제
  • 제7조의 2
    보호위원회의 전문성을 강화하기 위해 위원장과 부위원장을 상임하며, 이들 포함 9인으로 위원회를 구성
  • 제7조의 5
    위원은 그 의사에 반하여 면직 또는 해촉되지 않으며, 법률과 양심에 따라 독립적으로 직무 수행

이를 통해 집행체계를 일원화 함으로써 개인정보 규제기관의 중복규제 해소 및 기업의 준법 부담 완화를 하며 책임감 있고 투명한 개인정보보호 정책 추진이 가능할 것으로 보인다고 합니다 :D

 

정보주체의 실질적 권리 보장을 위한 동의제도 개선

 

현재 우리나라는 필수동의와 선택동의를 나누어 개인정보를 수집하도록 하고 있습니다. 이를 어겨 산전동의 없이 개인정보를 수집 및 이용하게 된다면 매출액 3% 이내의 과징금 및 5년 이하의 징역에 처해질 수 있다고 하네요!

즉 다시 말해, 인터넷이나 모바일에서 서비스를 제공하는 기업이나 개인은 정당한 이익이라고 하더라도 사전동의를 받아야만 수집 및 이용, 제공이 가능하다는 것입니다.

한편, 개인정보보호법에 합법적인 근거로 정보주체의 동의를 받지 않고 정보를 수집할 수 있는 5가지 경우가 명시되어 있습니다. 하지만 신기술 환경에는 사용자의 동의 요건이 복잡하여 사전동의를 적용하는 것이 사실상 불가능해지고 있다고 합니다. 또한, 서비스를 이용해야하는 경우 동의가 필수이기 때문에 내용들을 살펴보지 않고 동의하는 경우가 대부분이라고 하네요! 그러므로 소비자 또는 이용자가 쉽게 이해할 수 없는 기술적 기반과 비지니스 모델을 추구하는 오늘날의 기술환경을 고려하여 다양한 개성방안을 모색할 필요가 있다고 합니다!

 

개인정보 자기결정권 확보를 위한 개인정보이동권 도입

 

GDPR에서 정보주체가 갖는 개인정보보호권의 하나로 개인정보이동권을 인정했다고합니다. 개인정보이동권이란 개인정보처리자가 보유 및 관리하는 개인정보의 사본을 정보주체가 넘겨받아 다른 개인정보처리자에게 전송하여 재사용할 수 있는 권리를 말합니다.

그래서 개인정보이동권 도입에 관해 찬반양론이 맞서고 있다고 합니다. 다른 권한들은 정보주체의 이익을 방어하기 위해 존재하지만 개인정보 이동권은 개인정보의 활용과 재사용을 촉진하는 것이며, 권리와 이익이 충돌하는 경우 그 문제를 해결하는 뚜렷한 기준이 없다는 것이죠. 또한 기술적으로 구현해 내기엔 부담과 비용을 초래하며 개인정보가 이동하는 과정에서 보안침해의 문제가 더 쉽게 발생할 수도 있다는 우려가 표출되고 있습니다. 또한, 개인정보이동권이 정보주체의 통제권을 강화하는 방향으로 갈지 분명하지 않다고 합니다.

우리나라에서 금융, 의료 등의 분야에서 마이데이터 산업을 촉진하고자 '금융 분야 마이데이터 산업의 도입 방안'을 발표하고 법제적으로 뒷바침하기 위해 신용정보법 개정을 추진해 왔습니다.(금융 분야의 마이데이터 서비스는 분산되어 있는 금융거래 정보를 일괄 수집해 해당 정보주체인 금융소비자에게 본인신용정보에 대한 체계적 관리, 소비패턴 분석 등을 통해 신용 및 자산관리를 지원하는 서비스입니다.) 현재 신용정보법은 본인신용정보관리업을 도입하고 새로운 개인정보통제권을 신설하고 있다고 합니다 :D 

 

디지털 정보기술 발전에 따른 개인정보보호

 

디지털이 발전하여 인공지능 기술이 산업의 전 분야에 적용되면서, '개인정보보호법'을 어떻게 준수할 것인가 하는 문제에 직면했습니다. 예를 들어 인공지능, 빅데이터 기술환경에서 개인정보처리에 대한 '사전고지'는 현실성이 떨어지는 측면이 강하다고 합니다. 기 이유는 인공지능의 경우 데이터를 수집하는 시점에서 그 데이터가 어떠한 목적으로 어떻게 이요될지 확정하는 것이 기술적으로 어려울 때가 많기 때문이라고 합니다!

또한, '예 또는 아니오'의 선택만이 가능하도록 한 동의제도의 경우 빅데이터 분석과 양립하기 어렵다고 합니다! 그 이유는 빅데이터 분석의 특성상 틀리면 수정하기를 반복하는 실험적인 성격에 데이터의 용도를 새롭게 찾아내는 성향을 가지고 있기 때문이라고 하네요. 이와 같이 데이터기반 사회에서 새로운 데이터 기술이 전통적인 '개인정보보호법' 원칙들과 충돌하는 경우가 많이 발생할 것이며 이에 대한 논의가 이루어지는 것이 좋을 거라고 합니다 :D

 

2. 개보위의 개인정보보호 연차보고서 - 실태조사 결과!

