1주차 과제 (조규혁) - 정보 보호 사례 및 국내외 정책

정보 보호 관련 사례

 

1. Equifax 데이터 유출 사건 (2017)

 

배경: 미국 신용평가기관인 Equifax는 고객들의 민감한 신용 정보와 금융 데이터를 보유하고 있는 대형 금융 기관이다.

 

사건: 2017년에 Equifax는 약 1억 4,700만 명의 미국 시민들의 사회보장번호, 신용카드 정보, 운전면허 정보 등이 포함된 개인정보가 해킹된 대규모 데이터 유출 사건을 겪었다.

 

원인: 해킹의 원인은 웹 애플리케이션에서의 보안 취약점을 제때 패치하지 않았기 때문입니다.

 

 

2. 페이스북-케임브리지 애널리티카 사건 (2018)

 

배경: 케임브리지 애널리티카는 정치 자문 및 데이터 분석 회사로, 소셜미디어 데이터를 활용해 선거에서 유권자들을 타겟팅 했다.

 

사건: 페이스북 이용자들의 개인 프로필 데이터를 허가 없이 수집하여, 이를 기반으로 미국 2016년 대선과 영국 브렉시트 국민투표 등에 영향을 미치려 했다는 의혹이 제기되었다. 약 8,700만 명의 페이스북 이용자의 개인정보가 유출되었으며, 이 정보는 동의 없이 정치적인 목적에 사용되었다.

 

원인: 페이스북의 데이터 관리 방식과 제3자 앱의 데이터 접근에 대한 허술한 관리가 문제였다.

 

 

4. Sony Pictures 해킹 사건 (2014)

 

배경: 소니 픽처스는 전 세계적으로 영화를 제작, 배급하는 대형 엔터테인먼트 회사이다.

 

사건: 2014년, 소니 픽처스는 북한과 관련된 영화 제작에 대한 보복으로 해킹을 당했다. 해커들은 영화 미공개 정보, 직원들의 개인정보, 내부 이메일 등을 공개했다.

 

원인: 해킹은 조직적이고 정교한 방식으로 이루어졌으며, 소니의 내부 네트워크 보안에 대한 취약점을 파고들었다.

 

 

- 사례 1, 2는 자체 어플리케이션의 보안 취약점을 제때 패치하지 않아서 일어난 일이고,

- 사례 3은 네트워크 보안에 접근하여 발생한 사건이다.

 

 

 

 

국내외 정보 보호 정책

 

 

1. 국내 정보보호 정책

 

1) 개인정보 보호법 (PIPA, 2011년 시행)

 

내용: 대한민국의 개인정보 보호를 위한 기본 법률로, 공공 및 민간 부문 모두에서 개인정보 처리에 대한 법적 근거와 처리 기준을 제시한다. 개인정보의 수집, 이용, 제공, 보관, 파기 등 전반적인 관리 기준을 엄격하게 규제한다.

 

개정 내용: 2020년에는 개인정보 보호법이 강화되어 '가명정보' 개념이 도입되었다. 가명정보의 데이터 활용을 촉진하고 동시에 개인정보 침해를 방지하는 균형을 맞추려는 목적이 있다.

 

2) 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (정보통신망법)

3) 전자금융거래법

4) 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률

 

 

2. 국외 정보보호 정책

 

1) 유럽연합 일반개인정보보호법 (GDPR, 2018년 시행)

 

내용: GDPR은 전 세계적으로 가장 엄격한 개인정보 보호법 중 하나로 평가받고 있으며, 유럽연합(EU) 내에서 수집, 처리되는 모든 개인정보에 대한 강력한 규제를 규정하고 있다.

 

 

2) 미국 캘리포니아 소비자 개인정보 보호법 (CCPA, 2020년 시행)

 

내용: 캘리포니아는 미국 내에서 가장 엄격한 개인정보 보호 법률을 시행하는 주 중 하나다. CCPA는 소비자가 자신의 개인정보에 대한 통제권을 가지도록 보장하며, 기업이 데이터를 수집, 판매할 때 투명성을 요구한다.

