사물인터넷과 관련하여 미국, 유럽 등 해외 주요 국가들은 사물인터넷 산업 진흥과 이용 자 보호를 함께 고려하는 정책 및 제도적 지원을 적극적으로 검토하고 있다. 특히 사물인터 넷 보안과 관련해서는 총괄적이고 구체적인 정책이 수립되고 있다기보다는 주요 서비스 분야별로 보안원칙을 제시하여 업계 자율적으로 이를 적용하도록 유도하고 있는 수준이다.
18) 김성천 외, 사물인터넷 활성화를 위한 제도개선 및 정책협력 방안 연구, 미래창조과학부, 2013, 107면 19) 동법은 지능형전력망을 정의하면서 지능형전력망 사업의 규제 개선 및 투자 유도 환경 조성 등 지능형
전력망 산업의 체계적 성장을 위한 정부의 책무를 규정하고 있다(동법 제2조, 제3조). 더불어 지능형전력 망 사업을 하기 위한 등록요건(동법 제12조) 및 기기와 제품, 서비스, 기기와 제품 등이 설치된 건축물에 대한 인증(동법 제15조), 표준화 등에 관한 사항을 규정하고 있다(동법 제17조).
사물인터넷 활성화를 위한 정책에 관하여 미국의 경우 2008년부터 2025년까지 국가경쟁 력에 영향을 미칠 수 있는 ‘6대 혁신적인 파괴적 기술’ 중 하나로 ‘사물인터넷’을 선정하여 기술로드맵을 수립하였고, EU는 2009년 ‘사물인터넷 액션플랜’을 수립한 바 있다. 영국의 경우 2014년 3월 사물인터넷 연구개발에 4,500만 파운드 투입할 것을 발표하였고, 일본은 u-Japan 전략(2004년), i-Japan 2015 전략(2009년), Active Japan ICT전략(2012년) 등 을 통해 사물인터넷 산업정책을 추진하고 있다.
가. 미국
미국의 데이터 보호와 관련한 규제를 담당하는 연방거래위원회(Federal Trade Commission, FTC)의 의장 줄리 브릴(Julie Brill)은 2014년 3월 사물인터넷을 제공하는 디바이스 사업자, 서비스 사업자들이 지켜야할 원칙을 다음과 같이 발표20)하면서 사업자 들로 하여금 사물인터넷 환경에서의 개인정보보호에 대한 강조를 한 바 있다. 첫째, 현재 많은 사물인터넷 디바이스는 사용자 인터페이스가 거의 없어 제공사업자 스스로가 사용자 의 개인정보보호를 고려하여 제품과 서비스를 제공해야 하는 상황이므로 개인정보보호를 고려한 설계(Privacy by design)를 하여야 한다. 둘째, 사물인터넷 환경에서는 다양한 디 바이스, 서비스 간에 데이터가 유통될 가능성이 높아짐으로 데이터의 확실한 비식별화 (Robust deidentification of personal data)가 매우 중요하다. 셋째, 신속, 명확, 일반적 이며 가독성이 높은 고지를 제공하여 사용자로 하여금 디바이스가 어떤 데이터를 수집하고 전송하는지 확인할 수 있도록 효율적으로 투명성(Effective transparency)을 확보하여야 한다. FTC는 이를 토대로 2015년 1월 기업들에게 소비자들의 개인정보보호를 위하여 요구 되는 권장사항의 모범사례를 담은 보고서(Internet of Things, Privacy & Security in a Connected World)를 발간하고 다음의 사항을 강조하였다.21)
(1) 데이터 보안(Data Security)
사물인터넷 제품을 개발하는 기업들은 ① 개발 착수 단계에서부터 보안 기능을 내장하여
20) Julie Brill, “The Internet of Things: Building Trust and Maximizing Benefits Through Consumer Control”, Fordham Law Review vol. 38, 2014.3, p.214
21) FTC Staff Report, “Internet of things rules, Privacy&Security in a Connected World”, 2015.1, pp.27-41
III. 사물인터넷 관련 국내외 법제 현황 35 설계하여야 하며, ② 직원들의 직무교육을 통해 보안을 향상시켜야 한다. ③ 외부 서비스 개발자가 투입될 경우 개발자들이 보안 문제를 다룰 수 있는 능력이 있어야 하며, 이들을 적절히 감독하여 충분한 보안이 구현될 수 있도록 해야 한다. ④ 위험이 큰 시스템의 경우, 여러 수준의 보안조치가 고려된 심층 방어 접근 방식(defense in depth approach)을 구현 해야 하고, ⑤ 충분한 접근 제어 장치를 구현하여 소비자의 디바이스와 데이터 또는 네트워 크에 무단사용자가 접근하는 것을 차단해야 한다. 마지막으로 ⑥ 제품의 수명주기 전체에 걸쳐 지속적으로 모니터링하며 취약한 점을 보완해야 한다.
