Ce diaporama a bien été signalé.
Le téléchargement de votre SlideShare est en cours. ×

[법무법인 민후 | 김경환 변호사] 사물인터넷(IoT)과 개인정보·보안 (개인정보보호)

Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité
Publicité

Consultez-les par la suite

1 sur 56 Publicité
Publicité

Plus De Contenu Connexe

Diaporamas pour vous (20)

Les utilisateurs ont également aimé (20)

Publicité

Similaire à [법무법인 민후 | 김경환 변호사] 사물인터넷(IoT)과 개인정보·보안 (개인정보보호) (20)

Plus par MINWHO Law Group (20)

Publicité

Plus récents (13)

[법무법인 민후 | 김경환 변호사] 사물인터넷(IoT)과 개인정보·보안 (개인정보보호)

  1. 1. 사물인터넷(IoT)과 개인정보 보안ㆍ 법무법인 민후 김경환 변호사
  2. 2. 와 개인정보IoT 출처 미래부: 개인정보수집 개인정보처리
  3. 3. 센서의 개인정보 수집IoT 센서IoT○ 사람의 혈압 측정 개인정보 정보통신망법 개인정보보호법- : [ , ] 사람의 위치 개인위치정보 위치정보법- : [ ] 차량의 위치 위치정보 위치정보법- : [ ] 방의 온도 비개인정보 없음- : [ ]
  4. 4. 개인정보의 개념 법적 정의 살아 있는 개인에 관한 정보로서 성명 주민등록번호 및 영: ,○ 상 등을 통하여 개인을 알아볼 수 있는 정보 해당 정보만으로는 특정 개( 인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것 을 포함한다) 살아 있는 개인1) 개인에 관한 정보2) 식별할 수 있는 정보 식별성 직접 식별정보3) [ , ] 쉽게 결합하여 식별할 수 있는 정보 결합용이성 간접 식별정보4) [ , ]
  5. 5. 살아 있는 개인○ 김구 선생의 자손들에 관한 정보ex) ? 뉴질랜드 캐나다는 사망자의 정보까지 포함함 사후 년 정도ex) , ( 20 )
  6. 6. 개인에 관한 정보○ 기업의 주소 연락처 신용정보 등ex) , , ? 기업의 대표이름 예 삼안실업 대표 이만수ex) ? ( : )
  7. 7. 식별할 수 있는 정보○ 특정 대학의 년 취업률ex) 2013 ? 삼성전자에서 빨간색 머리를 하고 있는 대 남자ex) 20 ? 김민수가 빨간 색은 좋아한다ex) ? 휴대전화번호ex) ? 얼굴 정보ex) CCTV ? 콜센터 대화 녹음파일ex) ?
  8. 8. 쉽게 결합하여 식별할 수 있는 정보○ 휴대전화의 국제단말기인증번호ex) IMEI( ) 특정인의 휴대폰에 저장된 휴대전화 자리4 결합용이성의 판단은 현실적 가능성으로 잠재적 가능성으로ex) / ?
  9. 9. 개인정보 보호 이유 헌법적 근거 개인정보자기결정권 개인정보의 통제: (= )○ 인격권- 프라이버시 사적 영역에 대하여 노출하지 않을 권리- (= ) 연혁적 이유○ 국가의 감시- 기업의 무분별한 수집이나 악용-
  10. 10. 개인정보나 프라이버시가 중요한가?○ 개인은 신체 정신 그리고 개인 정보 로 이루어졌다- , , “ ” ? 사람들은 한 개인을 어떻게 파악하는가- ? 원하지 않는 개인정보 공개나 노출은 인격을 지키기 어렵게 한다- ?
  11. 11. 개인정보 관련법령 및 적용순서 개인정보보호법 공공기관 그 외 안전행정부: , -○ 정보통신망법 방송 통신 인터넷 기업 방송통신위원회: -○ ㆍ ㆍ 신용정보법 금융기관 금융위원회: -○
  12. 12. 적용순서○ 인터넷기업 정보통신망법 개인정보보호법- : → 금융기관 신용정보법 개인정보보호법- : → 공공기관 개인정보보호법- : 오픈마켓이 준수하여야 하는 법ex) ? 결제대행사가 준수하여야 하는 법ex) ? 신한은행이 소셜커머스업을 할 때 준수하여야 하는 법ex) ? 의료정보 처리시 지켜야 하는 법ex) ?
