![swork.org [anti-hackers lab][정보보호] [에스테크스타닷컴]](http://www.stechstar.com/user/swork/wp-content/uploads/2015/01/swork_logo02.png){kind=logo}
| 날개 달린 IoT, 도움닫기 해야할 개인정보보호 | |
| 2015-11-03 | |
|
서비스제공자는 이용자의 통제권 부족, 이용자는 실질 동의권 행사 문제
IoT 시대 개인정보보호, 사전 동의 규제 완화 등 합리적인 방안 모색해야[보안뉴스 김경애] 사물인터넷(IoT)은 PC, 스마트폰에 이어 제4차 IT 혁명으로 각광받으면서 향후 10년간 약 19조 달러의 경제가치를 창출할 것으로 예상되는 등 폭발적인 성장이 기대되는 분야다. 하지만 개인정보 유출 위험 및 각종 보안이슈는 사물인터넷 발전을 위해 반드시 넘어야 할 산이 되고 있다. 사물간의 통신을 통해 정보를 자동으로 주고 받으며 각종 데이터가 생성된다. 여기에는 개인정보를 비롯해 중요정보도 포함돼 있는데, 이렇게 주고 받는 정보들이 보안위협에 노출돼 유출되거나 물리적인 피해를 입을 수 있다. 특히, 의료분야의 경우 자칫 잘못하다간 사람의 목숨까지 위협할 수 있다.  실제 IoT와 관련한 해킹사례는 지난해부터 하나둘씩 징후가 나타나고 있다. 이와 관련 한국정보보호시스템 류동주 센터장은 “스마트홈의 경우 지난 8월 스마트 냉장고의 보안 취약점을 통해 중간자 공격으로 메일 계정 접속이 가능한 것으로 드러났고, 이보다 앞서 지난 7월에는 비데 일체형 위생도기의 모든 모델에서 블루투스 PIN 코드가 동일한 것으로 조사됐다. 이는 누구나 위생도기 어플을 이용해 원격 조정이 가능할 수 있다는 얘기”라고 말했다. 이어 모바일 앱을 통해 보일러 조작은 물론 인증 사용자 재설정이나 인증서 재설치가 이루어질 수 있는 등 보안 기능이 없는 경우도 수두룩하다. 또한, 원격으로 NAS(Network-Attached Storage)에 접속해 루트 권한으로 시스템 명령을 실행시키거나 스마트TV와 공급업체 서버간 통신이 암호화되지 않은 것이 지적됐고, 지난해 1월에는 냉장고와 TV를 해킹해 75만건의 스팸 메일을 발송한 사건도 발생한 바 있다. 이와 관련해서 한국인터넷정보학회에서 발간한 ‘2015년 추계학술 발표대회 논문집’에 게재된 ‘사물인터넷 환경에서 개인정보보호 방안 연구’에 따르면 법·제도적 측면에서 IoT 보안위협에 대해 IoT 기기들은 실시간 사용자를 탐지하고 사물끼리 자동으로 정보를 주고받기 때문에 개인정보 주체의 검토나 승인과정을 매번 수행하기 어렵다고 밝히고 있다. 그러나 현행 개인정보보호법이나 정보통신망법은 다른 정보와 쉽게 결합해 알아볼 수 있는 경우를 모두 개인정보로 포괄 정의하고, 데이터 하나를 모을 때도 ‘고지-동의수집’ 과정을 모두 거쳐야 해 사물인터넷 시대의 현실과는 괴리가 있다는 지적이다. 이를 좀더 구체적으로 살펴보면 서비스 제공자에게는 △이용자의 통제권 부족 및 동의에 대한 문제 △최초 처리목적이 변경된 개인정보 처리 발생 △개인정보 국외 이전 확대 △영상정보 처리 기준 미비 △주체별 개인정보보호 책임 모호 등의 문제가 발생한다. 또한, 이용자에게는 △정보주체의 실질적인 동의권 행사의 어려움 △스마트 기기에 대한 관리 미숙 △보안의식 미흡 등이 문제로 부각되고 있다. 기술적인 측면에서도 문제가 제기되고 있다. 단말기에 대한 불법 접근을 통해 정보에 대한 식별 가능성이 증가할 수 있으며, 가용성 침해와 함께 정보의 조작 및 탈취를 통해 기밀성과 무결성이 훼손될 위험이 있다. 또한, 행위 패턴 분석 및 프로파일링 증가로 인해 프라이버시를 침해될 수 있다. 무엇보다 이용자 입장에서는 목적 이상의 과도한 개인정보가 자동으로 수집되는 문제점이 발생한다. 이와 관련 해당 논문에서는 사물인터넷 환경에서 개인정보에 대한 사전 동의는 현실적으로 불가능에 가까우므로, 서비스 제공 및 계약 체결·이행을 위한 경우 수집 및 제공과 관련한 사전 동의 규제를 완화하는 등 합리적인 방안을 모색해야 한다고 밝혔다. 이와 함께 개인의 ‘자기정보통제권’ 보장을 위한 이용자 중심적인 고지·동의 방안을 마련해야 한다는 의견도 피력했다. 또한, 사물인터넷 환경 내 이해관계자의 주체별·서비스별로 특화된 프라이버시 보호 책임 가이드를 제시하고, IoT 서비스와 기기의 기획 및 설계 단계부터 프라이버시 중심 디자인을 도입해야 한다고 강조했다. 이 외에도 무분별한 IoT 서비스 도입을 지양하고, IoT 기술을 도입하기 전 개인정보의 여부, 활용 범위 정보의 신뢰성(원천지 표시) 등에 대한 전체적인 상황을 고려해야 하며, 사물인터넷 서비스의 신뢰성을 보장할 수 있는 일원화된 안정성 검증 및 평가제도를 마련해야 한다고 설명했다. |
|
[출처] http://www.boannews.com/media/view.asp?idx=48408&kind=2#
