64
\ 2019 VOL.6

KISA REPORT 6ì í ¸ 1906281HZ

  • Upload
    others

  • View
    1

  • Download
    0

Embed Size (px)

Citation preview

Page 1: KISA REPORT 6ì í ¸ 1906281HZ

\ 2019 VOL.6

Page 2: KISA REPORT 6ì í ¸ 1906281HZ

01 허위 정보, 가짜 뉴스, 폭력 및 혐오 발언과 싸우는 각국 정부 한상기 테크프론티어 대표( / )

02 게임 지형의 변화를 가져올 클라우드 게이밍 최필식 기술작가( / )

03 도약기에 접어든 중국의 시장 및 정책 박성림 국립타이베이간호건강대학 교양교육센터 강사5G ( / )

04 조양현 앰진시큐러스 대표이사5G++; Security++; Privacy--; ( / )

05 화자인식 음석인식의 보이지 않는 보안 기술 유성민 칼럼니스트: ( / IT )

06 분산원장기술 포커스 그룹 표준화 추진 염흥열 순천향대학교 정보보호학과 교수ITU ( / )

07 지역 중소기업의 정보보호 실천력 제고를 위한 소고 김창현 ( /

08 중국 개인정보보호 동향 정태인 한국인터넷진흥원 수석연구원( / )

09 개인정보자기결정권과 동의의 관계에 대한 이해 이인호 중앙대학교 법학전문대학원 교수( / )

10 및 리뷰 심상현 한국 포럼 사무국장Privacy Global Edge 2019 Asia Privacy Bridge Forum ( / CPO )

Page 3: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

1

허위 정보, 가짜 뉴스, 폭력 및 혐오 발언과 싸우는 각국 정부

지난 월 뉴질랜드에서 대량 살상의 폭력 사건 3 이 일어난 이후 호주 정부는 소셜 미디어에서 폭력적인

콘텐츠 확산에 빠르게 대처하지 못한 기업을 크게 제재하는 법안을 마련했다 해당 기업 임원을 최대 . 3

년 형을 살게 하거나 전체 매출 10%의 벌금을 물게 할 수 있는 강력한 법안이다 .1) 혐오적 폭력 자료 ‘

공유 법으로 부르는 이 법에서 지목하는 영상은 테러리스트 활동 살인 살인 시도 고문 강간 그리고 ’ , , , ,

유괴 등이 대상이다.

이 법은 월 호주 의회를 통과했다 거대 기술 기업은 이 법안이 폭력적인 콘텐츠를 제거하지 못한 4 .

기업의 누구라도 범죄자로 만들 수 있다는 이유로 크게 반발했다.2) 특히 구글 페이스북 트위터 아마 , , ,

존 버라이즌 미디어를 대변하는 호주 디지털 산업 그룹은 이 법안이 충분한 검토 없이 통과되었고 사, ,

용자들이 만든 콘텐츠로 인해 기술 기업이 벌금을 내야 하는 문제가 있다고 지적했다.

호주 정부가 이런 강력한 조치를 취하게 된 것은 당시 살해 장면이 페이스북 라이브를 통해 생중계되

었으며 그 영상이 다양한 채널을 통해 확산되었음에도 유튜브 페이스북 트위터에서 이를 막기 위한 , , , ,

책임 있는 자세를 보이지 않았기 때문이다.

유럽연합 역시 이러한 강력한 제재에 나서고 있는데 특히 주목하는 영역은 혐오 발언이다 년에 , . 2016

유럽 집행위가 페이스북 트위터 유튜브 마이크로소프트와 합의한 행동 지침 에 따르면 불법적인 혐오 , , , ‘ ’ , ‘

1) CNBC, “Australia plans tougher social media laws for companies which fail to thwart violent content quickly,” Mar 29, 2019

2) The Guardian, “Australia passes social media law penalizing platforms for violent content,” Apr 4, 2019

Page 4: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

2

발언 은 다음과 같이 정의하고 있다’ .

인종 피부색 종교 국적이나 민족을 기준으로 “ , , ,

그룹 또는 특정인에 대한 폭력과 혐오를 유도하는 대중 선동”

독일 의회는 년 독일 법을 위반하는 혐오 발언 포스팅을 시간 안에 제거하지 않는 기업에는 2017 24

최대 천만 유로를 벌금으로 부과할 수 있는 법 네트워크 강제 법 을 통과시켰다 년 월 5 (NetzDG, ) . 2018 1

일부터 시행한 이 법에서 벌금 대상은 만 명 이상이 사용하는 소셜 미디어이지만 왓츠앱과 같은 1 , 200 ,

개인 메신저 서비스는 제외했다.

유럽 집행위 디지털 싱글 마켓의 부위원장 앤드러스 앤십에 따르면 이러한 규율에 따라 이제 기업들 ,

이 문제가 있다고 판단된 콘텐츠의 를 시간 안에 삭제하고 있으며 이는 년에 비해 두 배 정89% 24 2016

도 개선된 결과라고 평가한다.3) 이는 개 미디어 기업과 합의한 행동 지침 에 의해 그 효과가 나타나고 4 ‘ ’

있다고 판단한다.

유럽 집행위의 행동 지침이 도입된 이후 각 소셜 미디어의 유해 콘텐츠 확인 비율 변화

그러나 일부 시민 단체나 언론 자유 주창자들은 불법적인 혐오 발언 의 정의가 모호하고 이를 민간 ‘ ’

기업의 판단을 통해 수행하는 문제점을 계속 지적하고 있다.4) 더군다나 페이스북이 홀로코스트를 부정

하는 콘텐츠를 삭제하지 않겠다고 나오고 있어서 논란의 여지가 남아 있다.5) 페이스북은 반유대주의는

3) Deutsche Welle, “EU hails social media crackdown on hate speech,” Apr 2, 20194) Deutsche Welle, “Users #StandWithHateSpeech to debate EU agreement,” Jan 6, 2016

Page 5: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

3

커뮤니티 표준을 위배한 것으로 보지만 홀로코스트 부정은 심각하게 공격적이라고 보고 있지 않기 때문

이다.

영국에서는 정부 주도로 연구 발행한 온라인 유해 백서 ‘ (Online Harms White P 가 공개되면서 논aper)’

란이 커지고 있다 년 자살한 몰리 러셀 사건과 뉴질랜드 크라이스트처치 총기 난사 사건이 이런 . 2017

조사를 하게 된 계기이다 이 백서에서는 정부가 테러리스트 활동이나 아동 성적 착취와 같은 특정한 .

이슈에 대해 직접적인 규제를 가할 수 있으며 소셜 미디어 기업의 연간 투명성 보고서에서 유해 콘텐,

츠가 얼마나 퍼졌고 그에 대해 어떤 조치를 취하고 있는가를 공개해야 하며 경찰과 다른 법 집행 기관,

이 폭력 선동이나 불법적인 무기 판매와 같은 불법적 유해물에 대해 협력해야 한다는 권고안을 담고 있

다.6)

특히 이를 통해 새로운 법안을 준비하는데 여기에는 불법적이지 않지만 유해한 행동을 방지하도록 ,

노력해야 하는 기업의 책임을 언급하면서 이런 관리 의무를 다하지 않은 기업에 대해서 벌금을 부과하

거나 고위 임원에 대해 사법 조치를 취하거나 사이트 전체를 폐쇄할 수 있다는 내용이 담길 수 있다고

보고 있다.7)

프랑스 역시 년 월에 새로운 법을 통과시켰는데 이는 선거 캠페인 기간에 2018 11 , 가짜 뉴스를 즉각

삭제하라고 판사가 명령할 수 있는 권한을 주는 법으로 서유럽에서 잘못된 정보를 추방하기 위한 첫 ,

번째 공식적인 시도로 평가된다.8) 이를 통해 후보나 정당은 선거 개월 전부터는 허위 정보 를 중지해 3 ‘ ’

달라고 판사에게 요청할 수 있게 되었다 나아가서 프랑스 방송 위원회는 해외 국가가 운영하거나 상당. ,

한 영향력을 행사하는 텔레비전 채널에 대해서도 중단시킬 권한을 갖게 되었다 위반한 사람은 . 년1 이

하의 징역이나 유로의 벌금을 내야 한다75,000 .

스웨덴 아일랜드 체코 공화국 역시 가짜 뉴스를 억제하는 법률에 관해 관심을 보이거나 법 제정을 , ,

진행하는 중이다 인도는 . 가짜 뉴스를 퍼뜨리는 것으로 의심되는 저널리스트를 정직할 수 있는 법을 만

들다 철회했고 말레이시아는 , 가짜 뉴스를 퍼뜨리는 자는 전통적인 뉴스 기관 디지털 출판사 소셜 미디 , ,

어를 망라해 년 이하 징역이나 파운드의 벌금을 부과할 수 있는 법을 통과시켰다 태국 싱가포6 88,000 . ,

르 필리핀 역시 관련 법률을 만들거나 보고서를 준비 중이다, .

각 나라는 가짜 뉴스 라고 부르는 허위 정보나 조작된 콘텐츠가 선거 등에 개입해 민주주의에 큰 위 ‘ ’

협이 될 수 있다는 우려로 인하여 관련 대응책 마련에 더욱 더 신경을 쓰고 있다 그러나 조작된 콘텐.

츠가 어디까지 삭제 대상이고 어디까지가 표현의 자유인가에 대한 논란이 계속되고 있다 국경 없는 기. ‘

자회 는 저널리즘 신뢰 이니셔티브 를 만들어 향후 엄격하고 신뢰할 수 있는 저널리즘을 위한 투명성’ ‘ ’ ,

신뢰 이슈에 대한 표준을 만들고 인증할 방안을 찾고 있다.9)

5) Vox, “The controversy over Mark Zuckerber’s comments on Holocaust denial, explained,” Jul 20, 20186) UK Government, “Online Harms White Paper,” Apr 8, 20197) The Guardian, “Internet crackdown raises fears for free speech in Britain,” Apr 8, 20198) Euronews, “France passes controversial ‘fake news’ law,” Nov 22, 20189) Reporters Without Borders, “RSF and its partners unveil the Journalism Trust Initiative to combat

Disinformation,” Apr 3, 2018

Page 6: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

4

최근 미국 하원 의장 낸시 펠로시의 발언 영상을 조작해 그녀가 마치 술에 취하거나 인지에 문제가

있는 것과 같은 영상이 퍼졌다 심지어 트럼프가 이를 트위터에 게시할 정도였다. .10) 이 영상이 조작된

것이 알려지자 펠로시는 주요 소셜 미디어에 삭제를 요청했고 이에 유튜브는 바로 삭제했으나 페이스, , ,

북은 거부했다 더군다나 페이스북의 사실 검증을 하는 제 기관에 의해 허위 로 확인되었음에도 불구하. , 3 ‘ ’

고 페이스북은 영상 확산 방지를 위해 노력할 뿐 삭제하지 않았다.