  13. 13. 개인정보의 수집시 절차 원칙적으로 정보주체의 동의를 받아야 함○ 정보주체의 동의를 받은 경우1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한2. 경우 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경3. 우 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우4.
  14. 14. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나5. 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제 자의 급박한 생명 신체 재산의 이익을 위하여 필요하다고 인정3 , , 되는 경우 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백6. 하게 정보주체의 권리보다 우선하는 경우 이 경우 개인정보처리자의 정. 당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경 우에 한한다. 다만 개인영상정보 동영상 는 안내판 설치로 갈음함(CCTV )○
  15. 15. 개인영상정보 동영상에 대한 법적 처리CCTV○ 의 정의 고정 공개된 장소- CCTV : + 수집목적의 제한- 법령에서 구체적으로 허용하고 있는 경우1. 범죄의 예방 및 수사를 위하여 필요한 경우2. 시설안전 및 화재 예방을 위하여 필요한 경우3. 교통단속을 위하여 필요한 경우4. 교통정보의 수집 분석 및 제공을 위하여 필요한 경우5. · 수집시 동의 대신 안내판으로 갈음함-
  16. 16. 의문점○ 구글 글래스는 인가ex) CCTV ? 차량용 블랙박스는 인가ex) CCTV ? 택시 안의 카메라는 인가ex) CCTV ?
  17. 17. 개인정보 수집의 규율 센서의 개인정보 수집IoT○ 고정형 센서 규정 준용되므로 최소한으로 안내판 설치 필요- IoT : CCTV 함 이동형 센서 현재로선 정보주체의 동의 필요- IoT : 센서가 사물정보 수집하는 경우 동의 불요- IoT :
  18. 18. 센서의 위치정보 수집IoT○ 개인위치정보 위치정보법에 따라 약관명시 정보주체의 동의 필요- : + 위치정보 소유자의 동의 필요- :
  19. 19. 위치정보 위치정보의 개념○ 이동성이 있는 물건 또는 개인이 특정한 시간에 존재하거나 존재하였던- 장소에 관한 정보로서 전기통신사업법 제 조제 호 및 제 호에 따른 전2 2 3「 」 기통신설비 및 전기통신회선설비를 이용하여 수집된 것 개인위치정보의 개념○ 특정 개인의 위치정보 위치정보만으로는 특정 개인의 위치를 알 수 없는- ( 경우에도 다른 정보와 용이하게 결합하여 특정 개인의 위치를 알 수 있는 것을 포함한다)
  20. 20. 사업자○ 위치정보사업 이라 함은 위치정보를 수집하여 위치기반서비스사업자에게- " " 제공하는 것을 사업으로 영위하는 것 허가사항( ) 위치기반서비스사업 이라 함은 위치정보를 이용한 서비스를 제공하는 것- " " 을 사업으로 영위하는 것 신고사항( ) 앱이 비콘을 이용하여 직접 위치정보를 수집하여 서비스를 하는 경ex) LBS 우?
  21. 21. 각 정보의 법적 취급○ 개인위치정보 수집 또는 이용시 약관명시 의무 동의 의무- : + 개인 또는 이동성이 있는 물건의 위치정보 동의 의무- : 위치정보에 대하여 보호조치 의무 있음-
  22. 22. 개인정보의 이용 빅데이터에서의 분석 기법○ 통계분석- 데이터마이닝- ( )√ 텍스트마이닝- ( )√ 예측분석- 최적화-
  23. 23. 평판분석 오피니언마이닝 소셜미디어 등의 정형 또는 비정형 텍스트의- ( ) : 긍정 부정 중립의 선호도를 판별하는 방법, , ( )√ 소셜네트워크분석 소셜 네트워크 연결구조 및 연결강도 등을 바탕으로- : 사용자의 명성 및 영향력을 측정하는 방법 ( )√ 군집분석-
  24. 24. 비식별화○ 데이터 값 삭제 가명처리 총계처리 범주화 데이터 마스킹 등을 통해 개- , , , , 인정보의 일부 또는 전부를 삭제하거나 대체함으로써 다른 정보와 쉽게 결합하여도 개인을 식별할 수 없도록 하는 조치 데이터 값 삭제 식별자 삭제하거나 데이터 일부를 삭제1) : 가명처리 식별자를 가명으로 대체2) : 총계처리 개별데이터를 가리고 총계로써 처리3) : 범주화 데이터 값을 범주화4) : 데이터 마스킹 데이터를 마스킹5) :
