사물인터넷 활성화를 위한 법적장애 개선방안

정책연구 15-25

2015. 11.

사물인터넷 활성화를 위한 법적장애 개선방안

권헌영

권헌영 고려대학교 정보보호대학원 교수

연세대학교 법학과를 졸업하고, 동 대학교 대학원에서 법학석사와 법학박사 학위를 취득하였다. 2008년부터 광운대학교 법과대학 과학기술법학과의 교수로 재직하였었으며, 현재 고려대학교 정보보호대학원의 교수로 재직중에 있다. 주요 연구 분야는 정보보호법 및 정책, 정보통신법 및 정책, 인터넷법, 사이버안보 법제도 등이며, 주요 논문 및 저서로는 "인터넷규 제를 위한 규범형성의 과제"(토지공법연구, 2009), "개인정보보호법 입법을 다시 거론하며"(토지공법연구, 2009), "인터넷상 의 표현행위에 대한 ISP의 책임범위 및 한계"(언론과법, 2011), "위험사회에서의 빅데이터 활용과 잊힐 권리의 보장에 관한 고찰"(공법연구, 2013), "정보통신보안법제의 문제점과 개선방안",(정보보호학회논문지, 2015), 󰡔한국의 인터넷을 논하다󰡕

(서울경제경영, 2008), 󰡔사이버안전체계 구축에 관한 연구󰡕(한국형사정책연구원, 2010), 󰡔공공정보의 자율적 개방 확산을 위한 제도도입 및 적용방안 연구󰡕(진한엠엔비, 2012)가 있다.

사물인터넷 활성화를 위한 법적장애 개선방안

1판1쇄 인쇄 󰠐 2015년 11월 25일 1판1쇄 발행 󰠐 2015년 11월 30일 발행처 󰠐 한국경제연구원 발행인 󰠐 권태신 편집인 󰠐 권태신

등록번호 󰠐 제318-1982-000003호

(150-756) 서울특별시 영등포구 여의대로 24 전경련회관 45층

전화 02-3771-0001(대표), 02-3771-0060(직통) 󰠐 팩스 02-785-0270∼3 www.keri.org

ⓒ 한국경제연구원, 2015 ISBN 978-89-8031-746-2 5,000원

이 도서의 국립중앙도서관 출판시도서목록(CIP)은 서지정보유통지원시스템

홈페이지(http://seoji.nl.go.kr)와 국가자료공동목록시스템(http://www.nl.go.kr/kolisnet)에서 이용하실 수 있습니다.(CIP제어번호: CIP2015033122)

C O N TE N TS

본 문 목 차

요 약 5

I. 연구의 필요성 및 목적 6

II. 사물인터넷의 의의와 현황 8

1. 사물인터넷의 의의 8

2. 사물인터넷의 가치와 서비스 현황 9

3. 사물인터넷 관련 주요 이슈 12

III. 사물인터넷 관련 국내외 법제 현황 15

1. 사물인터넷 관련 국내 법률 현황 15

2. 사물인터넷의 개인정보보호와 관련한 해외의 법제 33

3. 시사점 및 검토 41

IV. 사물인터넷 관련 법제도의 문제점 및 개선방향 43

1. 사물인터넷 관련 현행 법·제도의 문제점 43

2. 개선방향 46

V. 결론 50

참고문헌 51

21

표 목 차

[표 1] 사물인터넷 분야별 서비스 종류와 기능 10

[표 2] 사물인터넷 서비스의 개인정보침해 및 보안위협 사례 13

[표 3] 개인정보의 예시와 구분 17

[표 4] 개인정보보호 원칙 18

[표 5] 보호조치의 구체적인 내용 19

[표 6] 전기통신사업자의 정의와 주요 규제사항 24

[표 7] 기간통신사업자 허가 세부심사기준 25

[표 8] 별정통신사업의 등록 요건 26

[표 9] 의료법상의 헬스케어 관련 규제사항 29

[표 10] 의료법상의 의료기기 제조업 허가 30

[표 11] 전력 등 에너지사업 관련 대표적 서비스 33 [표 12] WP29가 제시한 IoT의 프라이버시 및 개인정보보호 이슈 36

[표 13] 일본개인정보보호법 개정의 주요내용 41

요약 5

요 약

사물인터넷은 사람과 사물, 공간 등의 모든 사물이 인터넷으로 서로 연결되어 관련 정보 가 수집·생성되고 활용되는 체계를 이르는 것으로, 제3차 생산혁명 또는 제4차 산업혁명 으로 일컬어질 만큼 새로운 환경변화로 인식되고 있다. 사물인터넷은 기존의 모든 산업분 야와 융합될 수 있어 다양한 신 서비스 창출이 가능하므로, 세계 선진국들의 선점의지가 최근 들어 매우 두드러지고 있는 실정이다. Cisco는 2013년, 2013년~2022년간 사물인터 넷 부문에서 19조 달러 경제효과가 발생할 것으로 추정하였고, 가트너는 인터넷에 연결된 사물이 2013년 26억 개에서 2020년에는 260억 개로 확대되어 다양한 혁신과 사업기회를 창출할 것으로 전망한 바 있다. 그러나 국내 사물인터넷 분야는 새로운 기술개발 및 서비스 의 시장진출에 법·제도적 장애요소가 다수 존재하여 조기 시장구축과 서비스 활성화에 어려움을 겪고 있다.

사물인터넷 활성화를 가로막는 법적 장애요소로는 대표적으로 ① 사물인터넷이 기존 분 야별 제도와 상충되거나 규제에 가로막혀 활성화에 어려움을 겪는 경우, ② 사물인터넷 관련 초기시장 구축과 사업자 관리, 신규 기술과 서비스 이용을 대폭 확산시킬 수 있는 조성적·진흥적 지원체계가 미비하여 기업의 신규투자와 경쟁력 확보에 애로를 겪는 경우 를 들 수 있다. 보다 구체적으로 현재 사물인터넷의 법적 이슈는 사물인터넷의 구성요소인 네트워크의 보안이나 보호 등 서비스 안정성과 관련된 문제, 개인정보의 보호이슈 등의 문제와, 사물인터넷이 적용될 수 있는 개별 산업분야 규율법령의 규제이슈가 대표적으로 거론되고 있다.

이에 본 연구에서는 사물인터넷 관련분야의 주요 법률을 살피고 사물인터넷 활성화에 저해요소가 되는 이슈를 도출하고 개선방향을 모색해 보고자 한다.

I. 연구의 필요성 및 목적

사물인터넷은 사람과 사물, 공간 등의 모든 것들이 인터넷으로 서로 연결되어 모든 것들 에 대한 정보가 수집·생성되고 활용되는 것으로 제3차 생산혁명 또는 제4차 산업혁명으로 일컬어질 정도로 새로운 정보통신 환경의 변화를 의미한다. 현재 우리 사회는 모든 것이 인터넷과 연결되는 사물인터넷 기반의 초연결사회로 진입 중에 있으며, 도시, 환경, 수자 원, 측정, 안전, 의료, 농업, 헬스 등 사물인터넷(Internet of Things, IoT)의 적용을 통해 새로운 서비스를 창출하고 부가가치를 높이는 등 신산업 성장 동력을 창출할 수 있을 것으 로 기대되는 분야가 점차 다양해지고 있다. 사물인터넷은 클라우드컴퓨팅 등과 함께 미래 인터넷과 새로운 산업의 핵심동력으로 주목받고 있다. 2013년 Cisco는 2013년~2022년간 사물인터넷 부문에서 19조 달러 경제효과가 발생할 것으로 추정하였고, 시장 조사기관인 가트너에 따르면 인터넷에 연결된 사물이 2013년 26억 개에서 2020년에는 260억 개로 확대되어 다양한 혁신과 사업기회가 창출될 것으로 전망하고 있다.

한편, 사물인터넷 관련 신규 서비스가 발전함에 따라 우리나라를 포함한 각 국은 개발 및 지원 정책 마련에 고심 중이다. 미국은 2008년부터 2025년까지 국가경쟁력에 영향을 미칠 수 있는 ‘6대 혁신적인 파괴적 기술’ 중 하나로 사물인터넷을 선정하여 기술로드맵을 수립하였고, EU는 2009년 ‘사물인터넷 액션플랜’을 수립한 바 있다. 영국의 경우 2014년 3월 사물인터넷 연구개발에 4,500만 파운드 투입할 계획을 발표하였고, 일본은 u-Japan 전략(2004년), i-Japan 2015 전략(2009년), Active Japan ICT전략(2012년) 등을 통해 사물인터넷 산업정책을 추진 중에 있다. 우리나라는 방송통신위원회가 2009년 ‘사물통신 기반 구축 기본계획’을 발표한 바 있으며, 미래창조과학부가 2014년 ‘사물인터넷 기본계획’

을 재차 수립하여 체계적인 사물인터넷의 진흥과 활성화를 준비 중이다.

