정보보안기사 대비 공부 정리 2020년 사이버 위협 동향 정리 (1) - 데이터3법

2020년 1분기 사이버 위협 동향 정리

 

 

 

데이터 3법 = 개인정보를 '어떻게' 다뤄야 하는지 구체적으로 정의하는 법(개인정보보호법, 신용정보법, 정보통신망법)

개인이 누구인지 알 수 없게 가린 '가명정보'만을 활용

 

 

[개인정보 보호법] 시행령 개정안 주요 내용

1) 정보주체 동의 없이 개인정보를 이용 가늫안 경우 구체화

 - 개인정보처리자는 당초 개인정보를 수집했던 목적과의 상당한 관련성, 수집한 정황과 처리 관행에 비춘 예측 가능성, 추가 처리가 정보주체냐 제3자의 이익을 부닿아게 침해하지 않을 것 등의 요건을 갖춘 경우 수집한 개인정보를 정보주체의 동의 없이 추가로 이용 및 제공할 수 있게 된다.

 

 

2) 가명정보 결합 절차와 전문기관 지정 요건 확립

  - 가명정보를 결합하려는 개인정보처리자는 개이정보보호위원장 또는 관계 중앙행정기관장이 지정하는 전문기관에 결합신청서를 제출할 수 있다. 전문기관이 가명정보를 결합해주면, 개인정보처리자는 전문기관 내 마련된 안전한 분석 공간에서 결합된 정보를 분석할 수 있다. 인공지능 분석 등을 위한 데이터 반출 등이 필요한 경우, 결합된 가명정보는 전문기관 안정성 평가와 승인을 걸쳐 전문기관 외부로 반출할 수 있다.

 

3) 가명정보의 안전성 확보 조치

 - 가명정보를 처리하는 개인정보처리자는 내부관리계획을 수립해야 한다. 개인을 알아볼 수 있는 추가 정보는 분리 보관하며 접근 권한도 분리해야하느 등 물리적 기술적 안전조치를 실시해야한다.

 

4) '민감정보'에 생체인식정보와 인종 민족정보를 포함하여 보호

  - 개인을 알아복 목적으로 사용하는 지문, 홍채, 안면 등 생체인식정보는 개인 고유의 정보로서 유출 시 되돌릴 수 없는 피해가 발생할 가능성이 커서 이를 별도로 규율 할 필요가 있고, 인종 민족정보는 우리 사회가 다문화 사회로 변화함에 따라 처리 과정에서 개인을 차별하는데 사용되지 않도록 보호할 필요성이 높아졌다.

   > 생체인식정보와 인종, 민족정보를 민감정보에 새롭게 추가하여 별도로 정보주체의 동의를 받도록 처리

 

5) 체계적 개인정보 보호를 위한 개인정보보호위원회 운영 제도 개선

  - 전문위원회 효율성과 전문성 제고를 위해 위원 정수를 당초 10명에서 20명으로 확대했다. 또한, 범정부 차원의 체계화된 개인정보 보호정책 추진과 개인정보 침해사고 예방 및 대응 등 개인정보보호 업무의 효과적인 추진을 위해 중앙행정기관이 참여하는 개인정보보호 정책협의회, 지방자치단체가 참여하는 시 도 개인정보보호 협의회를 설치하고 운영 근거를 마련했다.

 

6) 정보통신망법 시행령 관련 규정 개인정보보호법으로 이관

  - 정보통신망법의 개인정보 보호 규정이 개인정보 보호법으로 이관됨에 따라, 그간 정보통신망법 시행령에 규정되었던 '개인정보 이용내역 통지', '손해배상책임 보장', '해외사업자의 국내대리인 지정'등 개인정보 보호 관련 조항을 개인정보보호법 개정안에 통합했다.

 

[정보통신망 이용촉진 및 정보보호 등에 관한 법률]시행령 개정안의 주요 내용

 

1) 위임 근거가 사라진 조항 삭제

  - 데이터 3법 개정으로 온라인 상의 개인정보 보호를 규율하던 정보통신망법의 개인정보보호 규정이 개인정보 보호법으로 통합됨에 따라 정보통신망법 시행령 규정 중 위임근거가 사라진 조항들을 삭제했다.