  25. 25. 문제점은- ? 재식별화 비식별화된 정보가 다른 정보와의 연계 매칭 등을 통해1) (= ( ) 특정 개인을 알아볼 수 있는 개인정보가 되는 것) 판단기준 로서 상대적으로 비전문가가 재2) : Motivated intruder test 식별에 성공할 수 있는지 판별하여 식별 위험의 최소한의 기준을 정 함 영국( )
  26. 26. 출처 정보화진흥원( : )
  27. 27. 비식별화된 정보에 대한 법적 취급○ 현재는 비식별정보로 취급하고 있음- 빅데이터 가이드라인 통합법- ㆍ 최소한의 안전성 확보조치 의무1) 재식별화 방지 의무2) 공개된 개인정보는 반드시 비식별화 이후 수집하도록 함3)
  28. 28. 데이터마이닝 텍스트마이닝 평판분석 소셜네트워크분석, ,○ ㆍ 마이닝은 프로파일링을 위한 것으로서 법적 문제가 생김- 마이닝은 데이터 분석 프로파일링은 수집부터 시작하여 마이닝을 포함하- , 여 결과를 내는 과정까지 포함하는 일체 현재 우리법에는 프로파일링 자체를 금지하는 법은 없음- 다만 동의 없는 민감정보 처리는 금지되어 있음- 마이닝의 유형- 출처 정보화진흥원( : )
  29. 29. 개인정보의 제공 수사 목적 수사기관 원칙적으로 영장 필요( ) :○ 이용자 개인정보 전기통신사업자는 영장 불요1) : 김연아 유인촌 사건ex) ㆍ 통신사실확인자료 영장 필요2) : 감청 영장 필요3) : 송 수신이 완료된 개인정보 영장 필요4) :ㆍ 카카오톡 사건ex)
  30. 30. 재판 목적 법원 영장 불요( ) :○ 과세 목적 국세청 세무서 영장 필요( , ) :○ 네이버와 파워블러거 사건ex)
  31. 31. 개인정보의 관리 안정성 확보를 위한 관리적 기술적 물리적 보호조치○ ㆍ ㆍ 개인정보의 안전한 처리를 위한 내부 관리계획의 수립 시행1. · 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치2. 개인정보를 안전하게 저장 전송할 수 있는 암호화 기술의 적용 또는 이에3. · 상응하는 조치 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조 변조4. · 방지를 위한 조치 개인정보에 대한 보안프로그램의 설치 및 갱신5. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치6. 등 물리적 조치
  32. 32. 내부관리계획○ 외부에 공개할 필요 없고 내부적으로 사용되는 문서- , 개인정보 보호책임자의 지정에 관한 사항1. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항2. 개인정보의 안전성 확보에 필요한 조치에 관한 사항3. 개인정보취급자에 대한 교육에 관한 사항4. 그 밖에 개인정보 보호를 위하여 필요한 사항5.
  33. 33. 비교 개인정보처리방침:○ 정보통신망법은 개인정보취급방침 이라고 함- ‘ ’ 반드시 외부에 공개하여야 함- 개인정보의 처리 목적1. 개인정보의 처리 및 보유 기간2. 개인정보의 제 자 제공에 관한 사항 해당되는 경우에만 정한다3. 3 ( ) 개인정보처리의 위탁에 관한 사항 해당되는 경우에만 정한다4. ( ) 정보주체의 권리 의무 및 그 행사방법에 관한 사항5. · 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항6.
  34. 34. 비교 영상정보처리기기 운영 관리 방침: ·○ 개인영상정보 수집시 개인정보처리방침 대신에 수립 의무 있음-
  35. 35. 안전성 확보조치의 이행 의무○ 개인정보 이행 의무 있음- : 비식별화된 정보 이행의무 없음- : 재식별화된 개인정보 이행의무 있음- : 비식별정보 이행의무 없음- :
  36. 36. 암호화 의무○ 셀 암호화 주민등록번호 비밀번호 및 바이오정보- DB : , 구간 암호화 보안서버- : 파일 암호화 개인정보가 담긴 파일- :
  37. 37. Privacy by Design 년 캐나다의 박사 등이 제안1995 , Ann Cavoukian○ 설계시부터 프라이버시를 중요 요소로 고려하여 시스템을 설계하자는 제안○ 설치한 이후 프라이버시 고려ex) CCTV 프라이버시를 고려하여 를 설치CCTV http://www.privacybydesign.ca/○