이에 대한 반발로 두 명의 예술가와 이스라엘의 광고 스타트업 캐니 가 저커버그가 등장 AI(Canny AI)

하는 조작 영상을 인스타그램에 올렸다 그러나 이는 명확히 조작된 것임을 분명히 확인할 수 있어 어. ,

떤 악의적인 의도가 아닌 풍자의 성질이 강함을 알 수 있다.11)

이런 영상은 앞으로 다가오는 각종 중요한 선거에서 조작된 영상이 매우 중대한 변수가 될 수 있음을

보여주고 있다 미 의회 정보 위원회는 소위 딥페이크 라고 부르는 인공지능 활용 기술로 만드는 거짓 . ‘ ’

영상이 년 대통령 선거에 어떤 위협이 될 수 있는가를 검토하기로 했다2020 .12)

이미 정치인을 내세운 영상이 얼마든지 조작될 수 있음을 보여준 여러 사례를 과거 리포트에서도 KISA

밝힌 바가 있다.13) 펠로시 영상은 딥페이크 수준의 기술도 아닌 아주 단순한 조작임에도 크게 문제가

된 것처럼 더욱 정교하고 쉽게 판단할 수 없는 수준의 영상과 음성 조작 기술이 나타나고 있으므로 앞,

으로도 이 문제는 정치 사회 언론 사법 기관 간의 중요한 이슈가 될 것이고 특히 선거를 앞둔 국내 , , , ,

상황에서도 매우 민감한 이슈가 될 것이다.

각국의 상황이나 사회에서 용납하지 못하는 수준의 혐오 발언이나 폭력 유도 허위 정보와 거짓 뉴스 ,

를 어느 기준으로 금지하거나 소셜 미디어에서 추방할 것인가 하는 문제는 앞으로 인터넷 전체의 신뢰

문제 차원에서 매우 중요하게 논의해야 하는 이슈이며 건강한 민주주의를 위해서 기준과 합의를 이루,

어 내야 하는 과제이다.

10) New York Times, “Distorted Videos of Nancy Pelosi Spread on Facebook and Twitter, Helped by Trump,” May 24, 2019

11) New York Times, “A Fake Zuckerberg Video Challenges Facebook’s Rules,” June 11, 201912) CNN, “Congress to investigate deepfakes as doctored Pelosi video causes stir,” Jun 4, 201913) 한상기 인공지능의 악용 딥페이크의 문제 년 월, “ , ,” KISA Report, 2018 8

Page 7: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

5

게임 지형의 변화를 가져올 클라우드 게이밍

집에 게이밍 가 없어도 혹은 콘솔 게임기가 없어도 에서 게임을 즐기고 모바일에서 콘솔 게 PC , TV PC

임을 즐기는 시대 이것은 더는 미래의 상상이 아니라 이미 우리 가까이 다가온 현실이다 유무선 네트, , .

워크 전송 성능과 품질의 향상은 인터넷을 통해 컴퓨팅 자원을 끌어다 쓰는 클라우드 컴퓨팅의 빠른 발

전을 불러왔고 이미 고성능의 하드웨어를 요구했던 게임마저 클라우드 컴퓨팅 환경에서 게임을 실행하,

고 즐길 수 있을 만큼 진화했다.

분명 클라우드 게이밍은 콘솔이나 같은 독립된 게이밍 환경에 없는 장점도 있다 모바일과 콘 PC . PC,

솔 등으로 나뉜 플랫폼의 경계를 무너뜨리고 조금 더 쉽고 빠르게 저비용으로 고품질 게임을 즐길 수

있다 반면 서비스의 미래가 장밋빛으로 물든 것은 아니다 클라우드 컴퓨팅 인프라를 구축하고 게임을 . , .

실행할 기술력을 확보하더라도 네트워크 성능과 서비스 지역별 인프라 투자 같은 변수에 따라 게임 체

인저의 운명이 갈릴 수 있기 때문이다.

알려진 클라우드 기반 스트리밍 게임 서비스

엔비디아 지포스 나우(Nvidia Geforce Now)

엔비디아가 기반 그리드 컴퓨팅 기술을 이용한 클라우드 게이밍 서비스로 쉴드 에서 베타 서 GPU TV

비스를 시작한 뒤 년 에서 지포스 나우 포 를 발표하고 와 맥에서 베타 서비스를 시작했2017 CES PC PC

Page 8: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

6

다 처음 지포스 나우는 용 게임을 클라우드에서 실행해 무료로 제공하다 일부 게임을 월 구독 형. PC PC

태로 유료로 제공하고 있다 또한 지포스 나우 포 베타 서비스부터 스팀에서 구입한 게임 중 일부를 . PC

실행할 수 있는데 현재 개 이상의 트리플 게임이 서비스 중이다 최근 엔비디아는 지포스 그리드 , 500 A .

서버의 그래픽 카드를 에서 로 전환하기로 했다 최근 엔비디아는 지포스 나우 얼라이언스에 참GTX RTX .

여한 한국 유플러스와 일본 소프트뱅크 등 이동통신사와 협력해 지포스 나우를 위한 장비를 공급한LG

다고 밝혔다.

구글 스태디아(Google Stadia)

에서 공개한 구글의 클라우드 게이밍 서비스로 아직 GDC 2019(Game Developers Conference 2019)

완전한 형태는 아니지만 크롬 기반 디바이스라면 모바일이나 등 운영체제를 가리지 않고 접속, PC, TV

할 수 있는 것이 장점이다 현재 목표는 프레임으로 스트리밍 하는 것이 목표이고 도 목표로 하. 4K 60 8K

고 있다 전용 컨트롤러는 무선 랜을 통해 게임을 실행 중인 클라우드 컴퓨터에 직접 연동되도록 설계.

했다 는 와 협력했고 구글 데이터 센터를 중심으로 서비스를 전개할 예정으로 미국과 유럽에 . GPU AMD ,

우선 베타 서비스를 진행한다 다만 기존 게임을 그대로 실행할 수 있는 것은 아니어서 개발사가 구글 .

스태디아에 맞춰 일부 실행 코드를 준비해야 한다 구글은 에서 스태디아의 세부 사항을 공개했. E3 2019

는데 구독형과 무료형 서비스를 오는 월부터 베타 형태로 시작한다고 밝혔다, 11 .

구글이 공개한 스태디아 컨트롤러

와이파이를 통해 게임을 실행한 클라우드 서버와 직접 통신하도록 설계됐다( )

출처 구글 스태디아 웹사이트 [ : ]

Page 9: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

7

마이크로소프트 프로젝트 클라우드x (Microsoft Project xCloud)

마이크로소프트가 준비하고 있는 클라우드 게이밍 서비스로 원 게임 을 XBOX (XBOX One Game)

원 콘솔이 없어도 나 모바일 등 다른 플랫폼에서 실행할 수 있다 또한 년 발매할 차세대 XBOX PC . 2020

인 프로젝트 스칼렛에 설치된 게임도 프로젝트 클라우드를 통해 원격으로 실행할 수 있다고 XBOX x E3

에서 밝히기도 했다 마이크로소프트는 모든 장치에서 콘솔 수준의 게임을 즐기게 하려는 목표로 2019 .

원 부품으로 구성된 블레이드 서버를 데이터 센터에 넣어 시험 중이다 클라우드의 특징은 기존 XBOX . x

원 게임과 호환성이 높고 마이크로소프트 애저XBOX (Azure)1)와 플레이팹 에 연결되는 개발 도(PlayFab)

구가 준비되어 있다는 점이다 여기에 년 삼성 개발자 컨퍼런스에서 삼성과 협업을 발표하면서 갤. 2018

럭시 스마트폰에 대한 지원을 공식화했다.

소니 플레이스테이션 나우(Sony Playstation Now)

소니는 이미 클라우드 스트리밍 게임 서비스인 플레이스테이션 나우를 서비스 중으로 비디오 게임 스

트리밍을 위한 기술을 개발한 가이카이 를 년에 인수한 이후 서비스를 개발해 연간이나 월간 (Gaikai) 2012

또는 일정 기간 구독 형태로 상용 서비스 중이다 플레이스테이션 게임을 비롯해 플레이스테이션 와 . 4 3

플레이스테이션 게임을 모두 합쳐 개 이상의 게임을 스트리밍으로 즐길 수 있다 이 서비스에 가2 750 .

입하지 않는 친구에게도 게임을 스트리밍으로 공유할 수 있는 것이 특징이다PSN(Playstation Network) .

다만 플레이스테이션 나우는 소니 플레이스테이션 와 만 지원하고 모바일은 아직 지원하지 않는다4 PC .

현재 북미와 영국 유럽 일본만 서비스 중이다, , .

프로젝트 아틀라스EA (Project Atlas)

는 년 월 자사 블로그를 통해 클라우드 게이밍을 위한 프로젝트 아틀라스를 발표했다 가 EA 2018 10 . EA

오리진을 통해 유통하고 있는 자사의 모든 게임 타이틀을 클라우드에서 실행해 즐기는 스트리밍 게임으

로 와 모바일 콘솔 등 플랫폼에 상관없이 즐길 수 있도록 기술을 준비하고 있다 하지만 단순히 기존 PC , .

게임을 클라우드에서 실행하는 것으로 끝나는 것이 아니라 새로운 게임의 개발 단계부터 프로스바이트

의 게임 엔진과 게임 서비스 및 인공 지능을 완벽하게 통합하여 클라우드 기반 세계에 최적화된 새로운

게임 개발 플랫폼이 될 것이라고 밝혔다 다만 다른 클라우드 게이밍과 비교해 어떤 모습을 갖게 될 것.

인지 드러난 정보가 없지만 는 미래를 위해 이 프로젝트를 진행하고 있음을 분명히 하고 있다, EA .

전용 하드웨어 한계 극복하고 관리 쉬운 클라우드 게이밍

클라우드 게이밍은 게임을 다운로드하거나 설치하는 과정을 모두 건너뛰고 이용자는 서비스에 접속해

계정 정보를 입력하고 원하는 게임을 선택하면 거의 즉시 게임을 시작할 수 있다 클라우드에서 게임을 .

실행하므로 게임을 설치할 전용 하드웨어를 따로 둘 필요가 없다 나 모바일 등 컴퓨팅 파워가 . PC TV,

1) 마이크로소프트 클라우드 컴퓨팅 플랫폼

Page 10: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

8

낮더라도 클라우드 게이밍 서비스의 실행 데이터를 받을 수 있는 실행 장치만 있으면 게임을 즐길 수

있는 만큼 게임 플랫폼의 적용 범위가 넓어진다.

더구나 이용자가 즐길 게임은 단 몇 분이면 실행을 위한 준비 작업을 끝낼 수 있는 데다 게임에 대한

새로운 업데이트가 있더라도 이용자가 업데이트 작업을 기다릴 필요 없이 미리 사전에 처리해 둔다 여.