(2) 데이터수집의 최소화(Data Minimization)
기업들은 ① 데이터를 전혀 수집하지 않거나, ② 서비스 제공에 있어 필요한 최소한의 정보만을 취득하거나, ③ 민감한 정보가 제외된 정보만을 수집, ④ 수집한 데이터를 비식별 화 하는 등의 방법을 선택할 수 있으며, 그 이상의 정보를 수집할 경우 이용자의 동의를 취득할 필요가 있다고 하였다. 또한 데이터의 수집을 최소화하여 개인정보와 관련한 유출 피해와 오용을 방지할 수 있다고 권고하고 있다.
(3) 통지와 동의(Notice and Choice)
FTC는 또한 광범위한 데이터를 수집하게 되는 사물인터넷 특성으로 인하여 잠재적인 개인정보의 침해 가능성 및 보안의 위험이 증가될 수 있음을 지적하였다. 그러나 모든 데이 터 수집에 동의를 받을 필요는 없으며, 서비스를 제공하기 위하여 이용자의 정보수집이 불가결한 경우 데이터 수집 이전에 동의를 확보할 필요가 없다고 하였다. 그러나 이용자에 게 동의를 구하기 위한 사용자 인터페이스가 없는 현재 상황을 감안하여 이전보다 많이 이용자와 의사소통을 할 것을 요구하였다.
(4) 법률의 제정(Legislation)
FTC는 기업에 대한 개인정보보호의 권장사항 이외에도 사물인터넷과 관련한 특정한 법 률의 제정에 관한 의견도 제시하였다. FTC는 기술이 빠르게 진화하고 개인정보보호 및
구분 내용
데이터 유통에 대한 자기정보통제권의 부족과 정보의 비대칭
(Lack of control and information asymmertry)
사물인터넷 환경에서는 서비스를 상시적으로 제공하기 위해 디바이스 간 통신으로 다량의 데이터를 주고받지만, 이 데 이터에는 정보주체가 검토할 수 없는 데이터가 포함되어 있 을 수도 있고, 정보주체의 통제범위를 벗어날 수도 있으며 개인정보 유출의 원인이 된다. 특히, 빅데이터 또는 클라우 드 컴퓨팅 환경에서 정보량의 증대로 정보주체는 자신의 정 [표 12] WP29가 제시한 IoT의 프라이버시 및 개인정보보호 이슈
(Privacy and data protection challenges related to the Internet of Things)
보안에 대한 위험이 현실적으로 존재하고 있으나 현재 사물인터넷과 관련한 특정한 법률이 제정되는 것은 이른 감이 있다고 하였다. 그러나 의회에서 데이터 보안 법률을 제정할 필요 가 있음을 언급하였고, 기업이 프라이버시나 보안에 대한 대책을 강구하는 자발적 프로그 램(self-regulation)을 도입하는 것에 대한 중요성을 강조하였다.
나. EU
EU의 경우 EU 데이터보호 지침(Data protection directive) 제29조22)에 근거하고 있는 개인정보보호 작업반(Data Protection Working Party, WP29)에서 2014년 9월 ‘사물인터 넷의 최근 발전에 관한 견해(Opinion 8/2014 on the on Recent Developments on the Internet of Things)’23)라는 의견서를 발표하여 사물인터넷이 최근의 주요 이슈로 부상하 면서 이용자에게 편익을 제공하고 있으나 프라이버시나 보안에 대한 문제를 야기시키고 있음을 지적하였다. EU 개인정보보호 작업반은 이 의견서를 통해 사물인터넷 디바이스에 서 발생할 수 있는 프라이버시 및 보안이슈를 다음 6가지로 제시하면서, 개인정보보호 이슈 를 해결하기 위하여 EU 데이터보호법상의 규정을 준수할 필요가 있다고 강조하였다.