 

 

[ 신용정보 이용 및 보호에 관한 법률 ] 시행령 개정안 주요 내용

 

1) 데이터 결합 절차 및 전문기관 지정

  - 금융회사가 데이터를 결합하고자 하는 경우 금융위원회가 지정한 전문기관에 결합을 신청하도록 하고, 전문기관은 해당 데이터를 결합한 뒤 가명, 익명처리 및 적정성 평가 등 충분한 안전조치를 거쳐 결합의뢰기관에 데이터를 제공하도록 했다.

 

2) 개인신용정보 전송요구권 도입

  - 정보주체의 개인신용정보 전송요구권에 따라 금융회사, 상거래기업, 공공기관이 보유한 금융거래정보, 국세, 지방세 등 공공정보, 보험료 납부정보, 기타 주요 거래내역 정보를 정보주체 본인, 금융회사, 개인신용평가회사 및 마이데이터 사업자에게 제공할 수 있도록 하였다.

 

3) 마이데이터 산업 도입

  - 개인신용정보 전송요구권을 근거로 마이데이터 산업을 도입했으며, 전자금융업, 대출 중개, 주선 업무, 로보어드바이저(robo-advisor)를 이용한 투자자문, 일임업을 다른 법령 드에 따른 허가 등을 받아 겸업할 수 있도록 했다.

 

4) 신용정보업 규제체계 선진화

  - 신용정보업자는 안전한 데이터 처리를 위한 시스템 및 설비요건을 갖추도록 하고, 허가 단위별 자본금 요건(5억원~50억원)에 따라 정해진 전문인력요건(2명~10명)을 갖추도록 하며, 신용정보업자의 데이터 분석 노하우 등을 활용해 수행 가능한 다양한 데이터 관련 업무를 다른 법령 등에 따른 허가 등을 받아 겸업할 수 있도록 했다.

 

5) 금융권 정보보호 상시평가제

  - 금융회사 및 신용정보업자들은 연 1회 이상 [신용정보법] 준수 현황을 점검하고 그 결과를 자율규제기구에 제출하도록 했으며, 제출된 결과를 바탕으로 금융당국이 필요시 현장점검, 테마 검사 등을 실시하고 취약부문 보완조치 등을 요구할 계획이다.

 

6) 금융권 정보활용 제공 동의서 개편

  - 금융위원회가 금융회사 등의 개인정보 활용 제공 동의에 따른 위험 및 혜택, 가독성 등을 고려해 정보활용 동의등급을 산정할 수 있도록 했다.

 

 

 

 

데이터 3법의 보안 활용 방안

 

데이터 3법에서 변경된 내용

1) 개인정보, 익명 정보에 추가로 가명 정보를 생성 가능

2) 정보 주체의 동의 없이 가명 정보의 활용(연구 목적)이 가능

3) 전문 기관을 통한 가명 정보의 결합과 처리 및 반출 가능

4) 본인신용정보관리업(MyData) 도입

5) 개인정보 자기 결정권 도입

 

 

 

 

개인 정보(Personal data), 가명 정보(Pseudonymised data), 익명 정보(Anonymised data)

 

개인정보 : "살아 있는 개인에 관한 정보로서 설명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보"

익명정보 : 이러한 개인정보를 삭제/변형하여 특정 개인을 식별할 수 없는 정보로 만드는 것, 해당 정보로 혹은 다른정보를 결합하더라도 개인을 식별할 수 없는 정보

 

가명정보 : 개인을 식별 할 수 있는 정보를 변형하여 개인을 알아볼 수 없는 정보.

익명정보와 가명정보의 가장 큰 차이점 : 가명정보는 암호화나 다른 정보를 결합함으로써 개인의 식별이 가능한 정보

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

출처 : KISA 2020년 1분기 사이버 위협 동향 보고서.pdf