러 플랫폼에 맞춰 개발하지 않아도 되므로 게임 발매 뒤 이용자에게 도달되는 시간이 비교할 수 없을

만큼 짧아지는 것이다 일부 클라우드 게이밍 서비스는 다운로드 기능도 제공하겠지만 굳이 이용자가 . ,

이 옵션을 선택하지 않는다면 게임의 도달 시간이 무척 짧아진다.

클라우드 x

원 게임을 모바일에서도 즐길 수 있는 클라우드 게임 서비스(XBOX )

출처 마이크로소프트 유튜브[ : ]

또 다른 특징은 게임의 관리적 측면이다 이용자는 구매한 게임에 대한 이력 또는 즐긴 게임에 대한 . ,

이력을 일일이 관리할 필요가 사라진다 이미 모든 정보는 클라우드에 남아 있기 때문이다 물론 이용자. .

가 해당 클라우드 게이밍 서비스의 계정을 삭제하고 떠난다면 구매했던 게임이나 즐겼던 게임에 대한

정보 또는 저장된 데이터까지 사라질 수도 있다 그래도 해킹 같은 외부의 위협에 대비하면서 이용자 .

데이터를 보호하는 장치를 갖고 있는 클라우드 게이밍 서비스가 이용자에게는 훨씬 편한 방식일 수밖에

없다.

여기에 클라우드 게이밍 사업자에게는 설비뿐 아니라 보안 기술 측면에서 상당한 부담을 줄 수도 있

는 문제다 하지만 개발사와 유통사 모두 게임 콘텐츠의 불법 공유와 같은 문제에서 좀 더 자유로울 수 .

있는 데다 더욱 안전한 환경을 위한 게이밍을 기존 방식과 차별화로 내세울 수 있는 만큼 이에 대한 장

치를 준비하는 것은 매우 중요한 일이다.

Page 11: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

9

게임 유통 방식의 변화 예고인터넷이 보급되기 전 롬팩이나 디스켓 및 등 여러 저장 매체에 담겨 게임 매장에서 판매했 , CD DVD

고 이를 이용자가 구매해 콘솔에 꽂거나 에 설치해서 즐기는 방식이 주를 이뤘다 인터넷의 속도가 , PC .

점점 빨라지고 초고속 인터넷이 보급되기 시작하면서 다운로드 방식이 확산되었다 다운로드 방식은 게.

임 콘솔 또는 게임 유통 플랫폼에 접속해 게임을 구매하면 인터넷을 통해 즉시 실행 가능한 게임이 PC

전송되는 방식이다 시간을 절약하는 장점 덕분에 스팀을 비롯해 오리진 유비 소프트 유니티. EA , , , XBOX

게임 스토어 플레이스테이션 스토어 등이 게임 유통 플랫폼으로 자리를 잡았다, .

그런데 클라우드 게이밍이 시작되면 유통 방식에 변화가 불가피하다 비록 다운로드 없이 실행한다는 .

점을 제외하면 즐길 게임마다 결제하는 기존 플랫폼의 구매 방식과 크게 다르지 않을 수도 있지만 게,

임을 하나씩 구매하는 기존 방식이 아닌 구독 모델 쪽이 더 적합하기 때문이다.

소니 플레이스테이션 나우

(이미 서비스 중인 클라우드 게임 서비스로 게임별 대여 또는 월 구독 형태로 즐길 수 있다)

출처 소니 플레이스테이션 웹사이트[ : ]

구독 모델은 넷플릭스처럼 이용자가 매달 요금을 지불하면 플랫폼에 있는 모든 게임을 실행하는 방식

이다 물론 게임 구독 모델은 이미 기존 게임 유통 플랫폼에서도 적용 중인 부분이기는 하다 가 오리. . EA

진 액세스 베이직 프리미어 를 통해 게임들을 무제한 제공하고 있고 엔비디아도 지포스 나우에서 부분 ( , ) ,

구독 모델을 시행하다 현재 무료로 스트리밍 게임을 제공 중이다 소니 플레이스테이션 나우도 월 . 19.99

달러의 구독 모델이 있지만 게임마다 가격을 달리 매겨 판매 중이다, .

하지만 클라우드 게이밍은 처음부터 구독 모델을 내세운 서비스가 출현이 예고된 상태다 구글은 스 .

Page 12: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

10

태디아의 구독 모델을 유료와 무료로 나눌 계획이라고 밝혔다 스태디아 유료 구독 모델은 화질로 . 4K

즐길 수 있고 무료 모델은 게임만 즐길 수 있다 마이크로소프트는 년 클라우드 게이밍 서, 1080P . 2020

비스를 시작할 예정이라 구독 서비스를 확정 짓지 않았지만 현재 월 달러로 책정된 마이크로소프트 , 9.99

게임 패스를 활용해 전체 게임을 실행할 수 있도록 할 예정이다XBOX .

개발사 플랫폼 요금 특이사항

EA 오리진 액세스

베이직 월 원 5,000또는 연간 원33,900 구 버전 개 이상144

프리미어 월 원 16,500또는 연간 원107,500 신규 출시 게임 포함

엔비디아 지포스 나우 현재 무료 향후 정식 서비스 요금 공개 예정

구글

스태디아

유료 월 달러 9.99 게이밍4K

무료 게이밍1080P

소니 플레이스테이션 나우 월 달러19.99 개 이상의 플레이스테이션 600 3 및 플레이스테이션 게임4

지연 시간 이라는 걸림돌 클라우드 센터 분산은 과제‘ ’ ,

게임을 실행한 클라우드 센터까지 중계 과정이 많아질수록 게임의 지연 은 불가피하다 지연이 (latency) .

발생하는 이유는 이용자가 게임 컨트롤러를 조작했을 때의 반응이 게임에 반영되어 그 결과가 되돌아올

때까지 시간이 걸리기 때문이다 지연이 발생하면 게임의 조작과 화면의 반응이 다르게 나타나므로 게.

임을 제대로 즐길 수 없는 터라 이를 최소화해야 하는 것이 클라우드 게이밍의 최대 걸림돌이다 클라.

우드 게이밍의 지연 시간은 이하여야 큰 지장 없이 즐길 수 있을 것으로 예상한다50ms .

이를 해결하기 위한 가장 큰 변수는 클라우드 게임을 실행하는 센터가 얼마나 가까운 곳에 있느냐다 .

물론 네트워크 속도도 매우 중요하지만 아무리 빠른 네트워크라도 클라우드 센터와 멀리 떨어질수록 ,

수많은 중계 장치를 거치면서 발생하는 지연으로 문제가 더 크기 때문이다 예컨대 한국에서 미국의 클.

라우드 센터에 접속해 게임을 실행하면 컨트롤러에서 입력된 데이터를 외국의 클라우드 센터에서 처리

해 다시 돌아오기까지 장치에서 공유기를 비롯해 인터넷 사업자 망 국제망 외국 서비스망을 차례로 갔, ,

다가 오는 만큼 지연이 발생할 수밖에 없다 실제 미국 내에서 테스트 중인 구글 스태디아는 미국 내에.

서 지연시간이 발생했지만 유럽에서 미국 서버에 접속할 경우 사실상 가 넘는 지연 시간166ms , 250ms

으로 인해 게임이 거의 불가능하다 반면 프로젝트 클라우드는 에서 의 지연 시간을 보여. x E3 2019 63ms

준 터라 현실적인 가능성을 열었다.

Page 13: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

11

엔비디아 지포스 나우

출처 엔비디아 유튜브[ : ]

결과적으로 지연을 없애는 가장 좋은 방법은 클라우드 게이밍을 위한 클라우드 센터를 이용자와 가까

운 곳에 구축하는 것이다 이러한 설비의 구축 없이 서비스부터 시행할 수 없는 것이 엄연한 현실이고 .

실제 클라우드 게이밍 사업자들도 자신들의 데이터 센터가 있는 지역 위주로 서비스를 시작했거나 예고

하는 중이다 뛰어난 클라우드 게이밍 기술을 가진 클라우드 게이밍 기업이라도 물리적 한계라는 뛰어.

넘을 수 없는 한계가 존재한다.

그 때문에 클라우드 기반의 스트리밍 게이밍은 상당한 자본 의 투입이 필연적이다 각 지역 또는 국가 . ,

마다 스트리밍 게임을 위한 클라우드 센터를 두는 것이 이상적인 모델이기 때문이다 여기에 그래픽 처.

리를 위한 컴퓨팅 파워까지 추가로 갖춰야 하고 서비스를 염두에 둔다면 엣지 클라우드 센터의 확, 5G

보도 큰 숙제다 때문에 수많은 게임을 즐길 수 있는 서비스를 내놓더라도 인프라에 기반을 둔 품질 문.

제를 해결하지 못한 지역에서 클라우드 게이밍은 접하기 어려울 것이다.

게임도 스트리밍 결국 승부는 게임에서4K , …

게임의 다운로드와 설치 없이 곧바로 즐기는 클라우드 게이밍이 가능해진 것은 결국 네트워크 성능이

향상된 덕분이다 특히 대부분의 클라우드 게이밍은 최대 해상도로 서비스될 예정인데 넓은 인터넷 . 4K ,

대역폭을 확보하고 있다면 이를 수행하는 것은 무리는 없을 듯하다.

Page 14: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

12

구글의 밝은 게임 해상도별 요구되는 네트워크 대역폭

게이밍 환경에서 높은 대역폭을 요구하고 있다(4K )

출처 구글 스태디아 웹사이트[ : ]

구글은 로 게임을 즐기려는 이용자에게 최소 의 대역폭을 요구하고 있다 기가 비트 인터넷 4K 35Mbps .

이 보급되는 상황에서 그리 많은 대역폭을 차지한다고 보기는 어려운 수준이다 게임은 초당 . 1080P

적게는 정도의 대역폭으로도 서비스가 가능하다10Mb, 5Mb .

다만 현재 넷플릭스 유튜브 등 서비스에 불만을 가진 인터넷 서비스 제공자들로부터 제기됐던 , OTT

망 중립성 문제가 다시 한 번 불거질 가능성도 있다 새로운 인터넷 서비스나 스마트 같은 장치를 . TV

통해 망 폭증을 야기할 때마다 거세게 저항했던 인터넷 서비스 사업자들 입장에서 넓은 대역폭을 요구

하는 스트리밍 게임 역시 부담을 토로할 가능성이 높다.

하지만 가장 큰 문제는 역시 게임이다 각 클라우드 게이밍 플랫폼이 얼마나 많은 대작 게임 타이틀 .

을 확보했는지 또는 대작에 버금가는 독점 타이틀을 얼마나 제공하느냐에 따라 희비가 교차할 수밖에 ,

없다 이용자가 고성능의 컴퓨팅 자원을 추가하지 않고 클라우드에서 실행된 고품질 대작 게임을 와 . PC

콘솔 모바일 등 다양한 장치에서 즐길 수 있다는 장점을 강조하려면 그러한 능력을 보여줄 게임이 필,

요하다 벌써 클라우드 게이밍 플랫폼마다 대규모 자본이 투입된 트리플 게임들의 확보에 열을 올리는 . A

것도 그런 이유다 고품질 스트리밍 기술과 지연 없는 게이밍 인프라 여기에 게임이라는 요소를 잘 . 4K ,

버무려내는 클라우드 게이밍이 무엇인지 지켜볼 일이다.