22) Article 29 of Directive 95/46/EC.: Working Party on the Protection of Individuals with regard to the Processing of Personal Data
1. A Working Party on the Protection of Individuals with regard to the Processing of Personal Data, hereinafter referred to as ‘the Working Party’, is hereby set up.
It shall have advisory status and act independently.
2. The Working Party shall be composed of a representative of the supervisory authority or authorities designated by each Member State and of a representative of the authority or authorities established for the Community institutions and bodies, and of a representative of the Commission.
23) Data Protection Working Party, “Opinion 8/2014 on the on Recent Developments on the Internet of Things”, 2014.9.16., pp.6-9(http://ec.europa.eu/justice/data-protection/article-29/documentation/
opinion-recommendation/files/2014/wp223_en.pdf)
III. 사물인터넷 관련 국내외 법제 현황 37
구분 내용
보가 어디에서 수집되고 어디로 전송되는지 확인하기 어려 워 정보의 비대칭을 초래할 수 있다.
정보주체의 데이터 활용에 대한 불충분한 동의
(Quality of the user’s consent)
수많은 사물인터넷 디바이스들의 데이터 수집에 대해 기존 의 개인정보 활용 동의와 같은 절차를 마련하기는 어렵다.
따라서 사물인터넷 환경에서의 정보이용에 대한 동의는 기 존과는 동의의 질이 낮아질 수밖에 없어, EU데이터보호법 상의 개인정보이용 동의의 수준에 대한 보장이 어렵다.
수집목적의 범위를 벗어난 이용 (Inferences derived from data and repurposing of original processing)
데이터 분석 및 크로스매칭(cross matching)과 연관된 기 술들이 결합되어 사물인터넷의 데이터양이 증가하면서 본래 의 수집목적과 다른 목적으로 제3자에게 데이터가 제공될 수 있다.
정보주체가 예상하지 못한 행동 패턴와 같은 데이터의 노출
(Intrusive bringing out of behaviour patterns and profiling)
사소한 데이터 또는 익명의 데이터로부터 정보가 생성될 수 있기 때문에 사물인터넷 기기들이 각각 데이터를 수집하더 라도, 데이터 분석을 통해 개인의 습관과 행동이나 선호도 등이 노출될 수 있다. 향후 사물인터넷으로 인한 감시는 가 정을 포함한 개인의 사적인 영역까지 침범할 가능성이 농후 하다.
서비스 이용에 있어 익명성 유지의 한계 (Limitations on the possibility to remain
anonymous when using services)
사물인터넷의 기능을 충분히 활용하면서 서비스를 익명으로 이용할 수 있는 가능성이 한계에 직면하고 있다. 웨어러블 기기가 정보주체 근처에 있을 경우, 정보주체의 위치를 추 적할 수 있게 하는 전파지문(RF FingerPrint)을 생성하는데 유용한 장치들의 MAC주소와 같은 식별자를 이용할 수 있 게 된다. 다양한 센서의 MAC 주소를 수집하면 특정 개인이 속한 전파지문과 식별자를 생성하기 쉬워져 위치분석이나 이동 패턴에 대한 분석을 할 수 있게 된다.
보안대비 효율성
(Security risks: security vs. efficiency)
사물인터넷의 보안을 고려하여 암호화 공간을 확대하게 되 면 배터리 공간을 줄여야하기 때문에 센서의 물리적 효율성 을 확보해야 하는 문제가 발생한다.
한편, 개인정보보호 이슈를 해결하기 위하여 준수할 필요가 있다고 지적한 EU 데이터보 호법상의 규정은 다음과 같다.
첫째, 데이터 주체로부터의 동의 확보(데이터보호지침 제7조 (a)): 사물인터넷 서비스 제공에 있어 수반되는 데이터 수집 및 이용에 대한 정보주체의 명확한 동의가 필요하다.
