개인정보 비식별화 문제 관련 토론회 개최
“빅데이터 활용과 다가올 위험”
개인정보 비식별화 문제 관련 토론회 개최
사물인터넷 환경에서의 개인정보보호와 보안” 주제로 국회에서 31일 토론회 열려
오는 8월 31일(목) 오후2시 국회의원회관 제1세미나실에서 “사물인터넷 환경에서의 개인정보보호와 보안”을 주제로 토론회가 개최됩니다.
개인정보보호와 보안 측면에서 사물인터넷 및 자율주행차량 관련 국내외 논의를 검토하고 정보인권 보장을 위한 시사점을 도출해 볼 31일 토론회는 정보인권연구소 오병일 이사가 발제를 맡았습니다. 한국소비자연맹 정지연 사무총장의 사회로 강장묵 교수(고려대학교 연구교수), 권석철 대표(큐브피아), 박준우 사무처장(함께하는시민행동). 좌혜선 변호사(한국소비자단체협의회 사무국장), 김호성 단장(한국인터넷진흥원 개인정보기술단)이 토론에 참여할 예정입니다.
우선 ‘사물인터넷(Intenet of Things)’은 사람, 사물, 데이터 등 모든 것이 인터넷으로 서로 연결되어, 정보가 생성, 수집, 공유, 활용되는 기술, 서비스를 통칭하는 개념입니다. 사물인터넷은 소비자 생활의 편익을 향상시킬 수 있지만, 다른 한편으로 최근 유럽과 미국 등에서는 사물인터넷과 개인정보보호 위협 요소에 대한 검토도 이루어져 왔습니다. 특히 사물인터넷의 보안위험성은, 무단 접근 및 개인정보 남용, 다른 시스템에 대한 공격 수단으로 이용, 개인 안전에 대한 위험이 지적되고 있습니다. 이에 발제자는 해외 개인정보보호 및 소비자 관련 기구들이 그에 대한 대책으로 △보안 중심설계(Security by Design) △보안 침해시 소비자 고지 등의 정책을 추진하고 있는 현황을 소개하고, 최근 한국 사회에서 사물인터넷 환경을 빗대 고지 및 동의 제도, 최소 수집 원칙을 완화시켜야 한다는 일부 주장에 대하여 비판적으로 검토하였습니다. 마지막으로 발제자는 “이용자의 개인정보 보호에 대한 신뢰가 IoT 성장의 열쇠”라고 강조하였습니다.
한편 이로써 5차에 걸쳐 개최된 「 ‘4차 산업혁명’과 정보인권 」 연속토론회 가 대단원의 막을 내렸습니다. 이번 연속토론회는 문재인 정부 공약 사항인 ‘4차 산업혁명’과 ‘개인정보 보호 강화’를 조화시키고 미래 신기술로부터 국민의 정보인권을 보호할 수 있는 방안을 모색하고자 개최되었으며, 국회 과학기술정보방송통신위원회 변재일(더불어민주당, 충북 청주시청원구), 김성수(더불어민주당, 비례대표), 추혜선(정의당, 비례대표), 국회 행정안전위원회 진선미(더불어민주당, 서울 강동구갑), 권은희(국민의당, 광주 광산구을), 이재정(더불어민주당, 비례대표) 의원과 언론개혁시민연대, 정보인권연구소, 진보네트워크센터, 참여연대, 한국소비자단체협의회, 함께하는시민행동 등 시민사회단체가 공동으로 주최하고 국가인권위원회가 후원했습니다.
지난 7월 24일 ‘정보·수사기관과 미래 신기술, 어떻게 만나야 하는가’ 주제로 개최된 제1차 토론회를 시작으로, ‘빅데이터 활용과 개인정보 보호, 바람직한 균형은 무엇인가’를 주제로 했던 제2차 토론회(7/26), ‘빅데이터 활용과 개인정보 보호, 바람직한 균형은 무엇인가’를 주제로 한 제3차 토론회(8/8) 및 ‘빅데이터 시대 이용자의 권리 - 프로파일링 규제를 중심으로’를 주제로 한 제4차 토론회(8/17)까지 성황리에 마친 바 있습니다. 「 ‘4차 산업혁명’과 정보인권 」 연속토론회 가 한국사회의 이른바 ‘4차 산업혁명’ 논의 속에서 시민과 노동자, 소비자의 정보인권을 보장하기 위한 방안을 모색하고 사회적 토론을 촉발하는 기회가 되었기를 기대해 봅니다.
관심 있는 많은 분들의 참여와 취재를 바랍니다.