Page 15: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

13

도약기에 접어든 중국의 시장 및 정책5G

경제성장 및 사회발전의 새로운 동력5G:

기술은 기존 및 와 비교할 수 없을 정도로 빠르게 수많은 데이터를 전송 및 연결하는 핵심 5G 3G 4G

기술이다 기술의 중요성은 먼저 끊김이 거의 없는 초고속 전송기술이라는 점과 함께 차세대 통신. 5G △

기술 기존 경제와 사회 네트워크의 재구성 군사 안보적 측면에서 주목을 받고 있다 이에 중국 미, , . , △ △

국 유럽연합 일본 등 세계 각국이 의 조속한 상용화와 더불어 인프라 구축에 뛰어들고 있다 지난 , , 5G .

년 월 일 우리나라는 세계 최초로 이동통신 서비스를 시작하는 쾌거를 이룩했다 그러나 서2018 12 1 5G .

비스 시작은 말 그대로 시작이며 향후 본격적인 서비스 추진을 위해서는 국내 인프라 구축과 단말기 ,

공급 통신사들의 요금 확정 등 다양한 단계를 거칠 것으로 보인다 이 과정에서 중국 미국 일본 영국 , . , , ,

및 독일 등 분야에서 선두그룹을 형성한 국가들의 경험을 참조하는 것은 정책 입안 및 향후 발생 5G

가능한 이슈에 대한 선제 대응에 도움이 된다 특히 우리와 인접한 중국은 년부터 베이징 상하이 . , 2018 ,

와 같은 연해 지역 도시를 중심으로 기지국 설치 및 시범 서비스를 추진하고 있어 중국의 서비스 , 5G

현황 및 정책지원을 살펴보는 것은 향후 우리 기술 및 지원 진흥을 위해 매우 큰 의미를 지닌다 하5G

겠다.

본고에서는 이 같은 문제의식에서 출발해 년 월까지의 중국 시장 규모 네트워크 구축 단말 2019 5 5G , ,

Page 16: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

14

기 생산현황 베이징 상하이 광저우 선전 등에서의 시범 서비스 현황과 더불어 성장세를 이끌어온 주, , , ,

요 기업들을 소개하고자 한다 년부터 지속되는 중미 무역전쟁의 쟁점인 화웨이는 네트워크 구. 2018 5G

축이 주요 사업인 통신장비 기업이며 또한 세간의 관심사인 단말기보다는 통신망 구축을 주력사업, ZTE

으로 한다 통신망 구축기업 외에 단말기 제조사들 역시 실제 서비스 시행단계에서는 중요한 역할을 하.

며 샤오미 오포 화웨이 등 단말기 제조사들의 주요 제품 및 생산현황에 관한 논의를 덧붙이고자 , , , ZTE,

한다 이어서 기업들의 성장세 뒤에서 시장 조성 및 인프라 구축을 담당하는 중국 정부정책을 소개할 .

예정이며 년 중국제조 부터 기술진흥 정책 을 다룰 예정이다 마지막으로 중국 기업과 정, 2013 ‘ 2025‘ ’5G ‘ .

부의 노력이 중국을 기술의 선두 국가로 자리매김했음을 확인하는 한편 이와 같은 성장세를 가로막5G

을 수 있는 전략적 리스크를 제시함으로써 마무리하고자 한다.

년 중국 현황2019 5G

년 월 기준 중국 상용화의 현황은 시장 및 투자 규모 시험 서비스 추진 및 기지국 구축 2019 5 5G 1) , 2) ,

상용 단말기 생산 및 공급 현황으로 확인할 수 있다 우선 시장 및 투자 규모의 경우 중국 공업정보화3) . ,  

부 산하 컨설팅 의 연구에 따르면 년 중국 산업투자 규모는 약 억 ( )   CCID  ( ) , 2019 5G 175工信部 迪赛 顾问

만 위안 한화 약 조 원 에 달하며 이 같은 투자 규모는 년까지 억 만 위안 한화 6,000 ( 3.31 ) , 2024 2,216 5,000 (

약 조 원 으로 증가할 것으로 전망했다 또한 공업정보화부 부속기관인 중국 정보통신연구원의 분석37 ) . ,  

에 따르면 년까지 상용화로 창출되는 일자리가 만 개를 넘어설 것으로 예상하며 특히 네트2025 5G 300 ,

워크와 모바일 단말기 고도화 및 교체와 더불어 산업 데이터 분석 인텔리전트 알고리즘 개발 등의 분야,  

에서 새로운 일자리가 만들어질 것으로 전망했다.

두 번째로 시험 서비스 및 기지국 구축 현황 역시 베이징 상하이 선전 등 전통적인 중국경제의 성장 , , ,

축인 해안지역 도시 뿐 아니라 중서부 내륙지역에서도 추진되는바 전 방위적 테스트 및 기지국 설치가 ,

추진되고 있다고 볼 수 있다 차이나유니콤은 화웨이와 더불어 년 월 베이징에 첫 기지국을 . 2018 10 5G

설치와 함께 시범 서비스를 시행했다 년 월 일 중국 남부의 광동성에 소재한 광동 차이나유니. 2019 1 16

콤은 와 함께 시제품 스마트폰인 방식의 통화 테스트를 진행했다 또한 세기 경제보도는 ZTE 5G NSA . , 21

년 월 일 베이징 상하이 광둥 등 총 전국 개 도시 및 지역에서 첫 통화가 발생했다고 보2019 4 26 , , 16 5G

도했으며 비단 전통적인 경제성장의 축인 해안지역 도시 뿐 아니라 중서부 내륙지역 도시도 개나 포, 7

함되었다 년 월 일 통신 가오 원하오 부사장은 올해 월 일부터 상용화 서비스가 전. 2019 5 21 ZTE 10 1 5G

국적으로 시행될 예정이라고 발표했으며 차이나유니콤 차이나텔레콤 및 차이나모바일은 월 일까지 , , 10 1

전국 개 도시에 만 만 개의 기지국을 구축해 서비스 시행을 할 것이라고 언급했다 시험통화와 더40 3 ~5 .

불어 기지국의 경우 차이나모바일은 년까지 중국 전역에 개를 상회하는 기지국을 설치할 , 2020 10,000 5G

예정이며 특히 년 내로 상하이에 개 넘는 기지국을 조성하고 년까지 개에 달하는 , 2019 10,000 2021 30,000

기지국을 구축해 역내 커버리지를 강화할 예정이라고 한다 상하이와 더불어 중국 남서부지역의 장시성.

에도 년까지 개의 기지국을 설치할 예정이다2020 20,000 .

Page 17: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

15

마지막으로 단말기 출시를 들 수 있다 화웨이 샤오미 오포 등 국산 휴대전화 제조사들은 . , , , ZTE 5G

스마트폰 출시를 추진하고 있으며 지난 에서 세계 최초로 세계이동통신 표준화협력기구 규, MWC 2018

격에 따른 상용 칩셋 을 선보이는 한편 세계 최초로 통화를 선보인 바 있고 다운5G 'Balong 5G01' 5G ,

링크 속도는 이론적으로 까지 높일 수 있다고 자신하지만 전문가들은 초기 출시 모델에서는 2.3Gbps , 5G

이 정도 속도를 내기는 어려울 것으로 전망하고 있다 년 월 중국 선전에서 개최된 글로벌 애널리. 2019 2

스트 회의에서 후 호쿤 화웨이 부회장은 폴더블폰 타입의 단말기가 년 중반 내로 출시될 것이5G 2019

라고 언급했으나 구체적인 샘플을 공개하지는 않았다 샤오미는 년 월 스마트폰 를 스위. 2019 5 5G MIX3

스에서 발매했으며 의 는 중국 국가인증 단계 후 년 월에 출시될 예정이다, ZTE Axon Pro 5G 2019 7 .

샤오미 좌 우Mix3( ), ZTE Axon Pro 5G( )

이러한 중국 의 급격한 성장세를 이끄는 중요한 축으로는 기업과 정부의 진흥 정책을 들 수 있으5G

며 특히 분야에서 압도적인 기술력과 경쟁력을 갖춘 화웨이는 중국뿐 아니라 세계 전역에서 주목을 , 5G

받고 있다 화웨이는 년에 설립된 이후로 년부터 현재까지 세계 여 개 국가에서 유무선 네. 1987 1997 170

트워크 구축 및 관련 장비 단말기를 함께 생산할 수 있는 기업으로 성장했다 특히 화웨이는 네트, . 5G

워크 구축 및 장비생산에서 개의 기술특허를 보유하고 있으며 폴라코드 분야 특허에서도 전체 특1,481 ,

허의 를 가지고 있으며 또한 네트워크 및 관련 장비 분야에서 개의 기술특허 전 세계 50% , 5G 1,529 5G (

특허 중 를 보유하고 있다 계약체결 측면에서 볼 때 화웨이는 유플러스와 더불어 이탈리아 5G 29%) . , LG

카타르 오레두 등 유럽 중동 아시아 등 세계 개국 여개 통신사와 대의 네트워크 TIM, , , 40 150 24,000 5G

장비 판매를 계약했으며 년 월에는 러시아와 네트워크 구축계약을 체결했다 이처럼 현재 화, 2019 5 5G . ,

웨이는 전 세계 통신시장에서 의 점유율을 자랑하며 에릭슨 노키아 및 삼성 을 상회31% , (30%), (24%) (9%)

하고 있고 항저우 선전 밀라노 등에서 기지국을 구축한 바 있다, , , 5G .

네트워크 장비 측면에서 볼 때 화웨이의 텐강 은 기지국의 칩셋으로 기존 칩셋보다 데이터 처리 , ‘ ’ 5G

용량이 배 많고 하나의 칩셋으로 개의 채널을 관리하는 강점이 있다 또한 전력 증폭기 및 안테나 2.5 , 64 . ,

Page 18: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

16

배열을 개의 소형 안테나로 통합할 수 있으며 대의 넓은 대역폭을 한 번에 처리하는 기능이 1 , 200MHz

있는바 이통사는 텐강을 통해 기존 규모보다 작고 가벼우면서도 전력 소비량은 감소한 , 50% 23% 21%

소형 기지국을 운영할 수 있다 또한 화웨이는 무선 인터페이스 기술과 아키텍처 및 스트베드를 포함한 . ,

시스템을 연구하고 있으며 이미 에서 기반 커넥티트카 및 드론을 선보End to End 5G , MWC 2017 5G

인 바 있다 장비 이외에 단말기에서도 화웨이는 강점을 보이고 있다 화웨이는 에서 자사의 . . MWC 2019

첫 단말기인 메이트 를 공개했으며 자사에서 개발한 모뎀 칩셋인 발롱 를 탑재해 속도가 5G X , 5G 5000

빠르고 폰의 두께 또한 매우 얇음을 강조한 바 있다, .

