개인정보 보호 중심 설계 PbD란?

오늘의 기사

가정용 CCTV, 서빙로봇 등 개인정보 보호 안전성 검증한다

 

IoT, CCTV, 로봇은 점차 사람들의 일상으로 확대될 것이다.

디지털에 가까우면 가까워질수록, 해킹과 같은 위험에 노출되기 쉬워진다면... 많이 무서울 것 같다.

 

그래서 '개인정보보호위원회'가 보호 안전성 검증을 한단다.

이름하여~~

"개인정보 보호 중심 설계 PbD = Privacy by Design"

흠... 이것은 무엇일까

혹시 '개인정보 보호 중심 설계'에 대해서 알고 있어?

'개인정보 보호 중심 설계'(Privacy by Design, PbD)는 시스템의 초기 설계 단계부터 개인정보 보호를 포함하여 구축하는 접근 방식을 말합니다. 이 원칙은 1990년대 후반, 캐나다의 정보 및 개인정보 보호 관리인 Ann Cavoukian이 처음 제안했습니다. 개인정보 보호 중심 설계의 핵심은 보안이 사후적이나 부차적인 고려사항이 아니라, 제품, 서비스, 시스템의 초기 설계 단계에서부터 중요한 부분으로 포함되어야 한다는 것입니다. 이러한 접근 방식은 개인정보 보호에 대한 전반적인 위험을 줄이고, 법적 위반을 피하며, 고객의 신뢰를 증대하는데 도움이 됩니다. PbD는 일반적으로 다음과 같은 7가지 원칙을 포함합니다: 1. 예방적이고 주의를 기울이는 개인정보 보호: 보안 위반을 예방하기 위해 처음부터 대비책을 적용하는 것입니다. 2. 기본 설정으로 개인정보 보호: 시스템은 기본적으로 개인정보를 보호하도록 설계되어야 합니다. 3. 개인정보 보호는 보안의 일부입니다: 개인정보 보호는 시스템의 보안 요소와 결합되어야 합니다. 4. 서비스나 기능과 개인정보 보호 사이의 양립: 개인정보 보호는 시스템의 성능이나 유용성을 저해해서는 안 됩니다. 5. 생애주기 전반에 걸친 보호: 보호 대책은 시스템의 전체 생애 주기를 통해 적용되어야 합니다. 6. 가시성과 투명성: 시스템의 작동 방식과 개인정보 보호 방법에 대해 이해하기 쉬워야 합니다. 7. 존중하는 사용자 중심: 시스템은 사용자의 프라이버시를 존중하고 보호해야 합니다. 개인정보 보호 중심 설계는 기업과 조직이 개인정보를 보호하면서 동시에 기술적 혁신을 추구하고, 더 나은 서비스를 제공하도록 돕습니다.

오.. 정말 초등학생이 말해도 이 정도는 얘기할듯.

구글에서 리서치해보니까 규제 체계가 나라마다 다르다고 한다.

 

 

PbD 정책이 나라마다 다른 걸로 알고 있어. 미국의 경우는 어떤 PbD 정책이 있어?

미국에서는 '개인정보 보호 중심 설계'(Privacy by Design, PbD) 원칙이 여러 법규 제도에 반영되어 있습니다. 하지만 미국은 전국적으로 통일된 개인정보 보호 법을 가지고 있지 않고, 개별 주, 업계, 심지어는 특정 상황에 따라 다른 법률들이 적용됩니다. 미국 연방 무역 위원회(FTC)는 PbD 원칙을 사업체들에게 권고하며, 이를 보안, 데이터 관리 및 보관, 투명성, 알림 등에 적용하도록 권장합니다. FTC는 권고 사항에 따르지 않는 경우, 사업체들에게 경고, 벌금, 심지어는 사업 제한을 부과할 수 있는 권한을 가지고 있습니다. 그 외에도, 특히 가장 진보적인 개인정보 보호 법률 중 하나인 캘리포니아 소비자 개인정보 보호법(CCPA)에서는 PbD 원칙을 상당 부분 반영하고 있습니다. CCPA는 개인정보의 수집, 판매 및 공유에 대한 사용자의 동의를 요구하고, 사용자에게 개인정보를 삭제하거나 판매하지 않도록 요청할 권리를 부여합니다. 하지만 미국의 개인정보 보호 법들은 유럽의 일반 데이터 보호 규정(GDPR)처럼 PbD 원칙을 명시적으로 법률에 포함하지는 않습니다. 따라서 미국에서는 PbD를 따르는 것이 법적으로 필수적인 것은 아니지만, FTC의 지침이나 특정 주의 법률을 준수하는 데 도움이 될 수 있습니다. 또한 PbD 원칙을 따르는 것은 고객의 신뢰를 높이고, 잠재적인 법적 문제를 방지하는 데 도움이 될 수 있습니다.

 

글로벌 개인정보보호 규제 체계 현황 조사 - 한국인터넷진흥원에서 나온 보고서를 봤는데...!

나름 구체적으로 공부해보면 좋을 것 같다

우선 GPT한테 다시 물어보자 

CCPA에서 제시하는 PbD에 대해서 구체적으로 얘기해줄래?