1차 토론회 4차산업혁명과 정보인권- 수사기관과 미래 신기술, 어떻게 만나야 하는가
2차 토론회 당신의 사생활을 삽니다? -빅데이터 활용과 개인정보 보호, 바람직한 균형은 무엇인가
3차 토론회 어디에 믿고 맡길 수 있나, 내 개인정보? 개인정보보호 컨트롤타워
4차 토론회 빅데이터 시대, 이용자의 권리
한국 시간으로 11월 27일 저녁, 사단법인 오픈넷은 캐나다 토론토 대학교 시티즌랩과 함께 KT와 LGU+의 스마트폰 감시 앱인 ‘KT 자녀폰 안심’과 ‘U+ 자녀폰 지킴이’에 대한 보안감사 보고서를 발표했다. 한국의 청소년 스마트폰 감시 앱에 대한 4차 보고서인 이번 보고서에서는 앞서 세 건의 보고서와 마찬가지로 감시 앱들이 보안에 매우 취약함을 밝혀냈다.
2015년 4월 16일부터 시행된 개정 전기통신사업법 제32조의7 및 전기통신사업법 시행령 제37조의8은 이통사가 청소년과 전기통신서비스 제공에 관한 계약을 체결하는 경우 유해정보에 대한 차단수단을 제공할 것을 강제하고 있다. 일명 ‘청소년스마트폰 감시법’에 의하면 이통사는 청소년의 스마트폰에 유해매체물 차단 앱을 설치해야 하며, 설치 후에는 앱이 삭제되지 않도록 지속적으로 모니터링을 해야 한다. 이렇게 부모의 동의도 필요 없이 감시 앱의 설치를 강제하는 법은 세계 최초이다. 오픈넷은 스마트폰 감시법의 청소년 프라이버시와 부모 교육권 침해 문제를 지속적으로 지적해왔으며 작년 8월에는 스마트폰 감시법에 대해 헌법소원을 청구한 바 있다.
오픈넷, 시티즌랩, 독일의 보안감사 전문회사 큐어53(Cure53)이 공동 작업한 이번 보고서는 우리나라 주요 이통사인 KT와 LGU+의 감시 앱인 U+ 자녀폰 지킴이와 KT 자녀폰 안심을 대상으로 했다. 두 앱 모두 플랜티넷이라는 유해콘텐츠 차단서비스 전문 회사가 개발했는데, 코드가 거의 동일하며 둘 다 이용자의 개인정보가 저장된 서버에 무단 접근을 가능하게 하는 치명적인 보안 결점이 있었다.
보안감사를 주도한 큐어53의 Fabian Faessler 연구원은 “우리가 발견한 취약점에 의해 개인정보가 유출되는 건 시간문제일 뿐이다. 앱에 저장된 개인정보를 포함한 내부 데이터에의 접근을 가능하게 하기 때문이다”라고 말했다.
연구진은 취약점을 발견한 후 각 회사에 보안감사 결과를 고지하려 했으나, 회사들이 감사 결과를 인정하고 취약점을 수정하게 만드는 데 큰 어려움을 겪었다. 아무런 회신을 주지 않은 LGU+를 상대로는 한국인터넷진흥원(KISA)의 S/W 신규 취약점 신고 제도를 활용하는 등 1년 넘게 다각도로 노력한 끝에 두 앱의 취약점이 수정되어 마침내 본 보고서를 발표할 수 있게 되었다.*
시티즌랩의 Masashi Crete-Nishihata 연구팀장은 “플랜티넷, LGU+, 그리고 KT에게 취약점을 알리는 과정에서의 실망스러운 경험은 회사들이 이용자 보호에 더 적극적이고 책임감있게 나서야 함을 명백히 보여준다”고 설명했다.
이로써 4차에 걸친 보안감사 보고서를 통해 연구진은 스마트보안관, 사이버안심존, 스마트안심드림, KT 자녀폰 안심, U+ 자녀폰 지킴이 총 5개의 청소년 스마트폰 감시 앱을 분석했고 모든 앱에서 치명적인 보안 문제들을 발견했다. 이는 애초에 감시 앱들이 보안이나 프라이버시를 전혀 염두에 두지 않고 설계되었으며, 단순히 한 개발자나 판매자에 국한되는 문제가 아니라 한국의 감시 앱 산업 전반에 구조적인 보안 문제가 있음을 보여주는 것이다.