이처럼 압도적인 기술력과 특허를 갖춘 화웨이의 고민은 기술력과 가격이 아니라 국제정치 리스크로

년부터 시작된 미중 무역전쟁에서 미국의 타겟으로 전락한 것이 화웨이의 성장과 세계적인 확장을 2018

가로막고 있다 미국은 화웨이의 불투명한 소유구조와 오너인 린 정페이가 과거 중국군 장교로 근무한 .

점을 들어 화웨이 중국 정부의 대외정책 집행자 로 규정하고 세계 각국에 화웨이 제품 및 서비스 구매“ = ” ,

를 하지 말 것을 종용하고 있다 마이크 폼페오 미 국무장관은 올해 초부터 동맹국 또는 비동맹국을 막.

론하고 화웨이 제품을 구매하는 국가와는 협력할 수 없다는 메시지를 공개석상에서 보내고 있으며 해,

리스 주한 미국대사를 비롯한 부대사 공사참사관은 한국과 미국이 분야에서 협력 시 더 많은 성과, 5G

를 거둘 수 있다는 점을 강조하며 사실상 화웨이 제품 구매를 중단할 것을 요청하고 있다.

화웨이 외에 중국 기업으로는 네트워크 및 단말기 생산이 가능한 와 샤오미를 들 수 있으며 5G ZTE ,

는 기술개발 외 사용자 경험향상에 중점을 두어 사내 예산 및 명의 연구개발 인력을 이 ZTE 5G 10% 800

분야에 투입하고 있다 또한 소프트뱅크 및 와 양해각서를 체결하여 공동 연구개발을 추진 중이다. , KT .

이미 에서 는 이동통신 솔루션을 제공하고 차이나모바일은 네트워크로 제어하는 MWC2017 ZTE 5G 5G

산업용 로봇을 공개하며 시장의 이목을 집중시켰다 는 년 상하이에서 세계 개국 개 . ZTE 2019 MWC 25 60

통신사와의 제품 계약을 마쳤다고 발표했으며 구체적으로 차이나모바일을 비롯해 텔레포니카,

오렌지 오스트리아 인도 텔콤셀 등이다 그러나 또한 화웨이와 마찬(Telefornica), , H3A (Telkomsel) . ZTE

가지로 미국발 제재에서 자유롭지 않은데 이미 년 미국의 대이란 제재 위반으로 제품의 대미, 2018 ZTE

수출이 중단된 바 있으며 는 경영진 교체 및 벌과금 납부로 위기를 타개한 바 있다 샤오미의 경우 , ZTE .

대다수 중국 기업과 마찬가지로 보안 리스크를 지적받아 실제 휴대폰 단말기에 보안 유출 가능성이 제

기된 사건이 있었다 이에 샤오미 경영진은 자사의 기술적 실수로 이를 규정하고 공개 사과했다 그러나 . .

샤오미는 특이하게 현재까지도 미국 정부 및 사회로부터 중국 정부와의 유착 여부에 관한 질의를 받은

사례가 없는 기업이다.

중국의 진흥정책 5G

중국 정부는 년 월 국가발전개혁위원회 공업정보화부 및 과학기술부는 기업 및 학계와 함께 2013 2 ,

추진 팀을 발족했으며 년 중국제조 년 제 차 개년 국가전략 신흥산업 IMT-2020 , 2015 2025 , 2016 13 5《 》 《

발전계획 에서도 를 중점육성산업으로 지정한 바 있다 공업정보화부는 년 차세대 정보산업기5G . 2016》 《

Page 19: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

17

술계획 이하 정보산업계획 에서 년까지 기술개발 및 시험을 마무리한 후 년(2016-2020), ‘ “ 2018 5G , 2019》

까지 관련 네트워크 구축을 완료하고 년까지 상용화를 추진할 것이라는 계획을 발표하였다, 2020 5G .

정보산업계획 에 따르면 중국은 년에 중국 전역에 광섬유 네트워크 및 등 국가통신네, 2016~2020 4G 《 》

트워크 인프라 개선을 추진하는 한편 상용화 서비스 실시를 목표로 하고 있다 우선 연구개발 측면, 5G . ,

에서 표준연구 및 기술실험을 추진하는 한편 커넥티트카의 무선접속기술 조종시스템 스마트 감지5G , , ,

능력 스마트 인지 분야의 핵심기술 개발과 더불어 관련 반도체 칩 단말기 측량기기를 개발하고자 한, , ,

다 또한 실험 플랫폼 구축 중국 내외의 기업들과의 협력을 통한 기술개발 및 상용화 촉진 등을 목. , , 5G

표로 한다 이를 위해 년까지 핵심기술 개발 및 시험을 추진하는 한편 년까지 네트워크 구축. 2018 , 2019

을 추진하고 년까지 상용화를 추진할 것이라고 한다, 2020 .

시사점

이처럼 중국은 상용화를 추진하기 위해 기업의 자구적 노력과 정부 차원의 정책적 지원이 병행되 5G

고 있다 특히 화웨이의 사례에서 볼 수 있듯이 기업의 연구개발이 일찍부터 추진된 점이 인상 깊으며. ,

기반부품부터 네트워크 단말기까지 함께 생산할 수 있는 능력이 있다는 점은 향후 상용화에서 중국, 5G

을 과소평가할 수 없음을 보여준다 우리나라와 비교 시 상용화는 년 하반기로 추진될 전망이. 5G 2019

며 중국의 영토 크기를 고려하면 전국적인 서비스 시행보다는 베이징 상하이 광저우 선전 등 경제성, , , ,

장의 축인 연해 지역의 대도시 지역을 우선으로 서비스가 시행될 전망이다 단말기 생산의 경우 화웨이. ,

및 샤오미를 중심으로 추진될 전망이며 년 연해 지역 서비스 시행 후에 성능 및 가격이 확인ZTE , 2019

될 것이다.

중국 상용화의 주요 축인 화웨이는 비단 중국 뿐 아니라 아시아 및 유럽 통신사들과 활발한 비즈 5G

니스 협력을 추진하고 있지만 미국의 경계와 공개적인 화웨이 제품구매 금지는 년 월부터 좀 더 2019 5

가시화되고 있다 미국은 트럼프 대통령을 위시로 외교안보부처 장관과 각 지역 주재대사들까지 공개적.

으로 화웨이 제품 구매와 미국과의 교류 협력 중 하나를 선택할 것을 강조하고 있다 그러나 정작 . 5G

네트워크 구축 및 단말기 생산능력이 있는 미국 기업이 없으며 세계 각국 및 기업은 비즈니스적 측면,

의 이익이냐 정치적인 흐름이냐를 선택해야 하는 기로에 놓여있다 이와 같은 선택의 딜레마는 이미 우.

리 또한 겪고 있지만 화웨이 제품의 구매는 정부가 아닌 기업의 몫이라는 점이다 일각에서는 화웨이 , .

제품의 구매를 전면 금지한 미국과 더불어 대만의 사례를 들지만 화웨이라는 기업이 이미 중국의 대표, “

기업 으로 인식된 상황에서 정부의 관여 또는 조정은 기존 사태보다 더 어려운 상황을 가져올 수 있다” .

참고문헌[ ]

연합뉴스 당국자 한미 협력으로 인프라 안전 유지할 수 있어[1] , 2019.6.14., " , 5G " 美

뉴스핌 원년 맞은 중국 스마트폰시장 초고속 질주[2] , 2019.6.13., 5G

Page 20: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

18

중국전문가포럼 투자 년 후 억 위안 정점에 이를 전망[3]CSF , 2019.6.18. 5G 5 2,000中

비아이뉴스 빨라지는 중국 상용화 개 도시에서 통화 성공[4] , 2019.4.26., 5G ...16 5G

비아이뉴스 월 일부터 상용화 시작[5] , 2019.5.21. 10 1 5G . 中

제 권 호 중국 세대통신 관련 산업분석과 현황[6]China Inside, 28 5 (2019.3.5.~3.15), 5 (5G)

박성림 중국과 미국의 기반기술 주도권 경쟁[7]KISA Report 2019.5, ,

중앙일보 최강 화웨이 콧대 한국 가르쳐주고 싶다[8] , 2019.4.9. 5G " “

동아 늘어나는 화웨이 보이콧 움직임 해법은 기술력[9]IT , 2019.2.1., .. ?

[10] (2016-2020 )信息通信行 展 年业发 规划

과학기술정책 이규복 중국의 이동통신 정책 추진 현황 월호[11] , , 5G , 2017.8 ., 38-43.

Page 21: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

19

5G++; Security++; Privacy--;

• • • •

초저지연 초광대역 초과유출, ,

경이로운 속도와 넉넉해지는 대역폭을 약속하는 기반 서비스는 그 응용 생태계의 진화에 대한 5G

전제를 바탕으로 우리 삶의 여러 모습을 크게 바꿔놓을 것으로 기대된다 와 를 화두로 삼아 살펴. 5G IoT

보면 여러 편의 서비스와 콘텐츠 제공 기술의 저변에 새로운 프라이버시 위협에 대한 고려가 크게 부,

족하다는 것에는 이견이 없을 것이다 초연결을 지향하는 스마트 홈과 군더더기 없는 유통 모델의 유행 .

속에 자칫 놓치고 지나가기 쉬운 프라이버시의 사각지대를 함께 관찰해보고자 한다.

일견 크게 연관성 없어 보이는 원격제어 등STT, OCR, Smart TV, AI Assistance, OTA, , OTT, AR, VR

등의 응용서비스에서 대두되는 프라이버시 이슈와 더불어 검증 방법론에 대하여 와 기반 서비스 IoT 5G

제공자들은 상당한 노력을 기울이고 있지만 각종 기술의 합종연횡과 예측하기 어려운 응용 방법론에 ,

기인한 신규 보안 위협의 등장에는 속수무책일 수밖에 없다.

벌써 년도 훌쩍 넘었으나 개인정보보호 연구원인 의 5 , Christopher Soghoian TED Fellows Retreat

에서의 강연은 이러한 사생활 침해의 방향과 이슈들이 어떻게 진화하고 있는지에 대해 명확히 설2013

명해 주었다 모니터링 산업이 성장함에 따라 개인에 대한 감시 기술이 우리의 삶 가까이 이동하는 모.

습을 목도하고 비단 정부의 통제와 사찰을 넘어 스피커와 웹캠 마이크에 대한 원격제어 기술에 기, AI ,

반의 사생활 침해의 위협이 어떻게 진화할지는 쉽게 상상할 수 있는 주제가 아닐까 한다.