둘째, 데이터 처리 및 활용에 관한 요구의 준수(데이터보호지침 제7조 (b), (f)): 정보주체와 의 계약 실행을 위해서만 개인정보를 이용하여야 하며(b), 적법한 이익(legitimate interests)의 목적으로만 데이터 관리자들의 개인정보 이용을 허용한다.(f)24) 셋째, 데이
24) Article 7: Member States shall provide that personal data may be processed only if:
(a) the data subject has unambiguously given his consent; or
터 내용에 관한 원칙의 준수:(데이터보호지침 제6조 (a), (b)): 개인 데이터의 공정하고 적법하게 처리하여야 하며(a), 명시적이고 합법적인 목적을 위해 수집되니 특정 데이터가 해당 목적과 상반되게 처리되어서는 아니 된다(b).25)
넷째, 민감정보 취급기준의 준수(데이터 보호지침 제8조): 민족 또는 인종적 기원, 정치 적 견해, 종교 또는 철학적 믿음, 노동조합 회원 자격을 알 수 있는 개인정보, 건강 또는 성생활에 관한 정보의 처리를 금지한다.26) 다섯째, 데이터 취급의 투명성(데이터 보호지침 제10조, 제11조): 데이터를 수집했을 경우, 수집된 데이터의 정보주체에게 데이터 관리자 의 신원, 데이터가 사용되는 목적, 데이터 활용 권한이 있는 존재에 관한 정보 등을 제시하 여야 한다.27)
(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract; or
(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by the third party or parties to whom the data are disclosed, except where such interests are overridden by the interests for fundamental rights and freedoms of the data subject which require protection under Article 1 (1).
25) Article 6: 1. Member States shall provide that personal data must be:
(a) processed fairly and lawfully;
(b) collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes. Further processing of data for historical, statistical or scientific purposes shall not be considered as incompatible provided that Member States provide appropriate safeguards;
26) Article 8: The processing of special categories of data
1. Member States shall prohibit the processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, and the processing of data concerning health or sex life.
27) Article 10: Information in cases of collection of data from the data subject
Member States shall provide that the controller or his representative must provide a data subject from whom data relating to himself are collected with at least the following information, except where he already has it:
(a) the identity of the controller and of his representative, if any;
(b) the purposes of the processing for which the data are intended;
(c) any further information such as
- the recipients or categories of recipients of the data,
- whether replies to the questions are obligatory or voluntary, as well as the possible consequences of failure to reply,
- the existence of the right of access to and the right to rectify the data concerning him in so far as such further information is necessary, having regard to the specific circumstances in which the data are collected, to guarantee fair processing in respect of the data subject.
Article 11: Information where the data have not been obtained from the data subject
1. Where the data have not been obtained from the data subject, Member States shall provide that the controller or his representative must at the time of undertaking the recording of
III. 사물인터넷 관련 국내외 법제 현황 39 여섯째, 개인정보보호를 위한 기술적 조치(데이터 보호지침 제17조); 개인정보를 보호할 수 있는 적절한 기술적·조직적 조치를 이행해야 한다.28)
다. 일본
일본은 사물인터넷 환경에서 수집, 생성되는 빅데이터의 활용촉진의 관점에서 개인정보 보호에 대한 논의가 진행되고 있다. 일본의 IT전략본부는 2013년 6월 ‘개인 데이터의 이용, 유통에 관한 연구회 보고서(パーソナルデータの利用・流通に関する研究会報告 書)’를 발표하여 사물인터넷 환경에서 수집되고 유통되는 개인식별가능 정보 및 비식별 정보를 포함한 광의의 개인정보의 활용에 대한 검토의견과 함께 개인정보 활용을 위한 7가
personal data or if a disclosure to a third party is envisaged, no later than the time when the data are first disclosed provide the data subject with at least the following information, except where he already has it:
(a) the identity of the controller and of his representative, if any;
(b) the purposes of the processing;
(c) any further information such as - the categories of data concerned, - the recipients or categories of recipients,
- the existence of the right of access to and the right to rectify the data concerning him in so far as such further information is necessary, having regard to the specific circumstances in which the data are processed, to guarantee fair processing in respect of the data subject.
28) Article 17: Security of processing
1. Member States shall provide that the controller must implement appropriate technical and organizational measures to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorized disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing.
Having regard to the state of the art and the cost of their implementation, such measures shall ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected.
2. The Member States shall provide that the controller must, where processing is carried out on his behalf, choose a processor providing sufficient guarantees in respect of the technical security measures and organizational measures governing the processing to be carried out, and must ensure compliance with those measures.
3. The carrying out of processing by way of a processor must be governed by a contract or legal act binding the processor to the controller and stipulating in particular that:
- the processor shall act only on instructions from the controller,
- the obligations set out in paragraph 1, as defined by the law of the Member State in which the processor is established, shall also be incumbent on the processor.
4. For the purposes of keeping proof, the parts of the contract or the legal act relating to data protection and the requirements relating to the measures referred to in paragraph 1 shall be in writing or in another equivalent form.