방장 공부하자 (보안, 보안 관련 법률과 규칙 1)

• 출처 : 그림으로 배우는 보안구조

7. 보안 관련 법률과 규칙

1. 개인정보 보호법

개인정보와 프라이버시

• 개인정보 보호에 대한 주장은 오래 전부터 있어왔는데 개인정보에도 여러가지가 있다.
• 최근에는 특히 프라이버시, 즉 "타인에게 알리고 싶지 않은 개인정보"가 유출되는 것에 대한 불안이 크다
• 한펀, 기업은 소비자가 요구하는 제품을 만들고 싶어한다.
• 어떤 연령층의 사람들이 구매하고 있는지, 어떤 취미를 가진 사람의 관심을 얻을 수 있는지 등 소비자의 정보를 파악하면 고객에 맞는 상품을 제공할 수 있다.
• 기업의 입장에서 보면 개인정보는 중요한 "재산"인 반면, 개인의 입장에서는 임의대로 사용되면 곤란한 정보이다.
• 따라서 개인정보를 적합하게 취급하기 위해 개인정보 보호법이 마련되었다.
• 한국의 개인정보 보호법은 2011년 3월 29일 재정되어 2011년 9월 30일 시행된 법률로 "개인정보"라는 용어가 정의되어 있다.

개인정보 보호법 개정과 주의점

• 개인정보 보호법이 시행되어도 개인정보 범위가 불명확하기 때문에 개인정보의 취급과 관련해 사업자를 중심으로 불만이 고조되고 있었다.
• 그래서 2017년 10월 개정에서 개인정보의 명확화와 함께, 활용 등을 포함한 내용이 개정되었다.
• 구체적으로는 개인정보에 대한 정의를 "살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보"라고 기술하였다.
  • 일반 개인정보
    • 이름, 생년월일, 주소, 성별
  • 개인 식별 번호
    • 주민등록번호, 운전면허 번호, 여권번호, 외국인 등록번호
  • 민감정보
    • 아래 정보들을 특별히 고려하여 취급하도록 정한 것
    • 사상, 신념, 노동조합, 정당의 가입, 탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보
    • 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로 대통령령으로 정하는 정보
• 개인정보를 취급하는 경우에는 이용 목적을 가능한 특정하고 이용 목적의 달성에 필요한 범위를 넘어 개인정보를 취급하는 것은 금지하고 있다.
  • 개인정보, 개인데이터, 보유 개인 데이터의 차이
    • 개인정보
      • 생존하는 특정 개인을 식별할 수 있는 정보, 다른 정보와 쉽게 대조할 수 있고 그 결과 특정 개인이 식별할 수 있는 정보도 포함된다.
    • 개인 데이터
      • 특정 개인을 검색할 수 있도록 구성한 것(개인정보 데이터베이스 등)에 포함되는 개인정보
    • 보유 개인 데이터
      • 개시, 수정, 삭제 등의 권한을 가지며, 6개월을 초과하여 보유되는 것

2. 개인정보의 활용

개인정보를 제3자에게 제공하는 경우

• 개인정보 보호법은 본인의 동의가 없다면 개인 데이터를 제 3자에게 제공하는 것을 원칙적으로 금지하고 있다.
• 그러나 일정한 절차를 취한 경우에는 본인의 동의없이 제 3자에게 제공할 수 있는데 이것을 옵트-아웃(Opt-out)이라고 한다.
• 반대로, 본인의 동의를 사전에 구하는 것을 옵트-인(Opt-in) 이라고 한다.
• 옵트-아웃으로 제 3자에게 제공하려면 본인이 제 3자 제공을 정지할 수 있는 환경을 마련해야 한다.
• 즉 3자에게 개인정보를 제공한 후 본인이 신청함으로써 정지할 수 있어야 한다.
• 옵트-아웃을 통해 제3자 제공이 확산되면 개인정보 보호법의 원칙인 "제3자 제공 금지"또는 "개인 데이터를 적절히 취급한다"라는 내용을 위반하게 된다.
• 그래서, 옵트-아웃을 통한 제 3자 제공에 대해서는 엄격한 요건이 정해져 있다.
• 또한 민감정보는 옵트-아웃으로 제공할 수 없다.

