공공정책 위키(Public Policy Wiki)에 오신 것을 환영합니다
웨어러블 디바이스 보안정책: 두 판 사이의 차이
둘러보기로 이동
검색으로 이동
잔글편집 요약 없음 |
잔글편집 요약 없음 |
||
67번째 줄: | 67번째 줄: | ||
== 공공기관에서의 웨어러블 디바이스 사용 지침 == | == 공공기관에서의 웨어러블 디바이스 사용 지침 == | ||
=== 웨어러블 콜 개인정보처리방침 === | |||
* | |||
== 웨어러블 디바이스 보안 기술 및 해결 방안 == | == 웨어러블 디바이스 보안 기술 및 해결 방안 == |
2024년 6월 16일 (일) 01:31 판
웨어러블 디바이스란?
- 웨어러블 디바이스는 ‘착용하는 전자기기’로 단순히 전자기기를 사용자의 몸에 착용하는 것이 아니라, 사용자 신체의 가장 가까운 위치에서 사용자와 소통할 수 있는 전자기기를 의미한다.[1] 이 기기는 일반적으로 센서, 통신 장치, 데이터 처리 기능을 갖추고 있어, 사용자의 신체 활동, 생체 정보, 위치 정보 등을 실시간으로 모니터링하고 데이터를 수집한다.
웨어러블 디바이스의 장점
- 주변 환경에 대한 상세 정보나 개인의 신체 변화를 끊이지 않고 지속적으로 수집하여 실시간으로 대응할 수 있다.[1]
- 개인의 생체정보 수집을 통해 적시에 효과적인 예방과 치료를 제공할 수 있는 “맞춤의료”와 비효율적으로 의료비의 지출을 줄일 수 있는 효과에 대한 장점이 있다.[2]
- 자신의 생활습관을 평상시에 체크할 수 있고, 심장질환이나 당뇨질환 등 급사(急死)를 예방할 수 있다.[3]
웨어러블 디바이스의 종류 및 예시
휴대형 디바이스
- 스마트 워치: Apple에서 출시한 시계형 웨어러블 디바이스(스마트 워치)인 Apple Watch. 헬스케어, 피트니스 추적, 통신 기능 등을 제공한다.
- 스마트 안경
부착형 디바이스
- 스마트 콘택트 렌즈: 스위스 벤처기업 Sensimed는 안압의 변화를 통해 녹내장을 진단하고 진행을 늦추는 Triggerfish 렌즈를 개발하였다.
- 부착형 밴드: Corventis의 NUVANT MCT(Mobile Cardiac Telemetry)는 무선센서가 내장된 1회용 밴드 형태의 기기로, 심장부위에 부착해 심전도, 심박동수를 수집하여 모니터링 센터로 전송한다.
웨어러블 디바이스의 개인정보 수집
- 웨어러블 디바이스는 사용자의 동의를 얻은 후 건강 데이터를 수집하여 사용자의 건강상태를 분석할 수 있다.
- 사용자의 건강 데이터는 개인 데이터로 저장되며, 데이터만으로 사람을 식별할 수도 있다.
웨어러블 디바이스 개인정보 수집기[4]
- 자동으로 개인의 건강데이터를 수집할 수 있는 저작물이다.
- 건강데이터를 제공하는 API에서 Oauth 2.0 방식으로 인증한 후 사용자의 데이터를 제공한다.
- 이 프로그램의 주요 기능은 인증 서버에서 인증 모듈과의 연동을 통해 사용자들의 건강 데이터를 수집해 저장한다.
- 저장된 건강 데이터들은 추후에 분석을 통해 건강 및 활동의 데이터를 추출할 수 있으며, 더 나아가 사용자의 삶의 패턴을 파악하는데 사용될 수 있다.
- 수집된 건강 데이터는 3종류(걸음 수, 수면량, 심박수)로 이루어져 있으며, 각각의 데이터들은 건강의 지표로 삼을 수 있다.
- 또한, 2개 이상의 데이터를 조합해서 새로운 데이터를 분석할 수 있다.
웨어러블 디바이스의 보안 위협과 취약점
- 손목 착용형 웨어러블 디바이스 내 위치 정보 또는 quantified self[5] 같은 건강 정보, 의료 정보 등의 데이터를 추적하고 네트워크를 통해 공유함으로써 프라이버시 이슈가 발생한다.
- 정보 주체자(data subject)[6]가 데이터 수집이나 공유에 대해서 모르고 있어 정보의 비대칭성 및 정보 투명성 문제로 확대될 가능성이 크다.
- 위치 정보 등에 대한 노출로 인한 정보의 오남용은 개인에 대한 스토킹, 물리적 폭력, 절도 등 각종 범죄의 빌미를 제공하게 된다.
- 웨어러블 디바이스와 연동된 스마트폰 앱을 통해 실시간으로 데이터가 클라우드에 저장되고 있어 비인가된 조직이나 단체 등이 이용할지도 모른다는 불안감이 증대될 수 있다.[7]
- 웨어러블의 특징인 항상성으로 인해 내 위치 정보가 실시간으로 데이터에 저장되고 모니터링 될 수 있어 관리자들에 의한 직원들의 감시가 쉬워질 수 있다는 우려가 제기되고 있다.[8]
- 웨어러블 디바이스에 저장되는 모든 데이터에 대한 해킹과 보안 문제, 헬스케어에 대한 의료권 침해 문제, 사물과 사람, 사물과 사물 통신에 대한 컴퓨팅으로 인한 한정된 통신 자원 문제 등을 갖고 있다.[9]
개인정보 보호를 위한 법적 규제와 정책
개인정보 보호법 (PIPA)
정보통신망법
개인정보 자기결정권
- 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보주체가 스스로 결정할 수 있는 권리이다.