이와 같이 무한한 가능성과 가치를 지닌 사물인터넷 분야를 지속적으로 발전시키기 위해 서는 관련 법·제도의 분석이 필수적이다. 왜냐하면, 새로운 기술과 서비스의 시장진입,

I. 연구의 필요성 및 목적 7 해당 분야의 규제에 관한 사항, 서비스 및 기술개발 환경조성, 지원정책 등 관계 법·제도 가 체계적으로 정비되어야 해당 산업이 활기를 띄고 발전해나갈 수 있기 때문이다. 그러나 현재 사물인터넷 분야의 경우 기술의 빠른 개발과 발전으로 이에 대한 법률적·제도적 대 응이 미비하여 현행 법률이 사물인터넷 분야의 활성화를 저해하는 요소로 작용하는 경우가 다소 존재한다. 따라서 사물인터넷의 조속한 시장정착과 활성화를 위해서는 서비스 및 상 품의 개발과 확산을 저해하는 법·제도적 장애요소를 제거하고, 각종 진흥·조성적 근거규 정을 확보하여 향후 세계 사물인터넷 시장에서 우리나라가 선도적 지위를 가질 수 있도록 대비하는 것이 필요하다.

사물인터넷 활성화를 가로막는 법적 장애요소로는 대표적으로 ① 사물인터넷이 기존 분 야별 제도와 상충되거나 규제에 가로막혀 활성화에 어려움을 겪는 경우, ② 사물인터넷 관련 초기시장 구축과 사업자 관리, 신규 기술과 서비스 이용을 대폭 확산시킬 수 있는 조성적·진흥적 지원체계가 미비하여 기업의 신규투자와 경쟁력 확보에 애로를 겪는 경우 를 들 수 있다. 보다 구체적으로 현재 사물인터넷의 법적 이슈는 사물인터넷의 구성요소인 네트워크의 보안이나 보호 등 서비스 안정성과 관련된 문제, 개인정보의 보호이슈 등의 문제와, 사물인터넷이 적용될 수 있는 개별 산업분야 규율법령의 규제이슈가 대표적으로 거론되고 있다. 이에 본 연구에서는 사물인터넷 분야의 법·제도적 이슈와 쟁점 및 활성화 를 저해하는 요소를 검토하고, 장애 또는 불명확한 법률에 대한 개선방안을 제시하고자 한다.

II. 사물인터넷의 의의와 현황

1. 사물인터넷의 의의

IoT(Internet of Things) 또는 IoE(internet of Everything)로 불리는 사물인터넷이라 는 용어는 1999년 MIT의 오토 아이디 센터(Auto-ID Center)소장인 애시 톤(Kevin Ashton)이 ‘RFID 및 기타 센서를 일상생활 속 사물에 탑재함으로써 사물인터넷이 구축될 것’이라고 언급하면서 최초로 사용되기 시작하였다. 이에 따르면 사물인터넷이란 일반적으 로 사람, 사물, 공간, 데이터 등 모든 것이 인터넷으로 서로 연결되어 정보가 생성, 수집, 공유, 활용되는 것을 의미한다. 이후 국제전기통신연합(ITU)은 2005년 처음으로 사물인터 넷 관련 보고서를 발간¹⁾하였는데, 사물인터넷의 개념을 ‘언제 어디서나 어느 것과도 연결 될 수 있는 새로운 통신환경’이라고 정의하였다. 이 보고서에서는 사물인터넷 관련 기술과 발전 방향을 제시하면서, 모든 기기 및 사물에 근거리 및 원거리 통신 모듈이 탑재되어 사물과 사람 간 또는 사물 간의 새로운 통신 유형이 등장할 것이라고 예측하였다.

사물인터넷은 기존 유선통신 기반의 인터넷 및 모바일 인터넷보다 한 단계 진화된 형태 로, 사람 대 사람, 사람 대 사물, 사물 대 사물로 통신가능 범위가 확대되고, 이를 바탕으로 최종적으로는 사물 간의 자율적 통신이 가능한 사물지능통신(M2M)²⁾의 구현을 주요 내용 으로 한다. 또한 사물인터넷은 M2M의 개념이 무선통신을 넘어 인터넷 구조 전반에 적용됨 으로써 현실과 가상 세계의 모든 정보들이 상호작용하는 개념으로 진화된 차세대 인터넷 환경을 의미하기도 한다. 여러 관점을 종합해보면 결국 사물인터넷은 인간과 사물, 서비스 등 분산된 구성 요소들 간의 인위적인 개입 없이 상호 협력적으로 센싱, 네트워킹, 정보 교환 및 처리 등의 지능적 관계를 형성하는 사물의 공간 연결망이라 할 수 있다.³⁾

1) ITU, The Internet of Things, 2005

2) 사물지능통신이란 국내에서 만들어 낸 신조어로 RFID 및 센서 등이 여러 가지 경로를 통하여 수집한 사 물의 위치 및 위치의 변동, 조도, 시각 등의 데이터를 지능화된 기기가 전달, 수집, 가공 및 제공하기 위 한 통신을 의미한다(권오상, “M2M(사물지능통신)발전방향과 과제”, ｢Journal of Communications &

Radio Spectrum｣, 한국방송통신전파진흥원, 2012, 5-6면).

II. 사물인터넷의 의의와 현황 9

2. 사물인터넷의 가치와 서비스 현황

우리 사회는 산업혁명, 정보화혁명을 거쳐 모든 것이 인터넷과 연결되는 사물인터넷 기 반의 초연결사회로 진입 중에 있다. 가트너(Gatner)는 인터넷에 연결된 사물이 2009년 9천만 대였으나, 2013년 기준 26억 개, 2020년까지 260억 개로, 그 연결이 지속적으로 확대될 것으로 예측하면서 이 과정에서 다양한 혁신과 사업기회가 창출될 것이라고 언급한 바 있다.⁴⁾ 또한 2013년 CISCO는 2013년부터 2022년까지 사물인터넷 부문에서 19조 달 러 경제효과가 발생할 것이라고 추정하였다.⁵⁾ 미국 국가정보위원회(National Intelligence Council, NIC)는 2025년까지 미국 국가경쟁력에 영향을 미칠 수 있는 혁신적인 6대 기술 중 하나로 사물인터넷을 선정하였으며, 사물인터넷은 RFID에서 출발해 사람 및 모든 사물 들의 위치 정보가 네트워크에 연결됨으로써 상호간의 모니터링과 제어가 가능한 방향으로 발전할 것으로 예측하고 있다.⁶⁾

나. 사물인터넷 관련 서비스의 현황

무선 네트워크, 센서, 스마트 단말기 등의 기술발전과 보급으로 사물인터넷의 영향력은 특정한 산업분야에 국한된 것이 아니라 일상생활에까지 광범위하게 확대되고 있다. 사물인 터넷 환경에서 생산 및 소비되는 사물, 사람, 공간의 정보는 기업 및 개인의 의사를 결정하 는 것에도 활용 가능하며, 사물인터넷 서비스는 현재 전력, 가스, 기계 등 산업제조시설에서 뿐만 아니라 차량이나 모바일기기 등 이동형 객체에서도 활용되고 있다.

3) 민경식, “사물인터넷의 시장 정책동향 분석”, ｢인터넷&시큐리티 이슈｣ 2012년 9월호, 한국인터넷진흥원, 2012, 8면

4) Gartner, “Gartner Says the Internet of Things Installed Base Will Grow to 26 Billion Units By 2 020”, 2013.12.12(http://www.gartner.com/newsroom/id/2636073)

5) Gartner, Forecast, The Internet of Things, Worldwide, 2013.11

6) 김성천 외, 󰡔사물인터넷 활성화를 위한 제도개선 정책협력방안 연구󰡕, 미래창조과학부, 2013, 42면

분야 종류 기능

스마트 가전⁷⁾

스마트 TV

- 디지털 TV에 운영체제(OS) 및 인터넷 접속 기능을 탑재해 실시간 방송뿐 아니라 VOD·게임·검색·날씨 등 다양한 콘텐츠를 편리한 이용자 환경(UI/UX)에서 이용할 수 있는 TV

스마트 냉장고

- 냉장고에 카메라와 LCD스크린을 장착한 후 인터넷을 통해 각종 식생활정보 정보 조회, 실시간 식재료 주문, 자가 절전, 보관 기한 관리, (스마트폰) 냉장고 상태 확인 등 정보기술을 적용한 제품

스마트 에어컨

- 스마트폰에 설치한 애플리케이션을 이용하여 에어컨을 켜거 나 끄는 등 조작하고, 날씨, 전기료, 사용전력량 등의 정보도 확인할 수 있는 제품

스마트 청소기

- 음성명령을 통한 원격제어 서비스, 청소기 내의 천장 영상인 식 기술로 집 구조를 파악하는 기능 등 스마트폰을 이용하여 원격으로 다양한 기능을 이용할 수 있는 제품