 

개보위와 행정안전부에서 개인정보보호 실태를 조사했다고 합니다. 조사 대상은 만 12세 이상 정보주체 2,500명과 공공기관 1,500개, 민간기업 2,000개 등의 개인정보처리자이며 자세한 개인정보보호 실태조사 결과는 보호위원회 홈페이지에서 확인할 수 있습니다 :D

정보주체

(1) 개인정보보호 중요성 인식

- 매우 중요하다 + 중요하다 (84.7%)

 

(2) 개인정보 제공 시 동의서 확인여부 및 미확인 이유

- 동의서 내용에 상관없이 서비스를 반드시 이용해야 하기 때문 (36.7%)

- 확인하는것이 귀찮고 번거롭기 때문 (33.6%) 

 

(3) 개인정보 열람, 정정 및 삭제, 처리정지 요구 경험 및 처리 결과

- 정보주체가 권리보장을 요청하는 비율은 2018년 대비 다소 감소

- 해당 권리 요청 시 10건 중 6건은 즉시 처리

 

(4) 개인정보 열람, 정정 및 삭제, 처리정지 요구하지 않은 이유

- 요청사유 미발생건은 제외

- 신청 절차가 번거롭다 (열람 29.7%, 정정 및 삭제 30.3%, 처리정지 26.6%)

- 요청 시에도 미이행할 것 같아서 (열람 7.6%, 정정 및 삭제 6.6%, 처리정지 7.4%)

 

(5) 개인정보 권리 침해 경험

- 개인정보 무단수집 및 이용 (26.9%)

- 개인정보 유출 (21.8%)

- 개인정보 도용 (6.5%)

- 기타 (0.7%)

- 경험 없음 (44.0%)

 

(6) 개인정보 침해 후 피해구제를 위한 조치

- 개인정보 침해신고센터 등 전문기관에 신고 (11.7%)

- 정부 및 지자체에 신고/민원을 제기 (11.6%)

- 특별한 대응 및 피해구제 조치에 미온적 (69.1%)

 

(7) 개인정보처리자의 개인정보보호에 대한 신뢰성

- 가장 높은 신뢰도 -> 금융 분야 신뢰 + 매우 신뢰 (39.9%)

- 가장 낮은 신뢰도 -> 쇼핑 등 생활분야 신뢰 + 매우 신뢰 (10.7%)

개인정보처리자에 대한 신뢰성, 출처 :개보위 2020 개인정보보호 연차보고서

(8) 개인정보보호를 위한 개인의 노력

- 출처가 불분명한 자료 및 이메일 미열람 (47.0%)

- 개인정보를 타인에 알려주지 않음 (43.6%)

- 공용 PC에서 금융서비스를 이용하지 않음 (35.1%)

 

 

개인정보처리자

(1) 개인정보보호 중요성 인식

- 공공기관 -> 중요 + 매우 중요 (94.7%)

- 민간기업 -> 중요 + 매우 중요 (83.6%)

 

(2) 개인정보 처리방침 작성 및 공개, 갱신

- 공공기관 (99.4%), 이 중 최근 1년 이내 갱신 (92.0%)

- 민간기업 (49.5%), 이 중 최근 1년 이내 갱신 (27.3%)

 

(3) 개인정보보호 교육 시행

- 공공기관은 대부분 대상별로 교육 시행하며 특히 전직원 대상 교육은 (98.1%)

- 민간기업은 종사자 수 300인 이상 기업의 경우 전직원 대상 교육 (80.1%)

- 나머지 민간기업은 전반적으로 저조

 

(4) 개인정보 보호담당자 업무경력

- 공공기관 2년 미만자 (57.9%)

- 민간기업은 2년 이상의 유경력자 (87.2%)

- 민간기업의 5년 이상 경력자 (55.4%)

 

(5) 개인정보보호 시행 애로사항

- 공공기관 전문인력 부족 (70.5%)

- 공공기관 개인정보 처리절차 복잡 (59.1%)

- 민간기업 전문인력 부족 (27.4%)

- 민간기업 개인정보 처리절차 복잡 (49.0%)

개인정보보호 시행 애로사항, 출처 :개보위 2020 개인정보보호 연차보고서

(6) 빅데이터 분석 및 경험 활용

- 공공기관 (16.4%)

- 민간기업 (7.9%)

- 공공기관 경험은 없으나 향후 계획 (7.4%)

- 민간기업 경험은 없으나 향후 계획 (2.5%)

 

(7) 빅데이터 활용 시 개인정보보호 법규의 한계

- 공공기관 -> 다수 법제 혼용에 따른 혼선 (44.2%)