쉬운 사례로 음성처리의 기반이 되는 기술은 개인 간의 대화가 이제 비효율적인 STT(Speech-to-Text)

또는 기반의 저장구조를 거치지 않고 검색 가능한 녹취록으로 변환하여 보관이 가능해졌음을 Wav MP3

Page 22: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

20

의미한다 법원이나 검찰 주변에서나 찾아볼 수 있었던 녹취록 작성 등과 같은 간판 역시 에 녹아들. STT

어 근미래에는 더는 찾아보기 어렵지 않을까 싶다.

페이스북 마크 저커버그의 노트북 웹캠 스티커CEO

시대의 도래를 저지연과 광대역 기반의 환상적인 네트워크 서비스 제공으로 한정하여 바라보기5G

는 어려울 것이다 이를 기반으로 그동안 봉인되어 있던 원격진료 자율주행 가상현실 스마트팩토리 스. , , , ,

마트시티 등과 같은 지지부진 했던 서비스의 상용화를 통해 급격한 생활양식의 변화를 예정하겠지만,

이와 더불어 개인정보와 사생활에 대한 판도라의 상자를 열지 않기를 기도할 뿐이다.

그렇다면 이러한 위협의 진화에 발맞추어 사생활 보호를 위한 보안기술의 발전은 어떠한가?

아직 이렇다 할 표준화된 방법론이 제시되어 있지는 않지만 다양한 접근 방법론과 기술들을 기반으,

로 각고의 노력이 이루어지고 있다.

사생활 침해에 대응하기 위한 보안 방법론의 특징으로는 기존 악성코드 감염 및 피싱 등의 전통적인

주제에 대한 관리와 더불어 단순 기기로 인식되던 카메라 마이크 위치 센서 등의 정보 교환에 대한 통, , ,

제와 모니터링을 주요한 축으로 지원하는 것이 기본 얼개이다.

일반적으로 개인과 가정은 웹이나 와 같은 서비스를 운영하지는 않는 환경이기에 주로 사설망에DB

서의 내부 단말의 노출과 외부로의 데이터 흐름에 관심을 두는 것이 일반적이다 에 의하여 카메. RAT IP

라의 녹화 내용이 외부로 함께 스트리밍되거나 스마트 의 마이크만을 외부에서 활성화하여 대화 내용, TV

을 도청하는 등의 상상만으로도 또는 시대의 사생활 침해가 얼마나 심각한 주제인지를 환기하는5G IoT

데 충분할 듯하다.

Page 23: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

21

홈네트워크에 대한 사생활 침해의 주요 사례

특히 개인을 둘러싼 또는 가정 내의 다양한 디바이스 인식 및 디바이스 별 통신 특성에 따른 이, IoT

상 행위 탐지 및 분석과 더불어 위협에 대한 수집 및 탐지 사용자 알람 제어 의심 디바이스 , , Syncing ,

통신 차단 현황 조회 등의 대응 기능을 게이트웨이에 담아 과거의 단순한 인터넷 라우터의 보안 기능,

에서 강화하려는 시장의 노력이 한창이다.

트래픽으로부터 플로우 세션 프로토콜 전송 파일 등과 같은 정보 를 수집 및 분IoT , , , Layer 2~7 (DPI)

석하는 능동 위협 분석을 기반으로 머신러닝과 사이버 인텔리전스 정보 등을 통합하여 기업 보안 수준

에 준하는 서비스를 제공하고자 하는 것이다.

몇 가지 사례를 들어보면 다음과 같다.

사생활 및 홈네트워크 보안제품으로 가장 초기 모델에 해당하는 는 기반의 악성코드 Cujo Anti-Virus

탐지 및 차단 방화벽 기능을 제공하여 사이버 위협으로부터 사용자를 보호한다, .

의 동작 원리는 다음과 같다 를 네트워크 게이트웨이로 즉 가정용 공유기처럼 설치하여 모Cujo . Cujo ,

든 트래픽을 모니터링하여 포함된 악성코드를 검사하여 제거하거나 위협 데이터베이스 또는 사용자가 ,

지정한 차단 목록에 포함된 사이트로의 접근을 차단하고 개인정보의 유출을 차단할 수 있다 또한 어린. ,

이들이 방문할 수 있는 사이트를 관리하고 일일 사용량을 제한하는 등 자녀 보호 기능도 제공하고 있,

다.

엔진으로 유명한 사의 접근은 유입되는 악성코드에 좀 더 특화되어 있다고 설명할 수 AV Bitdefender

Page 24: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

22

있다 홈네트워크 보안제품 중 가장 다양한 기능을 제공하며 악성코드 탐지 및 차단 기반의 행동 분. , , AI

석 및 공격 탐지 광범위한 위협 데이터베이스 기반의 위협 탐지 기능 등을 제공한다, .

는 가상 라우터를 생성하여 비교적 손쉽게 설치하여 사용할 수 있다 다른 Bitdefender BOX 2 Wi-Fi .

제품과 달리 게이트웨이로 설치하지 않아도 기본적인 트래픽 모니터링과 사이버 위협 탐지에 대한 기능

을 제공한다.

반대로 유해한 콘텐츠에 대한 접근제어를 목적으로 하는 개인용 보안 게이트웨이로서는 을 RATtrap

들 수 있다 은 주로 웹 사이트 접속 내역을 모니터링하고 분석 후 사이버 위협으로부터 사용자. RATtrap ,

를 보호한다 들어오고 나가는 전체 트래픽의 메타 데이터를 분석하고 위협 데이터베이스와 대조하는 . ,

방식으로 위협을 탐지하고 차단하며 이 모든 분석이 클라우드가 아닌 로컬 장비에서 이루어져 더욱 안

전하게 개인정보를 보호한다고 할 수 있다.

새로운 가정용 보안기기 한 두 가지를 통하여 방대한 프라이버시 문제를 해결할 수는 없을 것이다, , .

하지만 새로운 네트워크 인프라와 응용서비스의 등장에 걸맞은 프라이버시에 대한 진지한 고민과 연구

가 없다면 기술의 진보와 응용 생태계의 진화가 이루어지기 어려울 것이라는 필연적인 결론에 대한 이,

해의 저변이 확대되기를 기대해 본다.

사생활 침해 대응에 특화된 주요 보안제품의 서비스 스택

Page 25: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

23

화자인식 음성인식의 보이지 않는 보안 기술:

인공지능 스피커는 점차 보편화되고 있다 스피커 주목은 년 미국 라스베이거스에 개최된 (AI) . AI 2017

국제 전자박람회 로 거슬러 올라간다 당시 아마존은 스피커 에코 를 전시 안내용을 활용‘ (CES)’ . AI ‘ (Echo)’

했는데 참관객이 전시 내용보다는 스피커에 높은 관심을 보인 것이다, AI 1).

아마존의 스피커 에코AI ‘ ’

출처[ : Flickr]

1) 월드 이모저모와 숨은 주인공 아마존 알렉사 년 월 IT , “CES 2017 ‘ , ’”, 2018 1 .

Page 26: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

24

이러한 이유로 수많은 언론사에서는 스피커를 조명하기 시작했는데 이는 스피커가 주목받게 , AI , AI

한 계기가 되었다 현재 구글 페이스북 마이크로소프트 전자 네이버 카카오 등 수많은 글로벌 . , , (MS), LG , ,

기업이 스피커 산업에 뛰어들고 있다 이에 따라 스피커는 우리에게 익숙한 기술로 자리 잡아가AI . , AI

게 할 전망이다 수많은 기업의 참여로 스피커 확산이 빠르게 일어날 것으로 보이기 때문이다. AI .

카날리스 는 스피커 확산 관련 연구를 진행했다 (Canalys) AI 2) 세계적으로 스피커가 설치되는 개수. AI

를 분석한 것이다 이러한 분석에 따르면 년 스피커의 설치 대수는 억 대이다 그리고 이러. , 2018 AI 1.14 .

한 수치는 년에 약 억 대에 이를 전망인데 전년 대비 증가한 수치이다 전년대비 증가2019 2.08 , 82.4% .

율은 설치 대수가 얼마나 빠르게 확산하는지를 보여주는 지표라고 할 수 있다AI .

스피커로 인한 새로운 인터페이스AI

스피커 등장은 단순히 신기술 등장 수준에서 끝나는 것이 아니다 새로운 인터페이스 등장을 의미 AI .

하며 이는 시스템과의 상호작용을 새롭게 한다 기존에는 마우스 키보드 리모컨 등으로 시스템을 제어. , ,

했다면 스피커는 음성으로 이를 제어할 수 있게 한다, AI .

이러한 방식의 제어는 세 가지 이점이 있다 .3) 첫째는 친숙성 이다 사람의 오랜 의사소통인 대화 방식 ‘ ’ .

의 인터페이스는 친밀도를 올릴 수밖에 없다 특히 유명인의 음성을 스피커에 심어서 상호작용하는 . , AI

방식은 친밀도를 더 올릴 수밖에 없다 둘째는 단순성이다 사물인터넷 시대로 제어할 기기가 많아. . (IoT)

지고 있다 그런데 이를 통합해서 음성으로만 할 수 있다면 어떨까 매우 간편해질 것이다 마지막은 편. ? .

리성이다 마우스 방식을 생각해보자 몇 번의 클릭이 수반된다 그러나 음성 인터페이스는 한 마디면 명. . .

령을 내릴 수 있다.

정리하면 스피커는 음성 인터페이스라는 새로운 패러다임을 가져오게 했다 다시 말해 음성 인식 , AI . ,

기술에 주목하게 했다 음성인식 기술은 스피커보다 상위 개념으로 볼 수 있다 음성인식을 스피. AI . AI

커뿐만 아니라 스마트폰과 같은 다른 기기에도 적용할 수 있기 때문이다 결국 이는 스피커가 더 넓. , AI

은 범위인 음성인식 산업을 촉진한 것으로 볼 수 있다.

실제로 음성인식 시장은 빠르게 성장하고 있다 시장 조사 전문 기관 그랜드 뷰 리서치 , . ‘ (Grand View

는 음성인식 관련 시장 규모를 분석했다Research)’ .4) 년 시장 규모는 억 달러 약 조 원 로 2017 91.2 ( 10.94 )

크지 않은 시장을 형성했다 그러나 년에는 억 달러 약 조 원 의 규모를 형성할 전망인데. 2025 318.2 ( 38.18 ) ,

이는 년 만에 배나 증가한 수치이다 연평균성장률8 3 ( : 17.2%).

이처럼 음성인식이 빠른 속도로 증가할 전망이다 그럼 음성인식은 어떤 분야에서 가장 많이 활발하 .

게 활용될 수 있을까 음성쇼핑 부분일 것으로 전망된다? (Voice Shopping) .

2) Canalys, “Canalys: Global smart speaker installed base to top 200 million by end of 2019”, April 2019.3) 사이언스타임즈 스피커가 대세로 떠오르는 이유 년 월 , “AI ”, 2018 11 .4) Grand View Research, “Speech And Voice Recognition Market Worth $31.82 Billion by 2025”, November

2015.

Page 27: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

25

음성쇼핑은 음성으로 물품을 구매하고 결제하는 부분의 거래 산업이다 음성인식 기술의 발달은 이러 .