스마트 헬스케어⁸⁾

나이키의 퓨얼밴드

- 손목에 차는 스마트밴드로 만보계와 열량 계산 기능이 탑재 된 제품

- 사용자가 운동 목표치를 설정하면 LED 조명을 통해 목표치 달성 여부를 알려주는 기능 제공

구글의 스마트글래스

- 증강현실(AR) 기술을 활용한 웨어러블 컴퓨터로, 당뇨 환자 의 눈물 속에 있는 포도당 수치를 확인하여 혈당 수치를 쉽 고 간편하게 체크할 수 있는 서비스 제공

애플의 스마트워치

- 스마트폰과 연동하여 전화, 메시지 등 각종 애플리케이션을 이용할 수 있고, 사용자의 손목에서 심장박동을 잡아내는 센서를 이용하여 사용자의 활동, 몸 상태를 기록하는 기능 제공

AT&T의 스마트슬리퍼

- 발걸음의 가속도 및 압력 정보를 네트워크로 전송하고 이러 한 정보를 이용하여 사용자의 걸음걸이 상태를 관리하여 위 급상황 시 이메일 또는 문자로 의사 또는 지인에게 알려주는 서비스 제공

산업

농업 SKT의 스마트팜 - 시설물 모니터링, 농지, 작물의 생육과정 관찰을 통해 작업효 율 개선

공장 GE, 지멘스의

스마트공장 - 생산 가공 유통공정에 ICT 기술 접목으로 생산성 향상 도모

자동차 (커넥티드 카)⁹⁾

현대자동차의 블루링크

- 네비게이션과 IT 기술이 연계된 커넥티드 카 서비스로, 스마 트폰 애플리케이션을 통해 차량 원격 시동, 공조 제어가 가 능하며, 안전 보안, 차량 관리, 드라이빙, 컨시어지 서비스 제공

[표 1] 사물인터넷 분야별 서비스 종류와 기능

II. 사물인터넷의 의의와 현황 11

분야 종류 기능

GM의 온스타

- 차량 사고 시 실시간 응급 구조, 도난 차량 추적 및 감속 등 의 서비스 제공

- GM의 중앙 콜센터와 통신하여 애플리케이션을 이용하여 차 량 위치 알림, 무선도어 잠금 알림 서비스를 원격제어 가능

기타

Nest사의 서머 스탯 (온도 조절 장치)과

화재경보기

- IoT를 이용한 서머 스탯은 집 안의 시스템과 사용자의 패턴 을 분석하여 자동으로 온도를 조절하고 절전 모드로 변환하 는 기능 탑재. 외부에서 귀가 시 스마트폰을 이용하여 집 안 의 상태를 가장 쾌적하게 설정 가능

- IoT를 이용한 화재경보기는 비상사태 발생 시 단순히 알람을 울리는 것이 아닌 상황을 음성으로 설명해주고, 스마트폰으 로 기기 점검 및 운영 가능

Skully 헬멧

- 헬멧 뒷면의 카메라와 헬멧 속의 HUD를 이용하여 오토바이 를 타면서 360도 시야를 유지할 수 있어 사고 예방 및 운전 자의 심리적 불안감 해소

- HUD는 네비게이션으로도 활용 가능

자전거 도난 예방 기술

- 사용자의 자전거에 Cricket 센서를 설치하여 다른 사람이 자 전거에 접근하였을 경우 스마트폰으로 알람을 전송하여 위험 을 알림

- 반경 50미터까지 GPS 추적이 가능하고 Cricket 사용자들끼 리 애플리케이션을 통하여 위치 정보 공유 가능

스마트 도어락

- 미국 Goji사의 스마트 도어락은 스마트폰을 이용하여 문을 열 수 있게 하는 장치

- 카메라가 장착되어 있어 방문자의 모습을 촬영하고 사용자의 스마트폰으로 전송하여 외부인의 침입 방지

- 사용자가 외부에 있을 때 가족 또는 친구가 방문하면 스마트 폰으로 ‘임시 열쇠’를 전송하여 출입을 가능하게 함

7) 스마트 가전은 가전에 네트워크 기능을 연결하고 제어 기능을 탑재해 콘텐츠와 스마트 홈서비스를 제공 가능하게 하는 제품을 의미함. 스스로 상황에 맞게 자동적으로 최적의 성능을 발휘할 수 있도록 조정이 가능한 가전으로서 통신 기능을 내장한 냉장고, 세탁기, 에어컨 등을 통칭(김현중, “글로벌 기업의 스마트 가전 전략”, ｢IT Spot Issue｣, 정보통신산업진흥원, 2012, 4면)

8) 스마트 헬스케어는 IT 기술을 통하여 언제 어디서나 간편하게 치료와 검진을 받고, 건강을 관리할 수 있 는 환경을 의미. 웨어러블 IoT 디바이스를 통해 헬스케어 서비스 제공을 위한 운동량 정보(칼로리 소모량, 거리, 걸음수 등), 족적 정보(움직임, 족압 등), 심전도, 칼로리 등의 정보를 측정할 수 있으며, IoT 플랫 폼과 연계하여 다양한 서비스를 제공함(박종태 외, “사물인터넷 기반 헬스케어 서비스 및 플랫폼 동향”,

｢한국통신학회지(정보와 통신)｣ 제31권 제12호, 한국통신학회, 2014, 26면)

9) 커넥티드 카란 차량 연결성을 강조하는 개념으로 자동차에 네트워크 기능을 탑재함으로써 실시간 네비게 이션, 원격 차량제어 및 관리 서비스뿐만 아니라 이메일, 멀티미디어 스트리밍, SNS 등 엔터테인먼트 서 비스를 지원하는 것들을 의미(김선영, “커넥티드 카(Connected Car) 서비스 동향 분석”, ｢ICT 기획시리 즈, 주간기술동향｣ 1623호, 정보통신산업진흥원, 2013, 13면)

3. 사물인터넷 관련 주요 이슈

사물인터넷은 그 가치와 긍정적 전망과 함께 안정성에 관한 적지 않은 우려도 존재하고 있다. 그 중 가장 대표적 문제점으로 지적되고 있는 것은 사물인터넷의 보안에 관한 사항이 다. 사물인터넷은 정보를 센싱하기 위한 센서 기술과 센싱된 정보에 대한 원활한 통신·네 트워킹을 위한 기술, 사물인터넷 디바이스 자체를 위한 칩 기술, 기능 구현을 위한 OS 기술 및 임베디드 시스템 기술, 디바이스의 자율 동작과 지능적 동작을 위한 플랫폼 기술, 대량 의 데이터를 처리하는 빅데이터 기술, 유용한 정보 추출을 위한 데이터 마이닝 기술, 사용 자 중심의 사물인터넷 서비스를 위한 웹 서비스·응용 서비스·WoT(Web of Things)기술 등 여러 가지의 요소기술이 통합되어 특정한 서비스를 구성하는 것이기 때문에 각 요소 기술 차제의 보안 취약성 등이 서로 연동될 경우에 우리가 예측하지 못했던 새로운 보안 취약성이 발생할 가능성이 매우 높다는 것이다. 또한 사물인터넷 서비스는 기존의 단일 사업자가 주도하는 서비스와는 달리 다양한 서비스 주체가 하나의 서비스를 제공하기 위해 서로 협업하거나 협력하는 특성을 가지기 때문에 여러 주체 간 보안 및 프라이버시의 책임 과 권한 선정의 어려움이 생길 여지도 있다. 다시 말하면, 센서 디바이스 공급자와 통신/네 트워크 공급자, 센서 개발자, API개발자, 플랫폼 공급자, 데이터 소유자 등 다양한 서비스 주체가 존재하기 때문에 보안이나 프라이버시 문제의 집중적이고 효과적인 해결이 어렵다 는 것이다.¹⁰⁾

나. 개인정보 침해우려와 보호방법

사물인터넷 환경에서는 자동화되고 기술적으로 진보한 디바이스의 센서를 통해 개인의 건강, 결제정보, 위치정보 등 민감정보를 포함하여 개인의 성향이나 흥미·취향 등 광범위 한 정보가 대규모로 수집·저장된다. 뿐만 아니라 프로파일링, 추적성 등을 확보할 수 있어 프라이버시에 대한 우려가 클 수밖에 없는 상황이다. 또한 최초 수집된 데이터가 개인식별 가능성이 없다고 하더라도 수집된 데이터를 가공 및 분석하는 과정에서 다양한 서비스와 기기 등의 데이터와 결합될 수 있기 때문에 개인에 대한 구체적이고 상세한 정보특정이

10) 김호원, “사물인터넷 환경에서의 보안/프라이버시 이슈”, ｢TTA Journal｣ Vol.153, 한국정보통신기술협 회, 2014, 38면

