개인정보보호 중심 설계(Privacy by Design)
주간기술동향 2022. 8. 17
개인정보보호 중심 설계(Privacy by Design) 인증제도 동향 및 국내 도입 방안 검토
개인정보보호 중심 설계 개념
개인정보보호 중심 설계(Privacy by Design : PbD)는 "프라이버시를 고려한 설계'를 의미하며
프라이버시 관련 침해가 발생하기 전에 개인정보 침해 요인을
예측.예상하거나 프라이버시 가능성에 대비하여
제품 및 서비스의 기획.설계 단계에선 부터 사전에 예방하는 개념이다.
Privacy by Design 7대 원칙은 PbD가 지향하는 바를 설명한다.
PbD 관련 정책 동향
국내에서는 2020년 2월 행정안전부에서 발간한
"자동처리되는 개인정보 보호 가이드라인'을 통해
PbD 개념을 정책에 첫 적용하였다.
사물인터넷(IoT)등에서 개인정보를 자동처리하는 경우
사업자가 고려해야 할 사항을 10가지 원칙으로 제시하였다.
해외사례로는 2018년 5월 시행된 EU의 일반 개인정보보호법(GDPR)에서
개인의 권리와 자유의 침해를 방지하고 데이터 처리 최소화, 블특정인에 대한 접근제한,
정보주체의 권리 보호 및 안전조치, 기본설정에 의한 개인정보보호 의무 등을 규정하였다.
또한, EU의 정보보호 전문기관(ENISA)은
"8가지 개인정보보호 설계 전략"(Eight privacy design strategies)을 제시한다.
미국 연방거래위원회도 "Protecting Consumer Privacy in an Era of Rapid Change" 보고서에서
기업과 정책입안자로 하여금 프로이버시 보호를 위해 PbD,
투명성 확보 등의 실체적.절차적 원칙을 제시하며 조직,
제품 및 서비스 전 단계에서 프라이버시가 보호될 것을 요구하였다.
이 외에도 세계이도옹신사업자협회(GSMA)에서 발표한
"모바일 프라이버시 원칙"에서
새로운 서비스나 앱, 단말기 및 소프트웨어를 개발할 때
이용자 프라이버시가 보호될 수 있도록 고려되어야 함을 강조하였다.
제품에 대한 PbD 인증 사례
"제품에 대한 PbD 인증"이란 개인정보의 처리를 기반으로 하는 제품이나 서비스의
설계. 제조.기획.개발 단계에서부터 PbD 개념을 적용하여 개인정보 유출 우려가 없는 제품에 대해
국가.공공기관 등이 인증마크를 부여하는 제도이다.
운영주체(공공/민간)나 법적 근거 유무(법정인증/임의인증)에 따라 운영방식이 상이하다.
국내는 정보통신망 연결기기 등에 대한 정보보호인증(IoT-SAP) 등
PbD 인증과 유사한 인증이 다수 운영 중에 있으나,
개인정보보호 관점에서 PbD 적용 여부를 중점으로 평가하는 제도는 부재한 상황이다.
EU는 PbD 적용 권장을 위해 인증제도나 영향평가 제도를 적극 활용 중이다.
독인의 EuroPriSe(European Privacy Seal),
이탈리아의 ISDPⓒ 10003: 2015(International Scheme Data Protection),
룩셈부르크의 GDPR-CARPA(GDPRCertified Assurance Report based Processing Activities)
등이 활발히 운영되고 있다.
PbD 인증과 타 인증과의 비교
개인정보는 한번 유출.훼손되면 정보주체에게 비가역적인 피해를 줄 수 있고,
특히 신기술의 도입은 또 다른 보안 위협을 낳고 있어
개인정보의 사전 예방적 보호제도가 더욱이 중요해진 상황이다.
1. ISMS-P
ISMS-P(Personal Information & Information Security Management Systeme,
정보보호 및 개인정보보호 관리체계 인증)는
"정보보호 관리체계 인증(ISMS)" 과 "개인정보보호 관리 인증(PIMS)이
통합되어 운영중인 인증제도 이다.
ISMS-P는 개인정보처리자의 특정 개인정보처리시스템의 관리.보호체계를
인증하기 위한 제도로 주요 점검사항은
경영진 참여, 개인정보 보호 조직 구성, 직무 문리 여부,
보안서약, 사고대응 훈련 여부 등이다.
ISMS-P 인증기준은 관리체계 수립 및 운영(16항목),
보호대책 요구사항(64항목), 개인정보 처리단계별 요구사항(22항목)
총 3개 분야 102개의 심사항목으로 구성되어 있다.
인증 유효기간은 3년이며 최초 심사 후 매년 사후심사가 이루어진다.
2. PIA
개인정보 영향평가(Privacy Impact Assessment : PIA)는 공공기관이 일정구모 이상의
개인정보 파일을 운용하는 경우, 위험요인등을 분석하여
그결과를 정부부처(개인정보보호 위원회)에 제출하는 제도이다.
PIA는 일정규모 이상의 공공기관을 대상으로 적용 및 개인정보처리시스템을
구축.운용하는 경우에 평가대상이 되므로 PbD 인증 사례처럼
"제품 단위의 평가"가 이루어지지 않는다.
한편, EU 등에서 운영중인 영향평가 제도는 공공.민간을 막론하고
"중대한 위험 초래가 예상되는 시스템 및 제품" 등에
영향평가 수행 의무를 부과하고 있다.
최근(2021년 4월) EU가 발표한 "AI 규제법안" 초안은
고위험 AI 알고리즘 개발 시 적합성 평가 실시 및 유럽 안전인증 취득을
위무화 하도록 하는 등 보호체계를 강화하고 있다.
3. IoT-SAP
과학기술정보통신부와 한국인터넷진흥원(KISA)은 2017년부터 IoT 보안인증 서비스를 시행하였으며,
2020년 6월 정보통신망법 개정을 통해 법적 근거를 마련하였다.
IoT-SAP(Internet of Things-Security Assessment Program, 정보통신망 연결기기 등 정보보호 인증)
인증기준은 개인정보를 포함한 중요 정보의 암호화, 개인정보 법적 준거성 등
개인정보보호를 위한 기본 항목을 두고 있으나,
개인정보보호 중심 설계(PbD), 개인정보 보호/강화 기술(PET)
적용여부를 평가하고 있지않다.
PbD인증과 그 외 유사 인증은 개인정보 보호를 위한 암호화 적용, 접근권한 최소화,
비인가자 접근통제 등 정보보안을 위한 필수적인
안전조치를 요구하고 있다는 점에서 공통점이 있다.
| 구분 | PbD | 유사인증 |
| 공통점 | 개인정보 보호를 위한 암호화 적용, 접근권한 최소화, 비인가자 접근통제 (정보보안을 위한 필수적인 안전조치를 요구하고 있다는 점) |
|
| 차이점 | 제품이나 서비스의 설계.제조 단계에서 개인정보 보호요소를 충분히 반영하였는지, 프라이버시 침해 우려가 없는지 등을 검증 | ISMS-P : 서비스 운영의 전과정을 검증 |
| 개인정보처리자가 아닌 제조.유통사를 대상으로 함 | 개인정보 보호법은 개인정보처리자를 규율하는 법이므로 동법에 따른 ISMS-P(제32조의2), 영향평가(제33조)제도는 독일의 EuroPriSe처럼 생산자에 직적 적용되기에는 무리 | |
| 개인정보보호에 특화된 항목들로 구성 | ||