한 시장을 빠르게 성장하고 있다 스트래지스트 컨설턴트에 따르면 년 미국과 영국의 음성. OC&C , 2022

쇼핑 규모는 억 달러 약 조 원 에 이를 것으로 보인다450 ( 540 ) .5) 이러한 수치는 년 억 달러 약 2017 20 ( 3.6

조 원 에서 배 넘게 증가한 것이다) 20 .

미국과 영국의 음성쇼핑 거래 규모

출처 스트레티지 컨설턴트의 시장 규모를 정리한 그래프[ : OC&C ]

음성쇼핑은 음성으로 물품을 구매하고 결제하는 부분의 거래 산업이다 음성인식 기술의 발달은 이러 .

한 시장을 빠르게 성장하고 있다 스트레티지 컨설턴트스에 따르면 년 미국과 영국의 음성. OC&C , 2022

쇼핑 규모는 억 달러 약 조 원 에 이를 것으로 보인다 이러한 수치는 년 억 달러 약 조 450 ( 540 ) . 2017 20 ( 3.6

원 에서 배 넘게 증가한 것이다) 20 .

이처럼 음성쇼핑의 빠른 성장은 음성인식의 장점이 그대로 해당 분야에 적용됐기 때문으로 볼 수 있

다 시장 조사 기관인 캡제미니 는 년에 미국 독일 영국 프랑스 등 명을 대상으로 . (Capgemini) 2017 , , , 5,041

음성인식 사용 동기를 조사했다.6) 순위부터 순위까지가 간편성과 연관돼 있었는데 응답자의 가 1 3 52%

편리하다고 말했고 는 다른 업무를 동시에 진행할 수 있는 장점을 꼽았다 그리고 는 일반적인 , 48% . 41%

구매를 더욱 편리하게 이용할 수 있다고 답했다.

5) OC&C Strategy Consultants, “Voice Shopping Set to Jump to $40 Billion By 2022, Rising From $2 Billion Today”, February 2018.

6) Capgemin, “Conversational Commerce: Why Consumers Are Embracing Voice Assistants in Their Lives”, pp.1-36, 2018.

Page 28: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

26

음성쇼핑의 보안 구멍

지금까지 내용을 정리해보자 스피커는 음성인식을 대두시켰다 그리고 편의성 단순성 친밀성 등 . AI . , ,

의 가치는 음성인식 기술이 음성쇼핑과 같은 영역으로 확장케 했다 그러나 이러한 확장에는 치명적인 .

보안 문제가 있다 화자인식 관련이다. .

화자는 말하는 사람 을 의미하는 단어이다 화자인식은 음성인식 기술에서 중요하다고 할 수 있다 음 ‘ ’ . .

성인식 기기가 사용자의 명령에만 반응해야 할 필요가 있기 때문이다 아이언맨 영화의 자비스를 예로 .

들어보자 자비스는 주인공 명령에 따라서 움직인다 이는 화자가 누구인지를 인식하고 있기 때문으로 . .

보인다 그런데 자비스가 화자를 인식하지 못한다면 어떤 일이 발생할까 자비스는 주인공 악당 주위 . , ? , ,

사람들을 구분하기 못하기 때문에 악당 명령에도 반응할 수 있다.

이러한 사건은 실제로 벌어졌었다 년 월 미국 외신 보도는 텍사스 주에 사는 살 소녀가 장난 . 2017 1 6

으로 아마존 에코에게 주문 명령한데로 쿠키와 장난감이 배달됐다고 보도했다 만 원 상당치의 물품. 18

이었다 물론 아마존은 이러한 시스템 취약점을 인정하고 적절한 보상을 했다. .7) 문제는 여기서 끝나지

않았다 미국 샌디에이고 채널 뉴스는 텔레비전 음성이 장난감을 주문할 수 있다 라는 점을 지적. CW6 “ ”

했고 실제로 아마존 에코는 텔레비전의 목소리에 반응하는 모습을 보였다.

이처럼 화자인식은 음성인식 보안에 중요하다 더욱이 음성인식은 거래와 관련 산업으로 확장되고 있 .

으므로 화자인식이 없다면 사용자의 금전 피해까지 유발할 수 있다 실제로 사이버 보안 전문 기업인 , . ,

시만텍은 화자인식의 필요성을 언급했다 그리고 화자인식이 없을 때 발생할 수 있는 세 가지 보안 시. ,

나리오를 소개했다.

첫 번째 시나리오는 짓궂은 이웃이 음성인식 기기를 이용해 사용자에게 피해를 줄 수 있는 것이다 .8)

이웃은 음성인식 기기에 여러 물건을 구매하게 하여 사용자에게 금전 피해를 줄 수 있다 두 번째 시나.

리오는 어린아이의 장난으로 인한 피해이다 이는 앞서 소개했었다 마지막은 기기의 음성에 반응하여 . .

동작하는 점이다 이 또한 앞부분에서 소개했었다. .

성문을 기반으로 한 화자인식

화자인식은 음성인식 보안의 중요 요소로 자리 잡았다 이에 따라 많은 음성인식 서비스 제공 회사에 .

서는 화자인식도 함께 고려하고 있다 화자인식 개발 현황을 살펴보기 전에 기술 발전 이력과 유형을 . ,

우선 살펴보자.

화자인식 역사는 생각보다 길어 년으로 거슬러 올라간다 1937 .9) 프랜시스 맥게히 는 (Frances McGehhe)

박사 졸업 논문에서 처음으로 화자 인식 관련 기술을 소개했다 화자인식을 생각하게 된 배경은 년 . 1932

7) CBS News, “6-year-old orders $160 dollhouse, 4 pounds of cookies with Amazon's Echo Dot”, January 2017.8) Symantec, “A guide to the security of voice-activated smart speakers”, ISTR Special Report, January 2017.9) Daniel Yarmey and etc., “Frances McGehee (1912-2004): The first earwitness researcher”, Perceptual and  

Motor Skills, 106(2), May 2008, pp.387-94.

Page 29: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

27

린드버그 납치 사건 때문이다 해당 사건은 찰스 린드버그의 아기가 납치되어 살해된 사건이다 년 . . 1927

찰스는 뉴욕과 파리 간의 대서양을 무착륙으로 비행 여행에 성공한 유명인인데 이에 따라서 납치 사건,

은 언론에서 많은 주목을 받을 수밖에 없었다 년 찰스 린드버그는 법정에 다시 서게 됐는데 이유. 1934 ,

는 리처드 하우프트먼이 범인인지를 가려내기 위함이었다 찰스는 당시 범인과의 통화에서 음성을 기억.

하고 있었고 리처드의 목소리를 듣고 범인임을 파악했다, .

프랜 시스 맥게히는 목소리로 범인을 가려낸 것에 주목했고 년 졸업 논문을 통해 화자인식 개념, 1937

이 정립되었다 그러나 이 후 화자인식은 년 동안 발전이 없었다 년 벨 연구소는 미국 사법부의 . 30 . 1960

요청으로 폭발 위협 전화를 하는 사람을 잡기 위해 화자인식을 연구하게 된다.10) 당시 물리학자 로렌스

케르스타 가 해당 연구의 책임자를 맡았고 그로부터 년 뒤에 사람의 목소리를 매우 (Lawrence Kersta) , 2

정확하게 인식할 수 있는 연구 성과물을 선보였다.

케르스타의 연구 성과는 매우 뛰어났다 미국 연방수사국 기 케르스타의 화자인식 기술을 범죄 수 . (FBI)

사에 년간 활용했기 때문이다 물론 미시건 대학의 오스카 토시 교수를 비롯해 수많은 연구자가 케르60 .

스타 보다 더 뛰어난 목소리 인식 기술을 개발하려고 노력했었다.11) 그러나 케르스타의 화자인식 기술

을 뛰어넘을 수는 없었다.

화자인식은 년에 한 번 더 진보하게 된다 미국 반도체 회사 텍사스 인스트루먼츠 1977 . ‘ (Texas

의 조지 도딩톤 이 기계가 자동으로 화자를 인식할 수 있는 기술을 개Instruments)’ (George Doddington)

발했기 때문이다.12) 이 후 자동으로 화자인식 할 수 있는 기술을 여러 차례 개발하게 된다 년에는 . 1992

도글라스 레이놀드 라는 의 박사과정 학생이 유사성을 기반으로 한 가우시안 혼합 (Douglas Reynolds) MIT

모델 을 이용해 화자인식률을 높이는가 하면(GMM) 13) 년에는 미카엘 슈미트 가 분, 1996 (Michael Schmidt)

류 기술인 서포트 벡터 머신 을 활용해 화자인식을 높인 연구를 소개하기도 했다(SVM) 14).

이처럼 화자인식의 여러 연구 성과가 발표되면서 관련 기술 수준도 많이 발전했다 미국표준기술연구 .

소 의 년 기준에 따르면 화자인식의 정확도는 이상 발전한 것으로 나타났다(NIST) 2010 98% .15)

지금까지 화자인식의 발전 과정을 살펴봤다 그럼 화자인식은 어떤 원리로 동작하는 것일까 답은 성 . ? ‘

문 에 있다 성문은 사람 목소리의 고유 특징을 나타내는 것으로 지문과 유사한 것으로 보면 된다 다만’ . . ,

지문은 손에서 채취한 고유 정보라면 화자는 목소리에서 채취한 고유 정보이다, .

10) Kersta L., “Voiceprint Identification”, Nature Magazine, December 1962.11) Tosi O., Oyer, H., Lashbrook, W., Pedrey, C., Nicol, J., Nash, E., “Experiment On Voice Identification”, Journal

of the Acoustical Society of America, 1972, pp. 2030-2043. 12) Doddington, G., “Speaker Recognition Identifying People By Their Voice”, Proceedings of IEEE, November –

1985, pp. 1651-166413) Bimbot, F., Bonastre, J., Fredouille, C., Gravier, G., Chagnoleau, I., Meignier, S., Merlin, T., Ortega-Garcia, J.,

Petrovska-Delacretaz, D., Reynolds, D., “A Tutorial on Text Independent Speaker Verification”, EURASIP Journal on Applied Signal Processing 2004, pp. 431-450.

14) C. Cortes, V., “Support Vector Networks”, Machine Learning, May 1995, pp. 273-297. 15) Clark D. Shaver and John M. Acken, “A Brief Review of Speaker Recognition Technology”, Electrical and

Computer Engineering Faculty Publications and Presentations, 2016, pp. 2-7.

Page 30: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

28

스펙트럼으로 표현한 성문

출처[ : Pixabay]

그러므로 화자인식은 성문의 분석을 통해서 발화자를 구분한다 방식은 두 가지로 문장 종속형 .

과 문장 독립형 으로 구분할 수 있다 문장 종속형은 사용자의 말하(Text-Dependent) (Text-Independent) .

는 문장에 종속하여 사용자를 인식하는 기술이다 사용자는 특정 문장을 외워야 하는 번거로움은 있지.