II. 사물인터넷의 의의와 현황 13

구분 내용

온스타의 개인정보 무단 수집 사례

- 온스타는 커넥티드 카 서비스 업체로, 개인정보 보호정책 약관 변경에 대한 내용 중 고객이 온스타 서비스 해지 후에도 차량의 위치정보, 이동 정보, 결제 정보 등 고객의 정보를 계속 수집할 수 있다는 내용과, 경우 에 따라 암호화 된 개인정보를 보험사와 같은 제3자에게 제공 또는 판 매를 허용한다는 내용으로 고객의 프라이버시를 침해할 가능성에 대한 비판을 받음

무인기를 통한 개인정보 유출 사례

- ‘스누피’라는 해킹 기술을 이용해 해커가 무인기를 활용하여 스마트폰 내 개인정보 및 민감정보를 유출할 수 있음을 실험을 통해 시연하여, 약 1시간 동안 무인기 아래에 있던 보행자들의 스마트폰에 저장된 150여 개의 정보를 수집, 웹사이트 계정 탈취도 가능하다는 점을 확인

구글 글래스의 개인정보 침해 위협

- 네트워크 통신을 조작하여 통신 내용을 도청하거나 조작하는 공격 기법 인 ‘중간 공격자’와 같은 기술을 이용하여 카페 또는 공항과 같은 공공 장소에서 공격자가 구글 글래스 사용자의 디바이스에 저장된 정보 침해 가능

- 또한 구글 글래스는 환자의 진료 기록을 구글 서버에 전달하고 구글 글 래스의 사용자는 다시 관련 정보를 전달받는 방식으로 상호 작용이 이 루어지는데, 이와 같은 데이터 전송 과정에서 보안 취약성과 해킹으로 사용자의 민감 정보가 유출될 우려가 있음

웹캠 제조사 트렌드넷의 동영상 유출 사례

- 트렌드넷이 고객의 로그인 계정 정보를 암호화 하지 않고 인터넷상에서 동영상을 전송 및 저장함으로써, IP주소를 알면 누구든지 해당 동영상을 다운로드 받거나 확인할 수 있다는 보안 결함 발견

[표 2] 사물인터넷 서비스의 개인정보침해 및 보안위협 사례

가능하다.¹¹⁾

또한 개인정보의 이용 및 제공에 있어서도 정보주체의 권리는 기존에 비해 위협요소가 증가하게 되는데, 사물인터넷 환경에서 정보주체들은 개인정보의 이용과 제공 등이 어떻게 일어나고 있는지 인식하거나 확인하기가 어렵고, 사업자 입장에서도 데이터 처리를 하는 모든 프로세스마다 정보주체에게 이를 통지하거나 동의를 얻는 것이 쉽지만은 않은 일이 다. 게다가 사물인터넷 서비스는 단일 사업자가 주도하는 기존의 수직적 시장의 특성이 아닌 다양한 주체가 공존하는 수평적 시장의 구조를 띄고 있어 여러 주체 간 프라이버시 보호책임과 의무에 대한 명확한 구분의 어려움도 존재한다. 아래 표는 사물인터넷 서비스 의 개인정보침해 및 보안위협 사례를 도표화 한 것이다.

11) 민경식, “IoT환경에서 개인정보보호에 관한 글로벌 논의 동향”, ｢주간기술동향｣ 통권 1,700호, 정보통신 기술진흥센터, 2015, 14면; 강달천, “ICT신산업의 발전과 개인정보보호의 법적 문제”, 한국인터넷진흥원, 인터넷법제도포럼, 2014, 14면

구분 내용

베이비 모니터 해킹 사례

- 부모와 다른 방에서 자는 아기의 상태를 지켜볼 수 있는 카메라인 베이 비 모니터는 와이파이를 이용하는데, 공격자는 와이파이를 사용하는 제 품의 취약성을 이용하여 베이비 모니터를 해킹, 이를 통해 가정 내부를 모니터링하고 아기에게 욕설을 하는 등 보안 문제 발생

스마트 가전을 이용한 스팸메일 발송 사례

- 스마트 TV나 냉장고와 같은 가전제품 등을 해킹하여 악성코드 감염, 이 러한 제품에 탑재된 메일링 기능을 악용해 스팸메일 발송

출처: 김범수 외, 󰡔스마트기기 보급 확대에 따른 개인정보보호방안 연구-사물인터넷 환경을 중심으로󰡕, 개인정보보호위원 회, 2014, 118-131면 참조하여 작성

다. 기존 사업자 규제 관련

사물인터넷 분야는 기존 서비스에 ICT가 결합되는 융합서비스의 특성을 지니고 있어 해당 사업이나 서비스를 규율하는 법령에 따라 다양한 규제를 받게 된다. 사업자는 실제 시장에서 사물인터넷을 서비스하기 위해서는 사업의 실시에서부터 서비스의 개발 및 상용 화까지 여러 분야의 관계 법률의 적용을 받게 되고, 일부 이중규제의 가능성도 존재한다.

단순한 예를 들면, 통신사업자가 전력기기에 사물인터넷을 적용시켜 서비스하기 위해서는 통신사업규제뿐 아니라 전력사업규제를, 의료사업자가 의료기기에 사물인터넷을 적용하 기 위해서는 반대로 통신사업규제를 충족시켜야만 원활한 서비스가 가능하다는 것이다.

이러한 점은 사물인터넷 분야 산업의 활성화에 지대한 저해요소로 작용한다. 제도가 사 업자의 시장 진입장벽으로 작용하여 기술이나 서비스 개발 자체의 장애요소가 될 수도 있 고, 여러 규제요소나 규제에 대응하기 위한 비용지출로 사업자로 하여금 사업자체를 포기 하게 할 수도 있다. 이와 같은 문제점을 해소하기 위하여 관계 법령의 정비에 대한 논의가 활발하게 이루어지고 있으나 다양한 분야에 적용 가능한 사물인터넷의 특성상 많은 수의 관계법령을 일괄적으로 개선하는 것은 현실적으로 어렵다.

III. 사물인터넷 관련 국내외 법제 현황 15

III. 사물인터넷 관련 국내외 법제 현황

1. 사물인터넷 관련 국내 법률 현황

사물인터넷은 그 특성상 정보통신, 교통, 환경, 의학, 안전, 건축 등 다양한 분야와 관련되 어 있으며, 특정분야나 특정서비스에 한정된 것이 아닌 우리 생활 전반에 걸쳐 활용되는 것이기 때문에 다양한 분야의 법률과 관련이 있다. 사물인터넷은 기본적으로 여러 기계 및 단말기와 연동되기 때문에 해당 기계에 대한 각각의 제조, 유통, 서비스 등의 분야와 관련되며, 해당 산업분야를 규율하는 법률도 적용의 대상이 된다. 예컨대, 스마트 자동차의 경우 자동차제조, 유통, 정비 등의 산업분야와 연결되며, 이는 ｢자동차관리법｣ 등 자동차 관리 전반에 걸친 관계 법률의 적용을 받게 됨을 의미한다. 따라서 현재 개발되었거나 향후 개발될 사물인터넷서비스는 각각의 단말기의 제조, 유통, 서비스 등 해당 산업 전 분야의 관계 법률과 관련성을 갖고 있다.

사물인터넷과 관련한 법적 장애요소를 중점적으로 살펴볼 법률로는¹²⁾ ｢개인정보 보호법｣,

｢위치정보의 보호 및 이용 등에 관한 법률｣, ｢정보통신망 이용촉진 및 정보보호 등에 관한 법률｣, ｢전기통신사업법｣, ｢정보통신 진흥 및 융합 활성화 등에 관한 특별법｣, ｢의료법｣,

｢자동차관리법｣ 등이 있다.

12) 모든 분야의 관련법을 전부 조사하는 것에는 시간적·물리적 한계가 존재하므로 본 보고서에서는 현재 사물인터넷 활성화에 있어 장애가 되는 주요 법률적 이슈인 개인정보와 보안 및 사업자 규제부분에 관한 사항과 기타 현재 주요서비스 몇 가지 분야별 법률을 중심으로 검토하고자 한다.

가. 개인정보보호법제

(1) 개인정보보호법 1) 개관

사물인터넷 환경에서는 사물인터넷 디바이스를 통해 개인정보를 수집·활용하기도 하 며, 개인정보가 아닌 사물정보라 하더라도 그 자체로는 개인을 식별하는 정보가 될 수는 없으나, 사물인터넷 디바이스에 포함된 데이터가 정보주체와 연계될 경우에는 개인정보가 될 수 있어 사물인터넷 서비스나 관련 기기의 개발 전반에 걸쳐 개인정보보호법의 적용을 받을 수밖에 없다. 이하에서는 개인정보보호법상 사물인터넷과 관련된 법적 사항을 살펴보 도록 한다.

｢개인정보보호법｣은 2011년 제정되어 개별적으로 규율되고 있던 개인정보보호법제의 규 율대상을 공공 및 민간, 온·오프라인 등 구분 없이 모든 영역으로 확대함에 따라 개인정보 보호의 수준이 한 단계 높아져 법 적용의 사각지대가 해소된 것으로 평가받고 있다. 동법의 제정으로 개인정보 열람·정정·삭제 청구권, 유출시 통지 및 신고제도, 유출로 인한 피해 자에 대한 권리구제 수단 강화 등 개인정보보호의 수준이 전반적으로 강화되었다.

