"개인정보 침해하는 IoT 서비스…KISA 가이드라인으로 예방"

KISA-행정안전부, '자동처리 되는 개인정보 보호 가이드라인' 발간

KISA와 행정안전부가 공개한 '사업자가 준수해야 할 IoT 등에서 자동처리하는 개인정보 보호 10대 수칙' (KISA 제공) © 뉴스1

(서울=뉴스1) 송화연 기자 = # 근무 시간 중 반려견이 집에서 잘 지내고 있을 지 궁금했던 A씨는 집 내부를 모니터링하는 홈CCTV를 구매했다. 그는 스마트폰을 통해 반려견을 틈틈히 지켜보기 위해 서비스를 가입하는 과정에서 자신의 소셜미디어와 연동했다. 몇개월 뒤 이사를 앞둔 A씨는 서비스를 해지했으나 자신의 개인정보가 타인에게 노출되고 있다는 사실을 알게됐다. A씨는 이같은 사안에 대해 제조사 측에 문의했으나 "가이드라인이 없어 알지 못했다"는 답변을 전달받았다.

홈CCTV, 스마트TV 등 사물인터넷(IoT) 기기가 보편화되면서 대량의 개인정보를 자동 수집 및 활용하는 IoT 서비스의 개인정보 침해 가능성 문제가 제기되고 있다.

19일 한국인터넷진흥원(KISA)은 행정안전부와 함께 이를 예방하고자 '자동처리되는 개인정보 보호 가이드라인'을 발간했다고 밝혔다. 이 가이드라인은 IoT 기기 등으로 개인정보를 자동처리할 경우, 개인정보 처리 단계별로 사업자가 고려해야 할 사항을 사례 중심으로 담았다.

대표적으로 IoT 서비스를 소셜미디어와 연동해 이용하던 이용자의 정보가 지속적으로 노출되는 사례에 대해 이 가이드라인은 "개인정보보호법 제21조에 따라 정보주체가 서비스 해지 시 법령상 보존 의무가 없는 개인정보는 즉시 파기되도록 하고, 자동으로 개인정보를 수집하는 장치는 작동중지, 장치제거 등 추가적으로 수집되지 않도록 설계해야 한다"는 방향을 제시하고 있다.

KISA 측은 "가이드라인에 개인정보 침해 위협을 사전에 예측하고 대비하기 위해 서비스 기획 및 설계 단계부터 개인정보를 고려하는 '프라이버시를 고려한 설계'(Privacy by Design) 개념을 국내에서 처음으로 적용했다"고 설명했다.

가이드라인에는 '사업자가 준수해야 할 IoT 등에서 자동처리하는 개인정보 보호 10대 수칙'의 내용도 담겼다.

수칙에 따르면 사업자는 '기획단계'에서는 Δ서비스에 꼭 필요한 개인정보인지 확인 Δ개인정보 수집 시 법적 준수사항을 확인해야 한다.

'설계단계'에서는 Δ반드시 필요한 개인정보만 최소한으로 처리 Δ개인정보 처리단계별 적절한 안전조치 적용 Δ개인정보의 처리절차 및 처리방법 투명하게 공개 Δ정보주체가 권리 행사를 쉽게 할 수 있도록 보장 Δ개인정보의 제3자 제공 및 위탁 시 정보주체에게 명확히 안내 Δ정보주체가 서비스 해지 시 개인정보 파기 및 추가 수집 방지 Δ사업 종료 시 정보주체의 권리 보장 방안 등을 마련해야 한다.

서비스 출시 전 마지막 '점검단계'에서는 Δ개인정보를 보호하기 위한 조치가 설계에 반영됐는지, 개인정보 침해 위험은 없는지를 확인해야 한다.

권현준 KISA 개인정보보호본부장은 "보편화되고 있는 홈CCTV, 스마트TV 등 IoT 기기가 대량의 개인정보를 실시간으로 처리하는 만큼 개인정보 침해 가능성에 선제적으로 대비해야 한다"며 "이번 가이드라인이 IoT 서비스의 설계·기획 단계에서부터 사업자가 개인정보 보호를 고려하는 데 도움이 되길 바란다"고 말했다.

자동처리 되는 개인정보 보호 가이드라인은 개인정보 보호 종합포털(privacy.go.kr) 누리집 자료마당에서 확인할 수 있다.
hwayeon@news1.kr

[© 뉴스1코리아(news1.kr), 무단 전재 및 재배포 금지]