공공정책 위키(Public Policy Wiki)에 오신 것을 환영합니다


공공정책 위키 시작하기

웨어러블 디바이스 보안정책

Public Policy Wiki
Tjgusid (토론 | 기여)님의 2024년 6월 17일 (월) 17:32 판
둘러보기로 이동 검색으로 이동

웨어러블 디바이스란?

  • 웨어러블 디바이스는 ‘착용하는 전자기기’로 단순히 전자기기를 사용자의 몸에 착용하는 것이 아니라, 사용자 신체의 가장 가까운 위치에서 사용자와 소통할 수 있는 전자기기를 의미한다.[1] 이 기기는 일반적으로 센서, 통신 장치, 데이터 처리 기능을 갖추고 있어, 사용자의 신체 활동, 생체 정보, 위치 정보 등을 실시간으로 모니터링하고 데이터를 수집한다.


웨어러블 디바이스의 장점

  • 주변 환경에 대한 상세 정보나 개인의 신체 변화를 끊이지 않고 지속적으로 수집하여 실시간으로 대응할 수 있다.[1]
  • 개인의 생체정보 수집을 통해 적시에 효과적인 예방과 치료를 제공할 수 있는 “맞춤의료”와 비효율적으로 의료비의 지출을 줄일 수 있는 효과에 대한 장점이 있다.[2]
  • 자신의 생활습관을 평상시에 체크할 수 있고, 심장질환이나 당뇨질환 등 급사(急死)를 예방할 수 있다.[3]


웨어러블 디바이스의 종류 및 예시

휴대형 디바이스

  • 스마트 워치: 손목 시계 형태의 임베디드 시스템 휴대용 기기로, 다양한 기능을 제공한다. 초기에는 계산기와 게임 기능이 있었지만, 현재는 모바일 앱과 운영 체제를 구동하는 웨어러블 컴퓨터로 발전하였다. 카메라, 가속도계, GPS, 터치스크린 등의 기능을 갖추고 있다. 대표적인 예시로 Apple에서 출시한 시계형 웨어러블 디바이스(스마트 워치)인 Apple Watch가 있다. 이는 헬스케어, 피트니스 추적, 통신 기능 등을 제공한다.
    스마트 워치인 Apple Watch
  • 스마트 안경: 사용자에게 유용한 기능을 제공하는 착용형 컴퓨터이며, 디스플레이를 통해 시야에 정보를 중첩시킨다. 블루투스, 와이파이, GPS 등의 무선 기술을 지원하며, 일부 모델은 활동 추적 기능과 라이프로깅 기능도 갖추고 있다.

부착형 디바이스

  • 스마트 콘택트 렌즈: 스위스 벤처기업 Sensimed는 안압의 변화를 통해 녹내장을 진단하고 진행을 늦추는 Triggerfish 렌즈를 개발하였다.
  • 부착형 밴드: Corventis의 NUVANT MCT(Mobile Cardiac Telemetry)는 무선센서가 내장된 1회용 밴드 형태의 기기로, 심장부위에 부착해 심전도, 심박동수를 수집하여 모니터링 센터로 전송한다.
    센서가 내장된 1회용 밴드, NUVANT MCT


웨어러블 디바이스의 개인정보 수집

  • 웨어러블 디바이스는 사용자의 동의를 얻은 후 건강 데이터를 수집하여 사용자의 건강상태를 분석할 수 있다.
  • 사용자의 건강 데이터는 개인 데이터로 저장되며, 데이터만으로 사람을 식별할 수도 있다.

웨어러블 디바이스 개인정보 수집기[4]

  • 자동으로 개인의 건강데이터를 수집할 수 있는 저작물이다.
  • 건강데이터를 제공하는 API에서 Oauth 2.0 방식으로 인증한 후 사용자의 데이터를 제공한다.
  • 이 프로그램의 주요 기능은 인증 서버에서 인증 모듈과의 연동을 통해 사용자들의 건강 데이터를 수집해 저장한다.
  • 저장된 건강 데이터들은 추후에 분석을 통해 건강 및 활동의 데이터를 추출할 수 있으며, 더 나아가 사용자의 삶의 패턴을 파악하는데 사용될 수 있다.
  • 수집된 건강 데이터는 3종류(걸음 수, 수면량, 심박수)로 이루어져 있으며, 각각의 데이터들은 건강의 지표로 삼을 수 있다.
  • 또한, 2개 이상의 데이터를 조합해서 새로운 데이터를 분석할 수 있다.


개인정보 보호를 위한 법적 규제와 정책

개인정보 보호법[5]

  • 개인정보의 처리[6] 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다.
  • “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
    • 가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
    • 나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
    • 다. 가목 또는 나목을 제1호의2에 따라 가명처리[7]함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)
  • 개인정보처리자[8]는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
  • 정보주체[9]는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.
  • 국가와 지방자치단체는 개인정보의 목적 외 수집, 오용ㆍ남용 및 무분별한 감시ㆍ추적 등에 따른 폐해를 방지하여 인간의 존엄과 개인의 사생활 보호를 도모하기 위한 시책을 강구하여야 한다.
  • 개인정보의 처리 및 보호에 관하여 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다.