2) 개인정보의 개념

개인정보보호법에 따르면 개인정보란 살아있는 개인에 관한 정보로서 성명, 주민등록번 호, 영상 등을 통하여 개인을 알아볼 수 있는 정보를 의미한다(법 제2조 제1호). 즉 개인정 보의 구성요소는 ① 살아있는 개인, ② 특정 개인과의 관련성, ③ 정보의 임의성, ④ 식별 가능성이 이에 해당한다. 따라서 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것 또한 개인정보에 해당하며, 연령, 주소 등 개인에 대한 객관적 정보는 물론 개인에 대한 의견, 평가 등 제3자에 의해 생성된 주관적인 정보도 개인정보의 범위에 포함된다.

III. 사물인터넷 관련 국내외 법제 현황 17

구분 내용

일반정보

이름, 주민등록번호, 주소, 전화번호, 생년월일, 가족관계 및 가족구성원 의 정보

※ 사자(死者)의 개인정보는 원칙적으로 개인정보에 포함되지 않지만,

｢사립학교교직원 연금법｣의 일부 규정에 따른 유족과의 관계에서 개 인정보의 범위에 포함

신체적 정보 얼굴, 지문, 홍채 등

정신적 정보 도서·비디오 대여기록, 신문·잡지 구독정보, 여행 등 활동 내역, 인터 넷 검색내역

재산적 정보 강습료, 자문비, 수당 등의 지급내역, 신용정보

사회적 정보

교육 학력, 성적, 출석상황, 자격증 보유내역, 성적관리내역, 진학정보 범죄 등 전과·범죄기록, 재판기록, 과태료 납부내역

근로 직장, 근무처, 근로경력, 상벌기록, 직무평가기록

기타

통신 통화내역, 인터넷 접속내역, 이메일, 문자메시지 위치 IP주소, GPS, 출결 등에 의한 개인위치정보 병역 병역여부, 기간, 군번, 계급, 근무부대, 주특기 영상 CCTV 등 영상매체를 통해 수집된 화상정보 1) 자연인에 관한 정보

- 법인이나 단체의 정보는 개인정보의 범위에 포함되지 않음 2) “생존하는” 자연인에 관한 정보

- 이미 사망하였거나 민법에 의한 실종신고 등 관계 법령에 의해 사망한 것으로 간주되는 자에 관한 정 보는 법률상의 개인정보로 볼 수 없음

3) 특정 개인을 알아볼 수 있는 정보

- 해당 정보만으로는 특정 개인을 식별할 수 없다하더라도 “다른 정보와 쉽게 결합”하여 식별 가능하다 면 개인정보에 해당됨

- “다른 정보와 쉽게 결합”의 의미는 일률적으로 판단할 수는 없으며, 다른 개인 정보의 종류 등 상황에 따라 달라짐

4) 정보의 종류·형태 제한 없음

- 문자·음성·부호·영상 등 정보의 종류나 형태는 제한이 없음 [표 3] 개인정보의 예시와 구분

개인정보 보호법 OECD 가이드라인

목적에 필요한 최소한 범위안에서 적법하고 정당하게 수집 수집 제한의 원칙

처리목적 범위 안에서 정확성·안전성·최신성 보장 정보 정확성의 원칙

처리목적의 명확화 목적 명확화 원칙

필요 목적 범위 안에서 적법하게 처리, 목적 외 활용 금지 이용 제한의 원칙

정보주체의 권리침해 위험성 등을 고려, 안전성 확보 안전 보호의 원칙

개인정보 처리사항 공개 공개의 원칙

열람청구권 등 정보주체의 권리보장 개인 참여의 원칙

개인정보처리자의 책임준수·실천, 신뢰성 확보 노력 책임의 원칙

[표 4] 개인정보보호 원칙

3) 개인정보보호의 원칙

개인정보보호법의 주요 보호법익은 개인정보자기결정권¹³⁾의 보장이다. 따라서 동법은 개인정보의 수집·이용·제공 등이 정보주체의 동의 등 정당한 절차에 의해 이루어지고, 개인정보가 내부자의 고의나 관리 부주의 또는 외부의 공격으로 인해 유출·변조·훼손되 지 않도록 안전하게 관리되어야 함을 원칙으로 하고 있다(법 제3조).

4) 개인정보의 제3자 제공

개인정보의 제3자 제공이란 개인정보의 저장매체 또는 개인정보가 담긴 출력물이나 책 자 등의 물리적 이전, 네트워크를 통한 개인정보의 전송, 개인정보에 대한 제3자의 접근권 한 부여, 개인정보처리자와 제3자의 개인정보 공유 등 개인정보의 이전과 공동으로 이용할 수 있는 상태를 초래하는 모든 행위를 의미한다. 여기서의 제3자란 정보주체와 정보주체 또는 그의 법정대리인으로부터 개인정보를 실질적·직접적으로 수집·보유한 개인정보처 리자를 제외한 모든 자를 의미하며, 제3자에게 개인의 정보를 제공하기 위해서는 정보주체 의 동의를 받은 경우, 법령상 의무 준수를 위해 불가피한 경우, 정보주체 또는 그 법정대리 인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로써 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하

13) 자신에 관한 정보의 수집 및 이용 목적, 항목, 보유 및 이용기간, 제공받는 자 등을 해당 정보주체가 스 스로 결정할 수 있는 권리로서 개인정보 수집 출처, 처리 목적에 대해 고지 받을 권리와 개인정보의 열 람, 정정, 삭제, 처리정지 등을 요구할 수 있는 권리를 포함한다.

III. 사물인터넷 관련 국내외 법제 현황 19 다고 인정되는 경우 등에만 가능하다(법 제17조 제1항).

정보주체의 동의를 받고 개인정보를 제공하는 경우 ① 개인정보를 제공받는 자, ② 개인 정보를 제공받는 자의 개인정보 이용 목적, ③ 제공하는 개인정보의 항목, ④ 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간, ⑤ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 정보주체에게 알려야 한다(법 제17조 제2항).

5) 민감정보에 대한 동의와 개인정보의 파기

사물인터넷 중 의료기기를 통해 수집되는 개인정보는 민감정보에 해당할 가능성이 높으 므로 이 경우 제23조에 따라 민감정보의 처리에 관하여 다른 개인정보의 활용 동의와 별도 로 동의를 받아야 한다. 또한 사물인터넷과 관련하여 생성된 개인정보의 파기 및 파기주체 에 대해서도 개인정보보호법이 적용되므로, 보유기간이 경과하거나 수집·이용목적이 달성 된 때에는 재생할 수 없는 방법을 통해 지체 없이 해당 개인정보를 파기하여야 한다(법 제21조).

(2) 정보통신망 이용촉진 및 정보보호 등에 관한 법률

정보통신망을 이용하여 서비스를 제공하는 경우 개인정보보호법 외에도 ｢정보통신망 이 용촉진 및 정보보호 등에 관한 법률｣(이하 ‘정보통신망법’)상의 개인정보보호를 위한 기술 적, 관리적 조치의무 및 기준을 준수하여 정보시스템에서 운용되고 있는 개인정보의 유출 및 오·남용을 방지하여 안전하게 관리하여야 한다. 이에 대한 자세한 사항은 정보통신망 법 제28조 제1항과 동법 시행령 제15조 제6항에 따라 ｢개인정보의 기술적·관리적 보호조 치 기준｣에서 규정하고 있는데, 동 지침은 정보통신서비스 제공자 등이 이용자의 개인정보 를 취급함에 있어 개인정보가 분실·도난·누출·변조·훼손되지 않도록 안전성을 확보하 기 위하여 필요한 조치사항을 상세히 명시하고 있다. 동 지침에서는 정보통신서비스제공자 등으로 하여금 개인정보보호조직을 구성할 것과 내부관리계획을 수립하고 시행할 것, 개인 정보처리시스템에 대한 접근권한을 다르게 부여할 것과 접속기록의 위·변조 방지, 개인정 보의 암호화, 악성프로그램의 방지, 전산실·자료보관실 등 물리적 보관장소에 대한 접근 방지, 개인정보의 출력시 항목의 최소화 등에 관한 내용을 규정하고 있다.

구 분 세 부 조 치 사 항

1.

관 리 적 보 호 조 치

1.1.

정보보호 조직의 구성·운영

1.1.1.

정보보호조직의 구성

‣ 정보보호 최고책임자, 정보보호관리자, 정보보호담당자로 구 성된 정보보호조직을 운영

1.1.2.

정보보호 최고 책임자의 지정

‣ 기업의 정보보호를 책임지는 이사 이상의 상근임원으로 지정

1.1.3.