CCPA는 주로 다음과 같은 개인정보 보호 원칙에 중점을 둡니다: 1. 투명성과 정보제공의 의무: CCPA는 기업이 사용자의 개인정보를 어떻게 수집, 사용, 공유하는지에 대해 더 투명해져야 한다고 요구합니다. 사용자들은 자신의 정보가 어떻게 사용되는지 알 권리가 있으며, 그들의 정보가 판매되었는지, 어떤 카테고리의 정보가 수집되었는지, 그리고 어떤 목적으로 정보가 사용되었는지를 알 수 있어야 합니다. 2. 동의의 원칙: CCPA는 개인정보의 판매에 대한 사용자의 동의를 요구합니다. 특히 16세 미만의 아동들에게는 부모 또는 보호자의 명시적 동의를 받아야 하며, 그렇지 않으면 정보를 판매할 수 없습니다. 3. 제어권의 원칙: CCPA는 사용자에게 개인정보를 삭제하거나 판매하지 않도록 요청할 권리를 부여합니다. 이는 PbD의 "존중하는 사용자 중심" 원칙에 부합합니다. 4. 차별 금지 원칙: CCPA는 개인정보 보호 권리를 행사하는 사용자를 차별하는 것을 금지합니다. 즉, 사용자가 개인정보 판매를 거부하거나 삭제를 요청했다고 해서 서비스의 품질이 저하되거나 가격이 인상되는 일이 없어야 합니다.

음... 뻔하긴 한데

 

 

그럼 미국에서 PbD를 지키지 않아서 규제를 받거나 불이익을 당한 구체적인 사례가 있어?

미국 연방 무역 위원회(FTC)는 이러한 사례들에 대해 법적 제재를 가하기도 합니다. 아래는 그런 사례 중 몇 가지입니다: Facebook과 FTC의 합의: 2012년에 FTC는 Facebook이 개인정보 보호 설정, 개인정보 공유, 애플리케이션 접근 권한 등 여러 가지 방식으로 사용자의 개인정보 보호를 손상시켰다고 주장하였습니다. 이에 따라 Facebook은 FTC와 합의하고 개인정보 보호를 향상시키는 조치를 취하였습니다. 그러나 Facebook은 이후에도 계속해서 개인정보 보호 문제로 논란이 되었고, 2019년에 FTC는 Facebook에게 50억 달러의 과태료를 부과하였습니다. Google과 YouTube의 과태료: 2019년에 FTC와 뉴욕주는 Google과 그의 자회사 YouTube에게 아동 온라인 개인정보 보호법(COPPA)을 위반한 혐의로 과태료 170백만 달러를 부과하였습니다. 이들 기업은 13세 미만의 아동들로부터 개인정보를 수집하였는데, 이는 아동들의 개인정보를 수집하기 전에 부모의 동의를 받아야 한다는 COPPA의 요구 사항을 위반한 것이었습니다. Zoom의 보안 및 개인정보 보호 문제: 2020년에 비디오 회의 플랫폼 Zoom은 사용자의 개인정보 보호를 충분히 지키지 못했다는 비판을 받았습니다. Zoom은 암호화 보안 수준에 대해 오해를 불러일으키는 공식 문서를 발행하였고, 이로 인해 FTC로부터 제재를 받았습니다. 이후 Zoom은 개인정보 보호와 보안 향상에 많은 노력을 기울였습니다.

 

 

그럼 네트워크나 플랫폼의 보안/암호화의 정도에 대해서 해당 기관들이 어떻게 평가할 수 있지?

네트워크와 플랫폼의 보안 및 암호화 수준을 평가하는 것은 복잡한 과정이며, 다양한 요소와 기술이 포함됩니다. 여기서 중요한 것은 모든 시스템이 완벽히 안전할 수는 없다는 점입니다. 대신, 위험을 최소화하고 가능한 최선의 보호를 제공하는 것이 목표입니다. 다음은 보안 및 암호화 수준을 평가하는데 일반적으로 고려되는 몇 가지 요소입니다: 암호화: 데이터는 전송 과정에서 물론, 저장되는 동안에도 암호화되어야 합니다. 암호화는 공격자가 데이터를 도용하더라도 그 내용을 이해할 수 없도록 만듭니다. 암호화에는 다양한 수준과 유형이 있습니다. 예를 들어, 통신은 종단간 암호화(end-to-end encryption)를 사용해야 하며, 저장된 데이터는 적절한 방식으로 암호화되어야 합니다. 인증: 사용자는 자신이 누구인지 증명할 수 있어야 하며, 이를 위해 패스워드, 이중 인증, 생체 인증 등 다양한 방법이 사용됩니다. 접근 제어: 불필요한 사용자가 중요한 정보에 접근하는 것을 방지하는 방식이 필요합니다. 이를 위해 권한 관리 시스템이 구축되어야 하며, 최소한의 권한 원칙(Principle of Least Privilege)이 적용되어야 합니다. 시스템 보안: 시스템 자체도 보안 위협으로부터 보호되어야 합니다. 이는 운영 체제의 보안 패치, 방화벽 설정, 안티 바이러스 소프트웨어의 사용 등을 통해 이루어집니다. 보안 테스트 및 감사: 보안 시스템은 정기적으로 테스트되어야 하며, 독립적인 제3자에 의한 감사 또한 중요합니다. 이를 통해 취약점이 발견되면 적시에 대응하고 개선할 수 있습니다.

 

 

 

결론 : 앜ㅋㅋ 자비스도 울트론한테 해킹당했다고 ㅋㅋㅋ

???