청소년들을 온라인에서 범람하는 유해매체물과 음란물로부터 보호해야 한다는 점에 대해서는 논란의 여지가 없으나, 국가가 청소년처럼 사회의 취약한 집단에게 특정의 보호조치를 강제하고자 할 때에는 그러한 보호조치가 진정으로 필요한 것인지 내지 안전한지에 대한 철저한 검증이 있어야 할 것이다. 그런 점에서 청소년 스마트폰 감시법은 처음부터 잘못 끼운 단추이다.
오픈넷이 트위터와 페이스북 등 SNS 사용자를 대상으로 하여 벌인 설문조사 결과에 의하면 청소년 스마트폰 감시 앱에 대해 부모와 자녀 다수가 부정적으로 생각하는 것으로 나타났다. 응답자들은 청소년 관리앱이 청소년의 자율성이나 부모의 선택권을 침해하는 것으로 보았으며, 유해정보 차단 효과도 크지 않다고 대답했다. 이러한 앱을 강제하는 ‘청소년 스마트폰 감시법’에 대해서는 폐지되어야 한다는 의견이 압도적이었다.
정부는 2016년 12월 부모의 거부권(opt-out)을 인정하는 전기통신사업법 개정안을 제출했다. 하지만 이 개정안에는 청소년을 보안 위협에 노출시키는 감시 앱 자체의 위험성은 전혀 반영되어 있지 않다. 전 세계 유일무이 감시 앱 강제법인 청소년 스마트폰 감시법을 폐지하고 부모와 자녀 간의 대화와 이해 그리고 충분한 정보를 바탕으로 이용자들이 자율적으로 감시 앱 설치 여부를 결정할 수 있도록 하는 게 가장 바람직한 개선책일 것이다.
2017년 11월 29일
사단법인 오픈넷
* 취약점 공개 타임라인
|
일자 |
비고 |
|
2016. 9. 2. |
KT에 첫번째 취약점 고지 이메일 발송 |
|
2016. 9. 2. |
LGU+에 첫번째 취약점 고지 이메일 발송 |
|
2016. 9. 9. |
KT & 플랜티넷에 팔로우업 이메일 발송(답장 x) |
|
2016. 9. 9. |
LGU+ & 플랜티넷에 팔로우업 이메일 발송(답장 x) |
|
2016. 10. 21. |
LGU+ & 플랜티넷에 다시 팔로우업 이메일 발송(답장 x) |
|
2016. 10. 21. |
LGU+ 앱 업데이트 2.1.1 |
|
2016. 10. 26. |
LGU+ 고객센터 상담원 통화 |
|
2016. 10. 26. |
KT 고객센터 상담원 통화 |
|
2016. 10. 26. |
LGU+ & 플랜티넷에 팔로우업 이메일 발송(답장 x) |
|
2016. 10. 26. |
플랜티넷으로부터 이메일 답장 받음 |
|
2016. 10. 26. |
플랜티넷 이메일에 대해 회답함 |
|
2016. 11. 7. |
플랜티넷에 팔로우업 이메일 발송(답장 x) |
|
2016. 11. 13. |
KT 자녀폰 안심 업데이트 2.01.11 |
|
2016. 11. 18. |
플랜티넷에 팔로우업 이메일 발송(답장 x) |
|
2016. 11. 30. |
플랜티넷에 팔로우업 이메일 발송(답장 x) |
|
2017. 1. 20. |
LGU+ & 플랜티넷에 팔로우업 이메일 발송(답장 x) |
|
2017. 2. 1. |
플랜티넷과 통화 |
|
2017. 2. 17. |
LGU+ & 플랜티넷에 U+ 자녀폰 지킴이 업데이트 버전에 대한 새 취약점 고지 이메일 발송(답장 x) |
|
2017. 2. 23. |
LGU+ & 플랜티넷에 새 취약점 고지에 대한 팔로우업 이메일 발송(답장 x) |
|
2017. 7. 7. |
KISA에 U+ 자녀폰 지킴이 취약점 신고 |
|
2017. 9. 4. |
KISA에서 U+ 자녀폰 지킴이 업데이트에 대해 통지 |
문의: 오픈넷 사무국 02-581-1643, [email protected]
[관련 글]
다자간인터넷거버넌스협의회(KIGA)가 주최하고 인터넷 관련 공공기관, 시민단체, 학계, 기업, 기술 커뮤니티가 공동 주관하는 “2016 한국인터넷거버넌스포럼(KrIGF)”이 오는 9월 23일(금)에 세종대학교 광개토관에서 개최됩니다.
‘테러방지
시민들의 의견
댓글 달기