- 이는 자신의 개인정보가 수집, 이용, 제공, 삭제되는 과정을 알고 이에 대해 동의하거나 거부할 수 있는 권리이다.
- 인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 독립한 기본권이다.
- 주관적 공권으로서 개인정보자기결정권은 정보주체가 타인이 보유하고 있는 자신의 정보에 접근하여 열람하거나 그 정보의 정정, 삭제, 차단, 삭제 등을 요구함으로써 자신에 관한 정보에 통제할 수 있는 권리로서 이를 보장하기 위하여 개인정보보호법은 정보주체에게 동의권, 개인정보의 열람청구권, 개인정보 정정청구권과 삭제·차단청구권, 개인정보의 처리정지 요구권, 손해배상청구권 등을 규정하고 있다.
웨어러블 디바이스에의 적용
- 개인의 사생활 보호를 중심으로 제기되었던 프라이버시 권리는 사이버 공간 상의 정보 프라이버시[10] 침해와 그에 대한 개인의 자기정보에 대한 결정권 혹은 통제권 논의로 무게중심이 옮겨지고 있다.[11]
- 이와 같은 개인정보 자기결정권을 보호하는 핵심적인 수단은 informed consent(고지된 동의)[12]를 기초로 한 개인정보 동의로부터 출발된다.
- 동의를 통해 정보 주체자(data subject)의 자기결정이 표출되기 때문에 개인정보 자기결정권이 실현 되려면 개인정보의 수집·이용 또는 제3자 제공에서 정보 주체자의 자발적 동의가 전제되어야 한다.[13]
공공기관에서의 웨어러블 디바이스 사용 지침
웨어러블 콜 개인정보처리방침
웨어러블 디바이스 보안 기술 및 해결 방안
웨어러블 MPEG 국제표준기술
- 웨어러블 MPEG 국제표준기술은 사용자, 웨어러블 기기, 신호처리엔진 간의 정보교환을 표준화하는 기술이다.
- 이 기술은 웨어러블 기기의 종류를 정의하고, 기기 간에 필요한 멀티미디어 정보를 목록화하며, 정보의 내용과 표현 방법을 표준화한다.
- 이는 웨어러블 디바이스에서 데이터의 안전한 교환을 위한 기초를 제공할 수 있다.
- 표준화된 데이터 교환 프로토콜은 전송 중 데이터의 암호화를 통해 보안성을 강화할 수 있다.
- 사용자 인증 및 접근 통제 메커니즘을 표준화하여 불법 접근을 방지할 수 있다.
- 웨어러블 기기에서 수집되는 개인정보의 보호를 강화하여 사용자의 프라이버시를 보장한다.
생체 인증 기술로 웨어러블 보호하기
각주
- ↑ 1.0 1.1 웨어러블 스마트 디바이스 표준화 홈페이지 (wearablestandards.com)
- ↑ 정혜실, “헬스케어 웨어러블 디바이스의 동향과 전망”, 『보건산업브리프』제115권(2014.3.3.), 한국보건산업 진흥원, 3-4면.
- ↑ 권오민. (2016). ICT 융합 제품의 입법개선방안 연구 : 헬스케어 웨어러블 디바이스를 중심으로. 단국대학교 대학원 석사학위논문, 14-15면
- ↑ 한국저작권위원회, 웨어러블디바이스 개인정보 수집기
- ↑ 센서가 내장된 스마트폰이나 착용형 컴퓨터(wearable computer)와 같은 기기에서 수집․분 석된 자신의 라이프 로그(life log)정보를 통해 건강을 관리하는 것
- ↑ 정보가 처리되고 있는 개인으로서 개인정보를 data controller에 제공하지만 개인정보에 대한 자기결정권을 갖고 있는 주체를 말함. data controller는 data subject로부터 개인정보 수집, 저장,이용,삭제의 권한을 갖고 있는 조직을 의미 (Swire and Bermann 2007)
- ↑ 김진동. (2016). 손목 착용형 웨어러블 장치 사용자의 개인정보 제공 의도에 영향을 미치는 요인. 연세대학교 정보대학원, 3-4면
- ↑ Motti et al. 2014
- ↑ 주정봉, 한상국 2014
- ↑ personal information의 수집 및 처리를 통제하는 규칙을 수립하는 것과 관련된 것으로 financial information, medical information, government records, 인터넷상의 어떤 개인 의 행동들과 관련된 기록들을 의미 (Banisar and Davies 1999)
- ↑ 노동일,정환 2010
- ↑ ‘사전동의’ 또는 ‘고지에 입각한 동의’로써 한 사람에게 의료행위를 하기 전에 허락을 구하는 프로세스를 의미하며, 개인정보 도메인에서 개인정보를 수집하기 전에 개인정보 수집 목적 및 처리절차 등을 알리는 것을 의미
- ↑ 권영준 2016