정보통신망법[10]

  • 정보통신망[11]의 이용을 촉진하고 정보통신서비스[12]를 이용하는 자의 개인정보를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하여 국민생활의 향상과 공공복리의 증진에 이바지함을 목적으로 한다.
  • 정보통신서비스 제공자[13]이용자[14]를 보호하고 건전하고 안전한 정보통신서비스를 제공하여 이용자의 권익보호와 정보이용능력의 향상에 이바지하여야 한다.
  • 과학기술정보통신부장관 또는 방송통신위원회는 정보통신망의 이용촉진 및 안정적 관리ㆍ운영과 이용자 보호 등(이하 “정보통신망 이용촉진 및 정보보호등”이라 한다)을 통하여 정보사회의 기반을 조성하기 위한 시책을 마련하여야 한다.
  • 정보통신망 이용촉진 및 정보보호등에 관하여는 다른 법률에서 특별히 규정된 경우 외에는 이 법으로 정하는 바에 따른다.
  • “침해사고”란 다음 각 목의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위로 인하여 발생한 사태를 말한다.
    • 가. 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부 또는 고출력 전자기파 등의 방법
    • 나. 정보통신망의 정상적인 보호ㆍ인증 절차를 우회하여 정보통신망에 접근할 수 있도록 하는 프로그램이나 기술적 장치 등을 정보통신망 또는 이와 관련된 정보시스템에 설치하는 방법


개인정보 자기결정권[15]

  • 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보주체가 스스로 결정할 수 있는 권리이다.
  • 이는 자신의 개인정보가 수집, 이용, 제공, 삭제되는 과정을 알고 이에 대해 동의하거나 거부할 수 있는 권리이다.
  • 인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 독립한 기본권이다.
  • 주관적 공권으로서 개인정보자기결정권은 정보주체가 타인이 보유하고 있는 자신의 정보에 접근하여 열람하거나 그 정보의 정정, 삭제, 차단, 삭제 등을 요구함으로써 자신에 관한 정보에 통제할 수 있는 권리로서 이를 보장하기 위하여 개인정보보호법은 정보주체에게 동의권, 개인정보의 열람청구권, 개인정보 정정청구권과 삭제·차단청구권, 개인정보의 처리정지 요구권, 손해배상청구권 등을 규정하고 있다.


웨어러블 디바이스에의 적용

  • 개인의 사생활 보호를 중심으로 제기되었던 프라이버시 권리는 사이버 공간 상의 정보 프라이버시[16] 침해와 그에 대한 개인의 자기정보에 대한 결정권 혹은 통제권 논의로 무게중심이 옮겨지고 있다.[17]
  • 이와 같은 개인정보 자기결정권을 보호하는 핵심적인 수단은 informed consent(고지된 동의)[18]를 기초로 한 개인정보 동의로부터 출발된다.
  • 동의를 통해 정보 주체자(data subject)의 자기결정이 표출되기 때문에 개인정보 자기결정권이 실현 되려면 개인정보의 수집·이용 또는 제3자 제공에서 정보 주체자의 자발적 동의가 전제되어야 한다.[19]


웨어러블 디바이스의 보안 위협과 취약점

  • 손목 착용형 웨어러블 디바이스 내 위치 정보 또는 quantified self[20] 같은 건강 정보, 의료 정보 등의 데이터를 추적하고 네트워크를 통해 공유함으로써 프라이버시 이슈가 발생한다.
  • 정보 주체자(data subject)[21]가 데이터 수집이나 공유에 대해서 모르고 있어 정보의 비대칭성 및 정보 투명성 문제로 확대될 가능성이 크다.
  • 위치 정보 등에 대한 노출로 인한 정보의 오남용은 개인에 대한 스토킹, 물리적 폭력, 절도 등 각종 범죄의 빌미를 제공하게 된다.
  • 웨어러블 디바이스와 연동된 스마트폰 앱을 통해 실시간으로 데이터가 클라우드에 저장되고 있어 비인가된 조직이나 단체 등이 이용할지도 모른다는 불안감이 증대될 수 있다.[22]
  • 웨어러블의 특징인 항상성으로 인해 내 위치 정보가 실시간으로 데이터에 저장되고 모니터링 될 수 있어 관리자들에 의한 직원들의 감시가 쉬워질 수 있다는 우려가 제기되고 있다.[23]
  • 웨어러블 디바이스에 저장되는 모든 데이터에 대한 해킹과 보안 문제, 헬스케어에 대한 의료권 침해 문제, 사물과 사람, 사물과 사물 통신에 대한 컴퓨팅으로 인한 한정된 통신 자원 문제 등을 갖고 있다.[24]


