개선방향

기술공유와 해외진출에 관한 사항 등을 부가하는 것도 좋은 아이디어가 될 것이다.

IV. 사물인터넷 관련 법제도의 문제점 및 개선방향 47 큰 부담이 될 수 있다. 따라서 서비스의 사전설계 단계에서 정보의 보호조치를 취할 수 있는 ‘설계단계에서의 프라이버시 고려(Privacy by Design)’와 같은 방식의 규제를 도입하 는 것이 가장 효율적 대응방안이라고 볼 수 있다. 이는 개인정보 수집 이전에 혹은 생성 이전 단계의 요구로 정보의 수집을 최소화하고 수집된 정보에 대한 저장·관리에 있어 기술 적·관리적 조치를 취하여야 한다는 개인정보보호법의 규율사항과는 다른 형태이다. 즉, 기 기와 서비스의 설계의 단계에서 개인식별정보가 생성되지 않게 하거나 일정한 법정 요건에 따라 보안조치를 취한 기기만이 상품화 할 수 있도록 규제하여 일정한 보안수준을 유지할 수 있도록 하고 관련 분야의 환경을 프라이버시 친화적으로 유도하는 것이다.

이러한 ‘설계단계에서의 프라이버시 고려(Privacy by Design)’ 규정은 캐나다의 카부키 안(Ann Cavoukian) 박사가 1990년대에 제안한 것으로 최근 미국과 EU, 일본 등에서 도입 중에 있다. 설계단계의 프라이버시 고려와 관련하여 7대 원칙³⁴⁾이 제시되었는데, ① 사전 대비와 예방, ② 프라이버시 보호의 기본 설정(Default Setting), ③ 정보기술 시스템 및 비즈니스 운영설계의 계획에 프라이버시 보호를 포함, ④ 포괄적 기능성 보장-상호대체 (Zero-Sum)이 아닌 상호보완(Positive-Sum), ⑤ 생명주기 전체의 보호(End-to-End Security), ⑥ 가시성과 투명성(Keep it Open), ⑦ 개인 프라이버시의 존중-사용자 중심의 설계와 운영이 그것이다.³⁵⁾ 우리의 개인정보보호법제에도 이와 유사한 사항을 일부 담고 있지만 수집된 개인정보의 분실·도난·누출·변조·훼손을 금지하는 것에 초점을 맞추고 있어 개인정보의 수집·생성 이전에 방지하는 것을 내용으로 하는 것과는 다소 차이가 있 다. 따라서 ‘설계단계에서의 프라이버시 고려(Privacy by Design)’ 규정을 도입하고 기기 의 제조업자와 서비스 제공자 모두에게 이를 적용하여 설계 시부터 개인정보를 보호하는 환경을 조성하여야 할 것이다.

(3) 분야별 효과적인 보안기준의 제시

모든 사물이 서로 연결되는 사물인터넷 환경에서의 보안 이슈에 대한 관심과 위협이 증 대하는 만큼 보다 구체적이고 실무적인 보안의 기준이 마련되어야 한다. 사물인터넷은 여

34) https://www.privacybydesign.ca/index.php/about-pbd/7-foundational-principles/

35) 이러한 카부키안 박사의 원칙은 법제화를 전제한 것은 아니고 구체적 입법적 사항은 EU의 데이터보호규 정(General Data Protection Regulation)에서 찾아볼 수 있다(이에 대한 상세한 내용은 심우민, “사물 인터넷 개인정보보호의 입법정책”, 헌법학회 제85회 정기학술대회 자료집, 한국헌법학회, 2015, 22면).

러 산업분야가 융합되어 새로운 기술을 창출하는 것을 특징으로 하고 있으므로 각 산업 분야별로 갖고 있는 보안 위협요인도 특정기술에 함께 내재된다. 이에 각 산업 분야별로 보안 위협요인이 서로 상이하고 이에 대한 대응 방식도 달라질 수밖에 없으므로, 일관된 사물인터넷 보안 기준을 결정하기는 어려울 것이다. 따라서 사물인터넷의 공통적 보안기준 을 제시함과 동시에 산업 분야별로 보안의 기준을 따로 제시하는 것이 효과적이다.³⁶⁾

미래창조과학부는 2014년 ‘사물인터넷 정보보호 로드맵’³⁷⁾을 통해 사물인터넷 7대 분야 별 보안가이드와 공통적으로 활용할 수 있는 공통보안 가이드를 마련할 것을 발표하고 이 에 대한 예시를 제시한 바 있다. 개별 산업분야와 이용자 등 민간분야와 관계부처 등의 지속적 협력을 통해 합리적이고 균형적인 보안기준이 제시되어야 할 것이다.

나. 사물인터넷 분야의 특별법 제정

앞서 언급하였듯 사물인터넷 사업 및 서비스 활성화를 위해서는 분야별 법·제도적 장애 요소를 정비하는 것도 중요하지만, 사물인터넷 분야의 단일 특별법 제정이 중장기적으로 신중히 고려되어야 한다.

우선 사물인터넷 분야의 특별법 제정을 통해 각 분야별로 산재해 있는 사물인터넷 활성 화의 장애요소가 되는 규제사항을 점검하여 이를 완화할 수 있는 방안을 모색하여야 한다.

특별법에는 각 분야별로 개별법을 통해 발생하는 규제사항의 점검을 통해 사물인터넷 분야 에서도 적용되는 규제의 내용과 비합리적이고 불필요한 규제의 사항을 구분하는 절차를 마련하고, 또한 사물인터넷을 기반으로 한 관련 사업자들이 유연하게 시장으로 진입할 수 있는 유도체계, 사물인터넷 기반의 구축과 활용, 신규 서비스 개발 및 보급 활성화 관련 진흥 환경의 조성 등의 다양한 내용이 포섭될 수 있다. 법률제정이 비교적 많은 시일에 걸쳐 이루어지는 점을 고려하면 단기적으로 탄력적 정책이 병행 추진되어야 할 필요성도 있다. 정부가 합동으로 사물인터넷 관련 법제도 가이드라인을 시장에 제시할 경우 시장구 성원들의 혼란을 다소 줄이고, 원활한 시장진입을 유도할 수 있다.

단일특별법이나 가이드라인 제정과는 다른 방법으로 현행 정보통신진흥특별법상의 특 례조문을 마련하거나 기타 관련법상 일부 조문의 형태로 입법화하는 방안도 고려해볼 수 있을 것이다. 그러나 단일법상의 체계가 아닌 몇 개의 조항으로 사물인터넷 분야의 모든

36) 한국인터넷진흥원, “사물인터넷 보안 위협 동향”, ｢Internet & Security Bimonthly｣, Vol.5, 2014, 21면.

37) 미래창조과학부, “사물인터넷(IoT) 정보보호 로드맵 3개년 시행계획”, 2015.6.

IV. 사물인터넷 관련 법제도의 문제점 및 개선방향 49 사항을 규정하기엔 다소 무리가 있어 보인다. 단일 특별법을 제정하는 방안은 법적 근거를 기반으로 추진체계 등을 명확히 설정할 수 있고, 정책의 집행에 강력한 근거가 되므로 정책 의 집중도가 높아진다는 점에서 사물인터넷 활성화를 도모하기 위한 가장 합리적인 선택이 될 것으로 보인다.