- 공공기관 -> 개인정보 포괄적 정의 규정 (42.1%)

- 민간기업 -> 개인정보 포괄적 정의 규정 (46.4%)

- 민간기업 -> 개인정보 수집 및 제공에 대한 동의 규정 (35.8%)

- 민간기업 -> 위법한 활용 시 강력한 처벌 우려 (27.4%)

보고서를 통해 확인 할 수 있는 것은 정보주체와 처리자 대부분이 개인정보보호에 대해 중요하다고 인식하고 있으나 민간기업의 개인정보처리 방침에 대한 중요성 인식 부족과 공공기관의 전문인력 부족, 개인정보주체의 권리행사 소극적태도가 저조하다는 것입니다. 이에 개인정보주체의 적극적 태도와 민간기업의 체계적인 지원방안 및 정책, 공공기관의 전문인력 확대가 필요할 것으로 보이네요 :D

또한 법률상 한계로 인해 빅데이터 활용이 아직까지 많지 않은 것을 보아 개인정보보호법 개정이 완화될 것으로 보인다고 합니다 :D

 

 

3.  파이어폭스, 악성코드 감염 위험 줄여주는 기능 도입!

 

파이어폭스가 웹사이트 접근 시 악성코가 다운로드될 위험을 줄여주는 기능을 도입한다고 합니다 :D

파이어폭스 모질라가 다음달 출시 예정인 82버전부터 '샌드박스 아이프레임'을 통한 파일 다운로드를 차단한다고 보도했다고합니다! 이 아이프레임은 웹페이지에서 다른 웹페이지를 삽입할 수 있는 HTML 태그 중하나로 주로 사이트에서 광고 표출 및 영상, 음악, 팟캐스트 등의 위젯 장착에 활용된다고 하네요!

이는 사용자가 웹사이트에서 이 기능을 사용할 때, 파일을 내려받는 경우가 거의 없기 때문에 이를 통한 Drive by Drive 공격을 사전에 예방하자는 취지로 만든 것이라고 합니다.

이러한 정책은 크롬 73버전에서 먼저내놓았으며, 지난 5월 크롬 83버전에서 다운로드 기능을 완전히 차단했다고 하네요!

애플 웹브라우저인 사파리에서는 유사한 기능이 제안되기도 했지만 아직까지는 기능을 구현할 계획이 없다고 합니다 :D

 

이제 파이어폭스를 좀 더 안전하게 사용할 수 있지 않나 싶네요 :D

 

 

 

 

 

출처

https://www.boannews.com/media/view.asp?idx=90950&kind=2

 

[개인정보보호 연차보고서 톺아보기-1] 개인정보보호 주요 이슈 5

디지털 정보기술이 발전하면서 세계경제의 패러다임은 급속히 데이터기반 경제(Datadriven Economy)로 전환되고 있다. 데이터기반 경제란 지식자산인 데이터(Data)를 기반으로 하여 새로운 가치와 부(

www.boannews.com

https://www.boannews.com/media/view.asp?idx=90975&kind=2

 

[개인정보보호 연차보고서 톺아보기-2] 개인정보보호 실태조사 결과

개인정보보호위원회(이하 보호위원회)와 행정안전부에서는 개인정보를 제공하는 정보주체(일반국민)의 개인정보보호 인식 수준과 개인정보를 처리하는 개인정보처리자(민간기업, 공공기관)의

www.boannews.com

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29513&key=&dir_group_dist=&dir_code=&searchDate=

 

파이어폭스, '웹사이트 열면 악성코드 감염' 위험 덜어준다

웹브라우저 파이어폭스가 웹사이트 접근 시 악성코드가 다운로드될 위험을 줄여주는 기능을 도입한다. 이 같은..

www.ahnlab.com

 

'Security Study > Securiy News' 카테고리의 다른 글

20.09.09 ( 하이웍스 사칭 메일, 과학기술정보통신부 SW안전 진단 실시, 악성 앱 발견 주의! )  (0) 2020.09.09
20.09.08 ( 개인정보보호 연차보고서 - 행정처분 사례, 금보원의 '비식별 처리 프레임워크' 국제표준 채택, 소만사의 새로운 컨설팅 서비스 개시)  (0) 2020.09.08
20.09.04 ( 정보보호 3개법 하위법령 개정안 입법예고, 시스코 전 엔지니어 보안사고, 새로운 형식의 봇넷 FritzFrog )  (0) 2020.09.04
20.09.03 ( 가명정보 처리 가이드라인 등장, 프라이버시의 시대, 개인정보보호 우수사례 - 한국석유관리원 )  (0) 2020.09.03
20.09.02 ( 언택트 근무에 필요한 것은?, CJ대한통운 사칭 스미싱 유포, 코로나19로 '클라우드 서비스' 전성시대! )  (0) 2020.09.02

티스토리툴바