개인을 특정할 수 없도록 한 후 정보를 활용한다.

• 기업이 소비자나 원하는 상품을 만들 때 필요한 것은 정확한 개인정보라기보다는 통계 데이터나 익명의 데이터로 충분한 것
• 따라서 개정된 개인정보 보호법에는 특정 개인을 알아볼 수 없도록 개인정보를 가공하고 복원할 수 업소록 한것을 "개인정보 비식별조치"라고 정의
• "개인정보에 포함된 내용의 일부를 삭제","개인식별 부호를 모두 삭제" 등 가공을 통해 개인을 식별할 수 없게 하는 K-익명화(k-anoymity)기법이 있다.
• 이와 같이 개인정보를 비식별화된 정보로 변환함으로써 활용하기 쉬워질 것으로 전망하고 있다.

3. 공급자 및 전자메일 관련 규칙

공급자가 책임을 지는 범위

• 인터넷은 익명으로 이용할 수 있어 편리한 한편, 익명이라는 이유로 범죄에 악용될 수 있다.
• 예를 들면, 게시판 등에 비방하거나 상대방을 비방하는 문구가 게시되거나 저작권을 침해하는 내용이 개제되거나 함으로써 피해가 발생한다.
• 이러한 경우 공급자(Provider)가 임의로 삭제하면 게시자로부터 고소당할 우려가 있다.
• 그렇다고 삭제하지 않고 방치하면, 피해자로부터 고소당할 우려가 있다.
• 이렇게 되면 공급자가 곤란하므로 공급자가 져야 하는 책임을 제한하는 "정보통신망 이용 촉진 및 정보보호 등에 관한 법률이 있다."
• 동법에서는, 공급자나 서버 관리자가 "발신자 정보를 열어 볼 수 있는 것"도 정해져 있다.
• 이에 따라 공급자는 경찰 등의 요구가 있으면 IP주소 등 정보의 발신지를 열어 봐야 한다.
• 익명으로 이용하고 있다고 생각하더라도, 경찰 등이 개인으 ㄹ특정하는 것이 가능하다는 것을 잊지 말아야 한다.

"정보통신망 이용 촉진 및 정보보호 등에 관한 법률"의 효과

• 전자 메일을 사용하여 돈을 들이지 않고 대량으로 메일을 보내는 것이 가능하다.
• 무작위로 메일 주소를 생성하여 보낼 수 있었는데, 한편으로 광고, 선전 메일을 보내버리는 "스팸 메일"dl tkghl answprk ehldjTek.
• 이를 위해 "정보통신망 이용촉진 및 정보보호 등에 관한 법률"이 개정되었다.
• 2016년 개정에는 광고, 선전 메일을 발송하려면 원칙적으로 수신자의 사전 승인(Opt-in)이 필요하게 되었다.
• 또한 광고, 선전 메일을 보낼 경우 본문에 보낸 사람의 이름과 연락처, 수신 거부 방법등을 기재해야 한다.
• 이처럼 법률 관련 대책이 진전되고 스팸 메일 필터 등 기술의 발전이 있었지만, 아직 완전히 없어지지 않는 것이 현실이다.

Point

• '정보통신망 이용 촉진 및 정보보호 등에 관한 법률' 제 50조 1항에 따라 공급자가 지는 책임을 제한할 뿐만 아니라 경찰 등의 요구가 있으면 정보의 발신자를 특정할 수 있다.
• 스팸 메일을 막기 위해 정보통신망 이용 촉진 및 정보보호 등에 관한 법률에 대한 개정도 이루어 졌지만, 완전히 스팸 메일을 없애지는 못하고 있다.