정보보호조직 구성원의 역할

‣ 정보보호 최고책임자는 정보보호 업무와 조직을 총괄 지휘

‣ 정보보호관리자는 정보보호 업무의 실무를 총괄하고 관리

‣ 정보보호담당자는 정보보호 업무의 분야별 실무를 담당

1.2.

정보보호 계획 등의 수립

및 관리

1.2.1.

정보보호 방침의 수립·이행

‣ 정보보호 목표, 범위, 책임 등을 포함한 정보보호 방침(policy) 수립

‣ 정보통신서비스와 관련된 모든 법, 규제, 계약, 정책, 기술상 의 요구사항을 문서화하고 시행

1.2.2.

정보보호 실행계획의

수립·이행

‣ 정보보호 방침을 토대로 예산, 일정 등을 포함한 당해 연도의 정보보호 실행계획을 수립

‣ 최고경영층이 실행계획을 승인하고 정보보호 최고책임자가 추진 상황을 매 반기마다 점검

1.2.3.

정보보호

‣ 정보통신설비 및 시설에 대한 관리적·기술적·물리적 보호 조치의 구체적인 시행 방법․절차 등을 규정한 정보보호 실무 [표 5] 보호조치의 구체적인 내용

(정보보호조치에 관한 지침 별표1)

나. 보안 관련 법령

(1) 정보통신망 이용촉진 및 정보보호 등에 관한 법률

사물인터넷 분야의 사업과 서비스를 제공함에 있어 전기통신역무를 이용하여 정보를 제 공하거나 정보의 제공을 매개하는 경우 정보통신망법상의 정보통신서비스제공자가 되어 동 법의 적용 대상이 되어 동법에서 요구하는 정보보안 관련 규제사항을 준수하여야 한다.

정보통신망법은 제6장(정보통신망의 안정성 확보 등)에서 정보보호를 위한 일정한 기술 성 요건, 관리체계 등을 규정하여 정보통신서비스제공자로 하여금 정보통신망의 안전성 및 정보의 신뢰성을 확보하기 위하여 관리적·기술적·물리적 보호조치를 마련하도록 규 정하고 있으며, 해당 보호조치의 구체적 내용은 아래 표와 같다.¹⁴⁾

14) 정보보호조치에 관한 지침(방송통신위원회 고시 제2013-3호)

III. 사물인터넷 관련 국내외 법제 현황 21

구 분 세 부 조 치 사 항

실무지침의 마련·준수

지침을 마련

‣ 정보보호 최고책임자가 실무지침을 승인하고 관련 법·제도, 설비의 교체 등 변경사유가 발생할 경우 보완하여 관리 1.2.4.

정보보호 사전점검

‣ 새로운 정보통신망을 구축하거나 정보통신서비스를 제공하고 자 하는 때에는 그 계획, 설계, 구현, 테스트 등에서 정보보호 에 관한 사항을 고려

1.3.

인적 보안

1.3.1.

내부인력 보안

‣ 임직원의 전보 또는 퇴직시 즉시 관련 계정 등에 대한 접근 권한을 제거

‣ 임직원에게 정보보호 인식을 제고할 수 있는 홍보(정보보호 실천수칙 보급 등)를 실시

‣ 정보보호조직의 구성원 및 정보보호와 관련된 업무에 종사하 는 자에게 정기적으로 정보보호 교육 실시

1.3.2.

외부인력 보안

‣ 자사 직원이 아닌 자를 업무에 활용할 경우 보안서약을 징구

1.3.3.

위탁운영 보안

‣ 전산업무를 외부에 위탁할 경우 보안계약서 또는 서비스수준 협약 등에 ‘정보보호에 관한 위탁업체의 책임범위’, ‘위탁업무 중단에 따른 비상대책’ 등을 반영

1.4.

이용자 보호

1.4.1.

정보보호 정보 제공

‣ 이용자에게 침해사고 예·경보, 보안취약점, 계정·비밀번호 관리방안 등의 정보를 지속적으로 제공

1.4.2.

정보보호 현황 공개

‣ 정보보호 투자 및 인력 현황, 정보보호 관련 인증 등 정보보호 현황을 자사 홈페이지 등에 공개

1.5. 침해사고 대응

1.5.1.

침해사고 대응 계획의 수립․이행

‣ 침해사고 정의 및 범위, 대응체계(보고 및 조치 체계), 대응 방법 및 절차, 복구 방법 및 절차, 증거자료 수집 및 보관 등 을 포함한 침해사고 대응계획을 마련·시행

1.6. 정보보호 조치 점검

1.6.1.

정보보호조치의 자체 점검

‣ 정보보호관리자는 매년 정보보호조치 및 정보보호 실무지침 의 기준에 따라 자체적으로 정보보호 현황을 점검

1.7. 정보자산 관리

1.7.1.

정보통신설비 및 시설의 현황 관리

‣ 정보통신망 구성도를 마련하고 변경사항이 있을 경우 보완·

관리

‣ 정보통신설비, 시설의 목록(용도 및 위치 등 포함) 작성 및 네 트워크와 분리된 환경에서 안전하게 관리

1.8. 정보보호 투자

1.8.1.

정보보호 투자계획 수립·이행

‣ 기업의 정보보호를 위해 위험관리에 기반한 적정 수준(정보기 술부문 예산의 5% 이상)의 정보보호 예산 편성 및 집행

구 분 세 부 조 치 사 항

2.

기 술 적 보 호 조 치

2.1.

네트워크 보안

2.1.1.

트래픽 모니터링

‣ 네트워크 모니터링 도구를 이용하여 백본망, 주요노드 및 외부 망과 연계되는 주요회선의 트래픽 소통량을 24시간 모니터링

2.1.2.

무선서비스 보안

‣ 무선랜서비스, 무선인터넷서비스를 제공할 경우에는 사용자인 증, 데이터암호화 등 보안조치를 마련

2.1.3.

정보보호시스템 설치․운영

‣ 외부망과 연계되는 구간에 침입차단시스템, 침입탐지시스템 등 네트워크의 안전성을 제고할 수 있는 정보보호시스템을 설치·운영

2.1.4.

정보보호를 위한 모니터링

‣ 주요시스템․네크워크 사용 및 접근이 명확하게 허용된 범위 안에 있는지를 확인하기 위한 모니터링 시스템 구축 또는 위 탁운영을 통하여 침해사고 탐지·대응 체계 운영

2.2.

정보통신 설비 보안

2.2.1.

웹서버 보안

‣ 외부에 서비스를 제공하는 웹서버는 단독서버로 운영하고 DMZ에 설치

2.2.2.

DNS서버 보안

‣ 과부하에 대비한 부하분산 대책을 마련

‣ 설정파일 백업 실시

2.2.3.

DHCP서버 보안

‣ 과부하에 대비한 부하분산 대책을 마련

‣ 설정파일 백업 실시

‣ IP 할당 상황 등에 대한 로그기록 유지·관리 2.2.4.

DB서버 보안

‣ 내부망에 설치

‣ 외부망에서 직접 접속할 수 없도록 네트워크를 구성 2.2.5.

라우터/스위치 보안

‣ ACL(Access Control List) 등의 접근제어 기능을 적용할 수 있는 설비를 사용

2.2.6.

정보보호시스템 보안

‣ 이상징후 탐지를 알리는 경고 기능을 설정하여 운영

‣ 정보보호시스템 보안기능(비정상 트래픽 차단 등)의 정상 작 동 여부를 주기적으로 점검(월 1회 이상)

2.2.7.

취약점 점검

‣ 연 1회 이상 취약점 점검을 실시하고 발견된 취약점을 보완

2.2.8.

접근통제 및 보안설정 관리

‣ 인가된 자만 시스템에 접속할 수 있도록 설정하고, 인터넷 등 을 통해 외부에서 접속할 경우 일회용 패스워드 사용 등 인가 절차를 강화

‣ 불필요한 프로토콜 및 서비스 제거 등 보안설정

2.2.9.

관리자 계정의 비밀번호 관리

‣ 관리자 계정의 비밀번호는 8자리 이상으로 설정. 단, 설정 가 능한 자리수가 8자리 미만일 때는 설정 가능한 최대의 자리수 로 설정

‣ 최소 3개월에 1회 이상 비밀번호 변경

III. 사물인터넷 관련 국내외 법제 현황 23

구 분 세 부 조 치 사 항

2.2.10.

로그 관리

‣ 최소 1개월 이상 로그기록 유지·관리(정보보호시스템은 3 개월)

2.2.11.

보안패치 관리

‣ 보안패치 정보를 주기적으로 입수하고 적용

‣ 주요 보안패치에 대해서는 적용일 등 패치정보를 기록․관리

2.2.12.

백업 및 복구

‣ 주요정보를 주기적으로 백업

‣ 백업 담당자, 백업 및 복구 방법·절차·주기 등을 기록․관리

2.2.13.