보안정책 추진 사항

사이버 보안 위협 대응

  • 과학기술정보통신부는 2023년 사이버 보안 위협 분석 및 2024년 전망을 발표하면서, 랜섬웨어 공격, 개인정보 탈취 등 다양한 사이버 보안 위협에 대응하기 위해 지속적인 모니터링과 현실적인 대응 전략 수립을 강조했습니다. 이와 관련된 법적 규제 및 모니터링 체계를 강화하고 있다.[25]

정보보호 전문인력 양성

  • 한국인터넷진흥원(KISA)은 정보보호 전문인력 양성사업을 통해 사이버 보안 인프라를 강화하고 있습니다. 이를 통해 공공기관과 민간 부문에서의 보안 역량을 향상시키는 것이 목표이다.[26]

공공기관의 보안 정책

  • 공공기관에서는 다양한 사이버 보안 위협에 대응하기 위해 보안 점검을 정기적으로 실시하고, 데이터 암호화, 접근 통제, 보안 교육 등을 통해 웨어러블 디바이스의 안전한 사용을 보장하고 있다.
  • 또한, 공공기관은 웨어러블 디바이스를 사용하는 데 있어 개인정보 보호를 최우선으로 하고 있다.[27]


공공기관에서의 웨어러블 디바이스 사용 지침

KT 웨어러블 콜

  • 웨어러블 기기(이하 웨어러블) 와 스마트폰(이하 모단말)을 함께 이용하는 이용자가 단말 이용 상황에 따라 두 지정 단말에서 모단말과 웨어러블 기기의 착신전환을 간단하게 설정할 수 있고, 원넘버 서비스 가입 시 웨어러블에서 모단말 번호로 발신할 수 있는 기능을 설정 할 수 있도록 하는 어플이다.
  • 이러한 웨어러블 콜은 다음과 같은 개인정보처리방침을 따른다.

웨어러블 콜 개인정보처리방침[28]

개인정보 정의

  • 생년월일, 성별 등으로 개인을 식별할 수 있는 정보.
  • 법률에 따라 보호받는 개인정보.

법적 준수

  • 사용자의 개인정보를 중요시하며, 『정보통신망 이용촉진 및 정보보호 등에 관한 법률』과 개인정보 보호 관련 각종 법규를 준수하고 있다.
  • 개인정보처리방침을 통하여 사용자의 개인정보가 어떠한 용도와 방식으로 이용되고 있으며, 개인정보보호를 위해 어떠한 조치가 취해지고 있는지 알려준다.

개인정보 수집

  • 서비스 제공 등을 위하여 필요한 범위에서 최소한의 개인정보만을 수집한다.
  • 휴대 전화번호는 실시간으로 서버의 정보와 체크 후 바로 삭제되어 별도 저장되지 않는다.
  • 웨어러블 콜이 수집하는 개인정보 항목과 수집/이용하는 목적은 다음과 같다.
수집/이용 목적 개인정보 항목
웨어러블 콜 서비스 제공 이용자의 휴대전화번호

보호 대책

기술적 보호대책
  • 백신 소프트웨어를 이용하여 컴퓨터 바이러스 등에 의한 피해를 방지하기 위한 조치를 취하며, 백신 소프트웨어는 주기적으로 업데이트되며 갑작스런 바이러스가 출현할 경우를 대비한다.
  • 사용자의 개인정보에 대한 불법적인 접근을 차단하기 위해, 외부로부터 접근이 통제된 구역에 시스템을 설치하고, 침입을 차단하는 장치를 이용하고 있으며, 아울러 침입탐지시스템을 설치하여 24시간 침입을 감시하고 있다.
관리적 보호대책
  • 사용자의 개인정보를 안전하게 처리하기 위한 내부관리 계획을 마련하여 소속 직원이 이를 숙지하고 준수하도록 하고 있다.
  • 개인정보 접근 권한 관리 및 정기적인 교육을 진행하고 있다.
  • 전 임직원이 정보보호서약서에 서명하게 함으로써 직원에 의한 정보(개인정보 포함)유출을 사전에 방지하고, 수시로 개인정보보호 의무를 상기시키며 준수 여부를 감사하기 위한 내부 절차를 마련하여 시행하고 있다.