  38. 38. 원칙7○ 사후대응이 아니라 사전대비 문제점 해결보다는 예방- , 프라이버시 보호를 기본 설정값으로- 정보기술 계획과 비즈니스 계획에 포함된 프라이버시- 상호대체에서 상호보완으로- 전체 수명주기의 보호- 가시성과 투명성- 사용자 프라이버시 존중의 운영과 설계-
  39. 39. 와 보안IoT 출처 미래부:
  40. 40. 예상되는 보안 위협 사례 출처 미래부:
  41. 41. 출처 미래부:
  42. 42. 출처 미래부:
  43. 43. 디바이스 보안 위협과 보안 요구사항 디바이스 센서 드론 스마트기기 등* : , , 보안위협< > 센서에 대한 비인가자의 접근 및 파괴○ 사용자가 의도하지 않은 센싱정보 제공○ 스마트기기의 도난 및 분실○ 저사양기기가 늘어가는데 현재 기술로는 백신 암호화 등 보안을 적용하,○ 기 곤란하기 어려움 디바이스 수가 늘어감에 따라 패치나 모니터링이 어려움○ 디바이스 권한 탈취 이후의 스팸 전송○ 나 카메라 해킹에 따른 사생활 노출CCTV○
  44. 44. 보안요구사항< > 디바이스의 인증 방식 인증서 방식 방식 등(ID/PW , , SIM )○ 물리적 접근통제 상황인지 방식 설계,○ 저사양기기를 위한 경량 보안 기술의 개발 및 적용○ 다수 디바이스 관리 기술의 개발○
  45. 45. 네트워크 보안 위협과 보안 요구사항 보안위협< > 무선신호의 교란○ 스니핑이나 불법도청 등에 의한 정보 유출○ 전송 중인 데이터의 위 변조○ ㆍ 디바이스에 대한 서비스거부 공격○ 등의 이종 네트워크 연결로 인한 낮은 보안수Zigbee, Wifi, Bluetooth○ 준 디바이스 감염에 따른 공격DDoS○
  46. 46. 보안 요구사항< > 적절한 침입탐지 메카니즘과 인증 메카니즘○ 이종 프로토콜 운용에 대한 통합보안 기준 마련○ 이기종 저사양 네트워크 환경에 맞는 보안기술 개발○ 암호화○ 과Zigbee : SSM(Standard Security Mode) HSM(High Security○ Mode) 의 단점을 개선한Wifi : WEP(Wired Equivalent Privacy), WEP○ 와 가 있음WPA(Wi-Fi Protected Access) WPA2
  47. 47. 플랫폼 서비스 보안 위협과 보안 요구사항ㆍ 보안 위협< > 프로파일링 및 프라이버시 침해○ 정보 유출○ 데이터의 위 변조○ ㆍ 서비스 차단○
  48. 48. 보안 요구사항< > 인증 관리○ 암호화○
  49. 49. Security by Design 모든 사물의 연결이 심화되면서 보안 위협도 크게 증가하고 있음○ 기기 제조자의 보안 노력이 필요○ 피해는 시스템 정지 생명 위협까지 미칠 수 있음,○ 따라서 제품 서비스의 기획 설계시부터 정보보호를 고려하여야 함○ ㆍ ㆍ
  50. 50. 보안에 관한 산업계 동향IoT 에 특화된 보안기술을 개발<IoT > 삼성 보안 대 연구과제(IoT 4 )○ 를 위한 안전한 게이트웨이- IoT 기반의 차량 보안- IoT 경량 공개키 암호 기술- 상황인지형 통합 플랫폼- IoT WindRiver○ 모듈단위의 재구성이 가능한 전용 보안 운영체제 개발- IoT
  51. 51. 보안 전문업체의 인수 합병< >ㆍ 인텔의 맥아피 인수○ 시스코의 등 인수NDS, Sourcefire, ThreatGrid○ 의 라이트하우스 크로스아이디어스 등 인수IBM ,○
  52. 52. 현재 보안 규제IoT 만의 정보보호 체계는 존재하지 않음IoT○ 기존 정보보호 체계가 그대로 적용되고 있음 정보통신망법의 정보보호(○ 지침 등)
  53. 53. 향후 도입 제도○ 버그바운티- 보안인증- IoT 인프라의 주요 정보통신 기반시설 지정- IoT ‘ ’ 대 핵심원천기술 개발 디바이스돔의 경우 경량 저전력 암호 모듈- 9 : · , 보안 시스템온칩 과 보안 운용체계 기술 개발 네트워크HW (SoC) IoT . 돔의 경우 이기종 기기가 상호 연결된 사물네트워크에서 실시간 이상 징후를 탐지 대응하는 보안기술 개발 서비스돔은 웨어러블 등 서. IoT 비스 환경에 적합한 인증과 프라이버시 보호와 서비스용 보안 솔루션 개발.
  54. 54. 결어 보안이나 프라이버시 침해 문제 해결 못할 경우 서비스 활성화는 불, IoT○ 가능

×