중요정보의 암호화

‣ 비밀번호는 복호화 되지 않도록 일방향 암호화하여 저장

‣ 주민등록번호, 신용카드번호 및 계좌번호, 정보자산현황 등은 안전한 암호알고리듬으로 암호화하여 저장

2.2.14.

관리용 단말 보안

‣ 일반적인 업무 및 개인적인 용도의 사용을 금지하고 DB서버, 웹서버 등 주요 정보통신설비의 접속에만 사용

‣ 전용 또는 인터넷과 격리된 환경(필요시 접근통제 정책을 수 립하고 제한적 접속 허용)에서 인가된 이용자만 이용할 수 있 도록 통제

‣ 관리용 단말로의 외부접속 차단, 주기적 보안패치 및 악성 소 프트웨어 예방·탐지 활동 실시

3.

물 리 적 보 호 조 치

3.1. 출입 및 접근 보안

3.1.1.

정보통신시설의 출입·접근 통제

‣ 비인가자가 출입할 수 없도록 잠금장치를 설치

‣ 출입자의 기록을 1개월 이상 유지·보관

3.2.

부대설비 및 시설 운영․관리

3.2.1.

백업설비 및 시설 설치·운영

‣ 주요정보를 백업하여 보관할 수 있는 백업설비 및 시설을 설 치·운영

(2) 개인정보보호법상 보안관련 규정

개인정보보호법은 제4장에서 개인정보의 안전한 관리에 관한 제반규정을 두고 있으며, 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부 관 리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술 적·관리적 및 물리적 조치를 하여야 한다(동법 제29조). 보다 구체적인 사항은 ｢개인정보 의 안전성 확보조치 기준｣(행정자치부 고시 제2014-7호)에서 규정하고 있다. 동 고시는 개인정보보법 제24조 제3항 및 제29조와 동법 시행령 제21조 및 제30조에 따라 개인정보처 리자가 개인정보의 안전성 확보조치를 위해 준수해야 할 관리적·기술적 보호조치에 대한

구분 정의 설비 보유

제공 역무

시장진입 방식 기간통신

사업자

전기통신설비를 설치하고 기간통신역무(전송역 무·주파수를 할당받아 제공하는 역무·전기통 신회선설비 임대역무)를 제공하는 사업자

○ 기간통신역무 허가

별정통신 사업자

기간통신사업자의 전기통신회선설비 등을 이용 하여 기간통신역무를 제공하거나, 구내에 전기 통신설비를 설치하여 이를 이용하여 전기통신 역무를 제공하는 사업자

× 기간통신역무 등록

부가통신 사업자

기간통신사업자의 전기통신회선설비를 임차하 여 기간통신역무외의 전기통신역무(부가통신역 무)를 제공하는 사업자

×

부가통신역무 (기간통신역무

이외)

신고 [표 6] 전기통신사업자의 정의와 주요 규제사항

세부 사항을 다루고 있다. 동 고시는 내부관리계획의 수립·시행, 접근권한의 관리, 접근통제 시스템 설치 및 운영, 개인정보의 암호화, 접속기록의 보관 및 위·변조방지, 보안프로그램 설치 및 운영, 물리적 접근 방지, 개인정보의 파기 등 항목으로 구성되어 있다.

다. 사업자 진입규제 등 관련 분야

(1) 전기통신사업법

｢전기통신사업법｣은 전기통신사업의 운영과 전기통신의 효율적 관리를 통하여 전기통 신사업의 발전과 이용자 편의 도모, 공공복리의 증진 등을 목적으로 만들어진 법률이다.

기간통신사업, 별정통신사업, 부가통신사업을 경영하기 위해서는 동법에 따라 미래부 장관 의 허가를 받거나 미래부 장관에게 등록 또는 신고하여야 한다(동법 제6조). 사물인터넷은 데이터나 영상 등을 송신 또는 수신하게 하거나 송·수신이 가능하도록 전기통신회선설비를 이용하여 사업이나 서비스를 제공하므로 동법에 따라 허가, 등록, 신고가 요청되며, 이 법상 의 준수사항을 이행하여야 한다. 현행 전기통신사업법에 의하여 통신사업자가 되는 경우 사업자의 유형에 따라 권리와 의무에 차이가 존재하며, 해당사업자로 허가 또는 등록·신고 시 각각의 요건에 충족하여야 하며, 등록 이후에도 법률상 의무를 준수하여야 한다.

기존의 통신사업자 외의 사업자가 사물인터넷 사업과 서비스 상용화를 위한 통신사업을 경영하고자 하는 경우 현재로서는 동법상의 심사기준에 따른 심사를 거쳐 통신사업의 허가

III. 사물인터넷 관련 국내외 법제 현황 25

심사사항 세부심사기준

1. 기간통신역무의 안정적 제공에 필요한 능력(40점)

1.1 시장분석의 합리성과 서비스 제공계획의 우수성

1.2 망고도화 및 전국적인 서비스 제공을 위한 투자계획의 우수성 1.3 장비조달을 위한 국내·외 장비제조업체등과의 협력계획 1.4 소요설비추정 및 설비투자계획의 적정성

1.5 통신서비스 제공에 대한 전문성

1.6 정보통신산업과 통신시장의 건전한 발전 및 국민경제에 대한 기여도 1.7 기존 유·무선 정보통신 인프라의 재활용 등 투자계획의 효율성 1.7.1 기존 유·무선 정보통신 인프라의 재활용

1.7.2 기지국 공용화, 공동망구축(로밍) 계획의 우수성

2. 기간통신역무 제공계획의 이행에 필요한 재정적 능력 (25점)

2.1 자금조달계획의 적정성 2.2 재무구조

2.2.1 수익성: 총자산 세전이익율 2.2.2 안정성: 부채비율

2.2.3 성장성: 매출액 증가율 2.2.4 신용등급

2.3 자금조달계획과 심사사항 1, 심사사항 3, 심사사항 4의 일관성 및 부합성 3. 기간통신역무

제공계획의 이행에 필요한 기술적 능력(25점)

3.1 해당서비스 제공관련 기술개발 실적 및 계획

3.2 해당서비스 제공관련 전략적 제휴업체들의 기술적 기여도 3.3 시스템구성 및 서비스 품질목표의 우수성

3.4 타 통신망과 상호접속, 운용보전계획, 장애시 대비계획 3.5 전문기술인력 확보 및 양성계획의 우수성

4. 이용자 보호계획의 적정성(10점)

4.1 이용자 보호기구 설치 및 운영방안의 적정성 4.2 이용자 불만처리 절차의 적정성

4.3 이용자 정보보호 계획의 적정성

[표 7] 기간통신사업자 허가 세부심사기준 (기간통신사업자 허가신청요령 및 심사기준 별표3)

를 받아야 한다. 기간통신사업자의 허가 심사기준에 관하여는 ｢기간통신사업자 허가신청 요령 및 심사기준｣(미래창조과학부고시 제2015-30호)에서 이를 규정하고 있으며, 별정통 신사업자와 부가통신사업자의 경우 ｢전기통신사업법 시행령｣ 제28조 및 제29조에 따라 등록 및 신고를 신청하여야 한다. 기간통신사업자의 허가를 받으려면 기간통신역무를 제공 할 수 있는 재정적, 기술적 능력 등을 보유하여야 하며, 적정한 이용자 보호계획도 갖추어 야 하고, 전파법에 따라 주파수도 할당받아야만 한다.

한편, 별정통신사업자의 경우 재정·기술적 능력, 이용자 보호계획 등을 갖추어 등록을 하면 되고(시행령 제26조), 부가통신사업자의 경우 기술적 조치 실시계획, 인력 및 물적시 설, 재무건전성 등이 신고요건으로 요구된다.