웨어러블 디바이스 보안 기술 및 해결 방안 모색

웨어러블 MPEG 국제표준기술

  • 웨어러블 MPEG 국제표준기술은 사용자, 웨어러블 기기, 신호처리엔진 간의 정보교환을 표준화하는 기술이다.
  • 이 기술은 웨어러블 기기의 종류를 정의하고, 기기 간에 필요한 멀티미디어 정보를 목록화하며, 정보의 내용과 표현 방법을 표준화한다.
  • 이는 웨어러블 디바이스에서 데이터의 안전한 교환을 위한 기초를 제공할 수 있다.
  • 표준화된 데이터 교환 프로토콜은 전송 중 데이터의 암호화를 통해 보안성을 강화할 수 있다.
  • 사용자 인증 및 접근 통제 메커니즘을 표준화하여 불법 접근을 방지할 수 있다.
  • 웨어러블 기기에서 수집되는 개인정보의 보호를 강화하여 사용자의 프라이버시를 보장한다.


생체 인증 기술로 웨어러블 보호하기[29]

지문 인식
  • 충분히 검증이 된 인증 기술이며, 이미 여러 개발사들에 의해 접목이 되어 있어 안정적이고 사용성도 좋은 편이며 구현이 기술적으로 어렵지 않기 때문에 웨어러블이라는 작은 기기 안에 구축하는 것이 어렵지 않다.
  • 보안이 강력한 편이라는 것도 지문 인식의 큰 장점이다.

심박수 측정

  • 심장 박동 패턴을 가지고 사용자를 인증할 경우 정확도도 높고 공격자가 흉내 및 복제할 수 없다는 큰 장점을 가지고 있다.
  • 새로운 웨어러블과 처음 페어링을 할 때 사용자의 심박 패턴을 기기가 인식하게 된다면, 해당 기기에서 정보를 추출하는 건 매우 어려운 일이 될 것이므로 효과적인 웨어러블 디바이스의 보안 역할을 할 것으로 대두되고 있다.


각주

  1. 1.0 1.1 웨어러블 스마트 디바이스 표준화 홈페이지 (wearablestandards.com)
  2. 정혜실, “헬스케어 웨어러블 디바이스의 동향과 전망”, 『보건산업브리프』제115권(2014.3.3.), 한국보건산업 진흥원, 3-4면.
  3. 권오민. (2016). ICT 융합 제품의 입법개선방안 연구 : 헬스케어 웨어러블 디바이스를 중심으로. 단국대학교 대학원 석사학위논문, 14-15면
  4. 한국저작권위원회, 웨어러블디바이스 개인정보 수집기
  5. 개인정보보호법 (law.go.kr)
  6. “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
  7. “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.
  8. "개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
  9. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
  10. 정보통신망이용촉진및정보보호등에관한법률 (law.go.kr)
  11. “정보통신망”이란 「전기통신사업법」 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체제를 말한다.
  12. “정보통신서비스”란 「전기통신사업법」 제2조제6호에 따른 전기통신역무와 이를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것을 말한다.
  13. “정보통신서비스 제공자”란 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다.
  14. “이용자”란 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다.
  15. 법학논고(Law Journal) (knulaw.org)
  16. personal information의 수집 및 처리를 통제하는 규칙을 수립하는 것과 관련된 것으로 financial information, medical information, government records, 인터넷상의 어떤 개인 의 행동들과 관련된 기록들을 의미 (Banisar and Davies 1999)
  17. 노동일,정환 2010
  18. ‘사전동의’ 또는 ‘고지에 입각한 동의’로써 한 사람에게 의료행위를 하기 전에 허락을 구하는 프로세스를 의미하며, 개인정보 도메인에서 개인정보를 수집하기 전에 개인정보 수집 목적 및 처리절차 등을 알리는 것을 의미
  19. 권영준 2016
  20. 센서가 내장된 스마트폰이나 착용형 컴퓨터(wearable computer)와 같은 기기에서 수집․분 석된 자신의 라이프 로그(life log)정보를 통해 건강을 관리하는 것
  21. 정보가 처리되고 있는 개인으로서 개인정보를 data controller에 제공하지만 개인정보에 대한 자기결정권을 갖고 있는 주체를 말함. data controller는 data subject로부터 개인정보 수집, 저장,이용,삭제의 권한을 갖고 있는 조직을 의미 (Swire and Bermann 2007)
  22. 김진동. (2016). 손목 착용형 웨어러블 장치 사용자의 개인정보 제공 의도에 영향을 미치는 요인. 연세대학교 정보대학원, 3-4면
  23. Motti et al. 2014
  24. 주정봉, 한상국 2014
  25. 2023년 사이버 보안 위협 분석 및 2024년 전망 발표 - 보도자료 | 브리핑룸 | 대한민국 정책브리핑 (korea.kr)
  26. 정부의 ‘사이버 보안 10만 인재양성’ 계획, 2023년 성과 및 2024년 목표는? (boannews.com)
  27. 2023년 사이버 보안 위협 분석 및 2024년 전망 발표 | 기관 소식 | 정책·정보 | 정부24 (gov.kr)
  28. 웨어러블 콜 개인정보 처리방침 (olleh.com)
  29. 당신의 웨어러블, 충분히 안전할까? (boannews.com)