 

 

 

 

현재 정보보호 관련 법규 검토

 

 

1. 국내 관련 법규 검토

 

1) 개인정보 보호법 (PIPA) 개정 검토

 

개정 방향: 개인정보의 국외 이전에 대한 통제를 강화하고, 온라인 플랫폼 기업의 개인정보 수집 및 이용에 대한 관리감독을 더욱 강화할 계획이다.

 

주요 이슈:

개인정보 자동 수집 및 처리에 대한 규제를 강화.

**인공지능(AI)**을 활용한 개인정보 처리에 대한 가이드라인 설정.

데이터의 국외 이전 통제 강화: 외국 기업이 국내 개인정보를 처리할 때, 해당 정보를 안전하게 관리하는 법적 장치 도입.

 

추진 배경: 최근 글로벌 IT 기업들이 개인정보를 수집하고 이를 제3국으로 이전하는 경우가 늘어남에 따라, 이러한 문제를 규제하기 위한 강화된 법적 장치가 필요하다는 인식이 커지고 있다.

 

2) 국가 사이버보안 전략 관련 법안

 

배경: 사이버 공격의 증가와 중요한 인프라에 대한 위협이 확대되면서, 사이버보안법 또는 이에 대한 통합적인 법률을 제정하는 방안이 검토되고 있다.

 

추진 배경: 2020년 이후 주요 기관과 기업을 대상으로 한 해킹 사건이 빈번하게 발생하며, 국가 차원에서 보다 강력한 대응책을 마련하기 위한 필요성이 대두되었다.

 

 

 

2. 국외 관련 법규 검토

 

1) 유럽연합(EU) 인공지능법 (Artificial Intelligence Act)

 

배경: 인공지능(AI)의 발전과 데이터 활용이 가속화되면서, AI 기술이 개인 정보 보호에 미칠 영향을 규제하려는 움직임이 강해지고 있다.

 

내용:

고위험 AI 시스템에 대한 엄격한 규제.

AI 시스템이 개인정보를 처리할 때 투명성과 책임성을 강화.

기업이 AI 시스템의 안전성을 보장하고, 개인정보 침해 가능성을 사전에 평가할 의무를 부과.

 

 

https://www.lawtimes.co.kr/news/198482

EU, 세계 첫 AI규제법 2026년 시행 확정

 

 

 

 

-> 공부한 결과 내용 정리

 

 

디지털 전환과 빅데이터 활용 분야의 발전에 따라

국제 데이터 이동, 인공지능 및 자동화 시스템, 사이버 보안에 초점을 맞추고 있다.

 

1) 국제 데이터 이동

 

여러 국가에서 데이터가 국경을 넘어 전송되는 문제에 대해 규제를 강화하는 방안을 검토 중이다.

 

 

2) 인공지능(AI) 및 자동화 시스템 규제

 

AI가 개인정보를 수집, 분석, 처리하는 과정에서 발생하는 데이터 오용 및 편향성 문제에 대한 법적 규제 필요성이 증가하고 있다. 특히 자동화된 의사결정 시스템에 대한 사용자 권리 보장과 그 투명성을 확보하는 방향으로 법률이 검토되고 있다.

 

3) 사이버 보안 강화

 

전 세계적으로 사이버 공격이 급증함에 따라, 국가 차원의 사이버 보안 전략이 검토되고 있으며, 이를 위한 법적 대응이 강화되고 있다. 사이버 공격에 대한 국가적 책임과 국제적 협력을 규정하는 법률이 중요해지고 있다.

 

이를 통해 개인과 기업들의 정보보안 수준을 높이는 방향으로 발전하고 있다.

 

 

 

출처 : http://itnlaw.knu.ac.kr/index.php?task=json&cmd=board-file-download&fid=301&filename=002-%EC%9C%A4%EC%9D%B5%EC%A4%80,%EC%9D%B4%EB%B6%80%ED%95%98(%EC%A0%9C23%EC%A7%91).pdf

https://www.pipc.go.kr/np/default/page.do?mCode=D060010000

개인정보보호위원회