구분 등록 요건

1. 재정적 능력

가. 법 제5조 제3항 제1호의 사업 중 ｢방송통신설비의 기술기준에 관한 규정｣에 따른 교환설비(이하 “교환설비”라 한다)를 설치하고 기간통신역무를 제공하는 사업(이하 “설비보유 재판매사업”이라 한다): 납입자본금 30억 원 이상 나. 법 제5조 제3항 제1호의 사업 중 설비보유 재판매사업을 제외한 사업(이하

“설비미보유 재판매사업”이라 한다): 납입자본금 3억 원 이상

다. 법 제5조 제3항 제2호의 사업(이하 “구내통신사업”이라 한다): 납입자본금 5 억 원 이상

라. 법 제38조 제2항에 따른 도매제공의무서비스를 재판매하는 사업(이하 “도매 제공의무서비스 재판매사업”이라 한다): 납입자본금 30억 원 이상

2. 기술적 능력

기술 방식

전기통신설비 및 서비스 제공방식이 전기통신망에 위해(危害)를 주지 않고 ｢방송 통신설비의 기술기준에 관한 규정｣ 등 관련 법령에 적합할 것

기술 인력

가. 설비보유 재판매사업 및 도매제공의무서비스 재판매사업(교환설비를 설치한 사업자만 해당한다)을 경영하려는 자는 다음의 기술인력을 모두 둘 것 1) 정보통신기술사, 방송통신기사, 무선설비기사, 전파전자통신기사, 정보통신기

사, 방송통신산업기사, 무선설비산업기사, 전파전자통신산업기사, 정보통신산 업기사, 통신선로산업기사(이하 이 표에서 “정보통신기술사 등”이라 한다) 중 3명 이상

2) 통신설비기능장, 정보기기운용기능사, 방송통신기능사, 무선설비기능사, 전파 전자통신기능사, 통신기기기능사, 통신선로기능사(이하 이 표에서 “통신설비 기능장 등”이라 한다) 중 2명 이상

나. 설비미보유 재판매사업 및 도매제공의무서비스 재판매사업(교환설비를 설치하 지 않은 사업자만 해당한다)을 경영하려는 자는 정보통신기술사 등, 통신설비 기능장등 중 1명 이상의 기술인력을 둘 것

다. 구내통신사업을 경영하려는 자는 정보통신기술사 등 중 1명 이상과 통신설비 기능장 등 중 1명 이상의 기술인력을 둘 것

3. 이용자 보호계획

가. 1명 이상의 전담직원을 둔 상설 이용자 보호기구를 설치할 것 나. 다음 내용을 포함하는 이용약관을 제정할 것

1) 이용자 불만형태별 처리절차 및 처리기간 명시 2) 서비스 제공이 불가능한 경우의 처리 방안 명시

다. 도매제공의무서비스 재판매사업을 등록하려는 자는 다음의 사항을 미래창조과 학부장관에게 제출할 것

1) 개인정보 보호 전담기구 설치 및 임원급 이상의 개인정보 관리 책임자의 지정 에 관한 사항

2) 개인정보의 보호, 관리 및 폐기에 관한 사항

3) 정보침해사고 예방 및 대응 방안 등을 포함하는 정보보호 업무처리 지침에 관 한 사항

4) 24시간 고객응대 시스템 구축 및 가입자 1만 명당 1명 이상의 불만처리 직원 의 확보에 관한 사항

[표 8] 별정통신사업의 등록 요건 (전기통신사업법 시행령 별표2)

III. 사물인터넷 관련 국내외 법제 현황 27

5) 법 제83조 제8항에 따라 이용자의 통신비밀에 관한 업무를 담당하는 전담기 구의 설치ㆍ운영에 관한 사항

라. 구내통신사업을 등록하려는 자는 이용자의 자유로운 통신사업자 선택권을 보 장할 수 있는 통신망을 구성ㆍ운영할 것

마. 그 밖에 미래창조과학부장관이 정하여 고시하는 이용자 보호기준에 적합함을 증명하는 서류를 제출할 것

비고 1. 설비보유 재판매사업을 등록한 자가 설비미보유 재판매사업을 등록하려는 경우에는 설비미보유 재판매사업의 등록 요건을 갖춘 것으로 본다.

2. 기술인력은 ｢국가기술자격법｣에 따른 국가기술자격을 취득한 사람을 말하며, 상근임원이나 직원 의 신분으로 소속되어 있어야 한다.

한편, 현행 전기통신사업법은 전기통신사업을 전기통신역무를 제공하는 사업으로 정의 하고, 전기통신역무를 전기통신설비를 이용하여 타인의 통신을 매개하거나 타인의 통신용 으로 제공하는 것을 의미하는 것으로 규정하고 있어 사물 간 통신이 이루어지는 경우에는 동법의 적용대상에서 배제될 수도 있다.

(2) 정보통신 진흥 및 융합 활성화 등에 관한 특별법

｢정보통신 진흥 및 융합 활성화 등에 관한 특별법｣(이하 ‘정보통신진흥특별법’)은 ICT산 업 진흥 및 융합의 활성화를 법제적으로 실현하기 위해 제정된 법률로, 동법은 규제가 되는 대상만을 법에서 명시하고 그 외의 사항은 허용하는 ‘네거티브(negative) 규제방식’을 취하 고 있다. 이 법에서는 사물인터넷, 빅데이터, 클라우드 등 ICT분야의 새로운 사업에 대한 육성과 지원에 관한 규정을 두어 기술의 진보, 스마트 혁명 등 ICT생태계 변화에 적시에 대응하고자 제정된 법률이다.

동 법률은 ICT분야의 신산업에 대한 육성과 지원을 위해 ICT 기술이나 서비스에 대한 근거법률이 명확하지 않은 경우에도 신규 기술과 서비스에 대한 신속한 사업화가 가능하도 록 신속처리제도 및 임시허가 제도를 도입하고 있다(동법 제36조, 제37조). 신속처리제도 는 신규 융합 기술·서비스를 개발한 경우, 기존의 법령에 따른 허가 등이 불가능하거나 불분명한 때 신속한 사업 도입이 가능하도록 하는 것으로 신규 정보통신융합 등 기술·서 비스를 개발한 자가 특정한 사유로 법령상의 각종 허가·승인·등록·인가·검증 등을 받 지 못하거나 허가 등의 필요 여부가 불분명한 경우에 미래창조과학부장관에게 신속처리를 신청할 수 있다.¹⁵⁾ 또한 신속처리가 신청된 경우, 신규 기술 및 서비스가 다른 중앙행정기

관의 소관 업무에 해당하지 않고, 해당 신규정보통신융합 기술·서비스의 특성을 고려할 때 그에 맞거나 적합한 기준·규격·요건 등을 설정할 필요가 있는 경우에 일정한 조건을 붙여 임시로 허가를 할 수 있도록 하고 있다.¹⁶⁾

라. 기타 분야별 관련 법률

(1) 의료분야

정보통신기술을 활용하여 개인중심의 맞춤형 의료서비스가 가시화되면서 해당 서비스 에 대한 수요와 공급이 활발히 증가하고 있으며, 마이크로 센서, 블루투스 등을 활용한 사물인터넷 기술도 의료서비스 분야에서 다양하게 활용되고 있다. 유·무선 네트워킹을 활용해 언제 어디서나 이용 가능한 건강관리 및 의료서비스를 지칭하는 유헬스의 경우 환 자의 질병을 원격으로 관리하는 의료기기산업 및 의료서비스까지 포괄하고 있다. 그러나 사물인터넷을 활용한 의료서비스의 경우 현행 의료법상의 규율을 받게 되며, 현행 의료법 은 의료행위는 의료인만 할 수 있도록 하고 있고, 원격진료 또한 의료인과 의료인 사이에서 만 가능하도록 하고 있어 사물인터넷을 활용한 헬스케어 사업에 다소 제약이 되고 있다.

15) 제36조(신규 정보통신융합등 기술·서비스의 신속처리): ① 신규 정보통신융합 등 기술·서비스를 개발한 자가 다음 각 호의 어느 하나에 해당하는 사유로 법령상의 각종 허가·승인·등록·인가·검증 등(이하

“허가 등”이라 한다)을 받지 못하거나 허가 등의 필요 여부가 불분명한 경우에는 대통령령으로 정하는 바에 따라 미래창조과학부장관에게 신규 정보통신융합 등 기술·서비스의 신속처리를 신청할 수 있다.

1. 허가 등의 근거가 되는 법령에 해당 신규 정보통신융합 등 기술·서비스에 맞는 기준·규격·요건 등이 없는 경 2. 허가 등의 근거가 되는 법령에 따른 기준·규격·요건 등을 해당 신규 정보통신융합 등 기술·서비스에

적용하는 것이 맞지 아니한 경우

② 미래창조과학부장관은 제1항에 따른 신청을 받은 경우 신규 정보통신융합 등 기술·서비스의 신청사실 및 신청내용을 관계 중앙행정기관의 장에게 통보하여야 한다.

③ 관계 중앙행정기관의 장은 제2항에 따른 통보를 받은 날부터 30일 이내에 신규 정보통신융합 등 기술·서 비스의 소관 업무 여부 및 허가 등의 필요 여부를 미래창조과학부장관에게 회신하여야 한다. 30일 이내에 회신하지 아니할 경우 소관 업무에 해당하지 아니하거나 해당 중앙행정기관의 장의 허가 등이 필요하지 아니한 것으로 본다.

16) 제37조(임시허가): ① 미래창조과학부장관은 제36조 제1항에 따라 신속처리를 신청한 신규 정보통신융합 등 기술·서비스가 같은 조에 따라 다른 관계 중앙행정기관의 장의 소관 업무에 해당하지 아니한다는 회 신을 받거나 해당하지 아니한다고 간주된 경우, 해당 신규 정보통신융합 등 기술·서비스의 특성을 고려 할 때 그에 맞거나 적합한 기준·규격·요건 등을 설정할 필요가 있는 경우에는 임시로 허가 등(이하

“임시허가”라 한다)을 할 수 있다. 이 경우 미래창조과학부장관은 신규 정보통신융합 등 기술·서비스의 안정성 등을 위하여 필요한 조건을 붙일 수 있다.