만 문장 종속형은 인식의 높은 정확성을 주기 때문에 안정적이다 반면 문장 독립형은 사용자의 문장과 , .

관계없이 인식하는 기술이다 사용자에게는 좀 더 편리함을 주지만 화자인식의 정확도는 상대적으로 낮. ,

다.

화자인식 사용 용도에 따라서도 두 가지로 구분할 수 있다 하나는 화자식별이다 화자식별은 등록된 . .

사용자 중에서 어느 사용자인지를 식별하는 기술이다 다시 말해 기존에 등록된 음성 데이터와 대조해. ,

서 가장 유사한 음성 데이터를 식별해준다.

화자가 등록된 사용자인지를 검증해주는 기술이다 다시 말해 유사 음성 데이터를 찾는 것이 아니라 . ,

음성 데이터와 화자가 말한 음성을 대조하는 기술이다.

화자인식 개발 현황

화자인식의 개발 과정을 살펴보면 범죄 수사 목적으로 개발됐음을 알 수 있다 그러나 최근 음성인식 , .

의 주목으로 이를 보완하는 기술로 개발되고 있다 아마존은 년 월의 화자 미구분 사건 이후에 바. 2017 1

로 화자인식을 기술 개발을 착수했다 년 월 아마존 에코에 화자 인식을 탑재했다 뉘앙스 커뮤. 2017 10 .

니케이션즈도 화자인식 관련 기술을 개발했다 참고로 뉘앙스 커뮤니케이션즈는 애플 음성 시리 에 음. AI ‘ ’

성 엔진을 제공하는 기업이다 마이크로소프트는 클라우드 서비스 애저 를 통해서 이용자가 화자. ‘ (Azure)’

인식 기술을 쉽게 구현할 수 있도록 했다 구글은 스피커 구글 홈 에 화자인식을 접목해 명까지 사. AI ‘ ’ 6

Page 31: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

29

용자를 등록할 수 있도록 했다.

국내 또한 화자인식 관련으로 많은 연구를 진행하고 있다 대표적으로 삼성전자의 빅스비를 들 수 있 .

다 삼성전자 빅스비에는 화자인식이 탑재돼 있는데 등록된 사용자의 성문에만 반응하도록 개발돼 있다. , .

카카오는 인공지능 스피커 카카오 미니 에 화자인식 기술을 탑재했다 역시 화자인식 관련 기술을 ‘ ’ . KT

개발하고 있다.

독특한 방향으로 연구를 진행하는 곳도 있다 년 월 은행은 화자인식을 적용한 보이스피싱 . 2019 4 IBK

여부를 가려내는 앱을 선보였다.16) 원리는 범인이 성문을 기록해 통화내용과 대조하는 방식이다 마인즈 .

랩은 화자별로 음성을 인식할 수 있는 기술을 세계 최초로 선보인 바 있다.17)

이처럼 많은 기업에서 화자인식을 개발하고 있다 화자인식은 범인 수사 목적으로 등장했지만 음성인 . ,

식 기술의 보안 용도로 활용될 전망이다 이에 따라 화자인식은 눈에 보이지 않게 음성인식의 보안을 . ,

담당할 전망이다.

16) 은행 년 월 IBK , “https://blog.ibk.co.kr/2404”, 2019 4 .17) 지디넷코리아 마인즈랩 딥러닝 활용 음성 분리 기술 구현 성공 년 월 , “ , ”, 2019 6 .

Page 32: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

30

분산원장기술 포커스 그룹 표준화 추진ITU

블록체인 은 분산원장기술 의 (Blockchain) (distributed ledger technology, DLT) 한 형태이며 데이터의 변 ,

조와 수정이 매우 어려운 연속적으로 증가하는 블록으로 구성된다 에서 블록체인으로 불리는 분산. ITU

원장기술에 대한 국제 표준화 논의는 년 월부터 시작되었다 분산원장기술의 응용 에 대한 포2017 5 . ‘ ’ ITU

커스 그룹 의 첫 회의는 년 월 일부터 월 일까지 일간 스위스 제네바에서 열(ITU FG-DLT) 2017 10 17 10 19 3

렸고 이후 차례 회의가 스위스 스페인 브라질 중국 등에서 열렸으며 년 월 일부터 월 일, 5 , , , , 2019 7 29 8 1

까지 스위스 제네바에서 마지막 차 회의로 그 활동을 종료할 예정이다 이 글에서는 이 포커스 그룹의 7 .

구조와 주요 논의 사항과 이 포커스 그룹이 개발하고 있는 주요 결과물의 내용을 중심으로 제시한다.

Page 33: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

31

그림 분산원장기술 포럼 구조 [ 1]

분산원장기술 포커스 그룹 개요

포커스 그룹은 세계 어디서나 개인 자격으로 참가할 수 있는 개방적 형태의 표준화 그룹이며 주로 ,

신규 기술 분야를 다루기 위해 세계 곳곳에서 여러 전문가를 모아서 의 국제표준화 추진 방향을 결ITU

정하기 위한 그룹이다 포커스 그룹은 일반적으로 산출물 을 모 그룹에 보고하며 모. (deliverable) ( ) , ( ) 母 母

그룹에서 추가 표준화 작업을 통해 필요에 따라 국제 표준으로 개발할지를 결정한다 분산원장기술 포.

커스 그룹의 설립 목적은 기반 응용 프로그램 및 서비스를 분석하고 주요 애플리케이션 및 서비스DLT ,

를 구현하기 위한 모범 사례 및 지침을 작성하며 향후 연구반에서 국제 표준화 작업을 수행하기 , ITU-T

위한 향후 방향을 제안하는 것이다.

이 분산원장기술에 대한 포커스 그룹은 년 월 정보통신표준자문반 2017 5 ITU-T (TSAG, Telecommunication

에 의해 개월의 활동 Standardization Advisory Group) 18 기한으로 신설되었다.

년 월 에서 정보보호에 대한 국제표준화를 추진하는 연구반 국제의장 필자 에 2017 3 ITU-T 17(SG17, : )

의해 에 분산원장기술 포커스 그룹의 신설이 제안되었다 우리나라는 년 월 회의에 기TSAG . 2017 5 TSAG

고서를 제출해 이 포커스 그룹의 임무 를 제안했고 반영했다 포커스 그룹의 첫 회의가 년 (ToR) , . 2017 10

월 스위스 제네바에서 개최되었으므로 당초 활동 , 기한은 년 월이었다 그러나 산출물의 완성도를 2019 4 .

위해 개월6 이 늘어난 년 월까지 활동 2019 10 기한 연장이 년 월 모 그룹인 회의에서 2018 12 ( ) TSAG 母

승인되었다 이 분산원장기술 포커스 그룹 산하에는 개의 작업반이 신설되었다 그림 은 산하에 신설. 4 . [ 1]

된 개 작업반의 타이틀이고 그림 는 작업반에서 현재 개발 중인 주요 결과물을 나타낸다 현재 용어 4 , [ 2] .

정의 분과 이용사례 분과 참조 구조 및 평가 분과 법제도 분과 등으로 구성되어 있다, , , .

Page 34: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

32

그림 현재 개발 중인 각 작업반 산출물 [ 2]

분산원장기술 용어 정의작업반 에서 개발 중인 분산원장기술 용어 정의 에 대한 산출물은 분산원장기술 에서 일 1 “ (D.1.1)” (DLT)

반적으로 사용되는 용어를 정의한다 이 용어 정의는 추가 명확성을 제공하기 위해 메모를 포함하고 있.

다 이 산출물에는 개 이상의 용어를 정의하고 있으며 대표적인 몇 가지 용어는 다음과 같이 정의되. 52 ,

어 있다.

블록 트랜잭션 모음과 블록 헤더로 구성된 블록체인에서 개별 데이터 단위(block):

블록체인 변조 및 수정에 대해 강화되어 있고 암호학적으로 연결된 블록을 갖는 연속적(Blockchain):

으로 증가하는 블록체인으로 배열된 디지털적으로 기록된 데이터로 구성된 분산 원장의 하나의 유형

불변 장부 및 분산 원장 시스템의 속성은 원장 레코드를 추가할 수는 있지만 제거 또는 (immutable): ,

수정할 수는 없으며 시간 경과에 따라 과거 데이터를 변경할 수 없도록 설계되어 있다, .

무허가 분산 원장 시스템 시스템을 사용하거나 운영하는 권한이 필요 없는 분산 원장 시스템:

퍼블릭 개방형( ) 분산 원장 시스템 일반 대중이 접근할 수 있는 분산 원장 시스템 :

프라이빗 폐쇄형( ) 분산 원장 시스템 제한된 그룹의 사용자만이 접근할 수 있는 분산 원장 시스템 :

분산원장기술 이용 사례

작업반 에서는 현재 하나의 결과물 이용사례 을 준비하고 있다 이 산출물은 분산원장기술 2 ( , D.2.1) . (FG

응용 포커스 그룹에서 수집한 모든 이용 사례 를 모은 것이다 또한 산출물에서는 DLT) ITU-T (use cases) . ,

이용사례가 국제 표준화 작업으로 얻을 수 있는 이점을 설명한다 이용 사례는 수직 도메인과 수평 도.

메인으로 분류된다 각 도메인에는 하위분류가 존재할 수 있다 수직 도메인은 금융 의료 정보통신 제. . , , ,

조 산업 정부 공공 등 서브도메인이 존재하며 수평 도메인은 신원 관리 보안 관( ), / , (identity management),

Page 35: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

33

리 데이터 관리 등 서브 도메인이 존재한다 금융 서브 도메인에는 개의 이용 사례가 의료 서브 도, . 13 ,

메인에는 개의 이용 사례가 정보통신 서브도메인은 건의 이용 사례가 산업 제조 서브도메인에는 7 , 4 , / 14

건의 이용 사례가 정부 공공 서브도메인에는 건의 이용 사례가 제시되고 있다 또한 신원관리 서브도, / 8 . ,

메인에는 건의 이용 사례가 보안 관리 서브도메인에는 건의 이용 사례가 데이터 관리 서브도메인에2 , 2 ,

는 건의 이용 사례가 제시되었다2 .

그림 수직 및 수평 도메인 주요 이용 사례[ 3]

분산원장기술 참조구조 및 평가

작업반 에서는 현재 세 개의 결과물을 준비하고 있다 산출물 참조구조 에서 제시한 분산원장기 3 . D.3.1( )

술 상위수준 개념 구조는 그림 와 같다 상위수준 구조는 운영 유지 응용 프로토콜 자원 외부 상호 [ 4] . / , , , ,

동작 관리 그리고 확장 기능 요소로 구성되며 각각의 기능요소는 세부 기능을 가진다 예를 들어 자원 , , . ,

기능 요소는 노드 관리 저장소 관리 네트워크 관리 등의 세부 기능을 가진다, , .

Page 36: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

34

그림 분산원장기술 상위수준 구조 [ 4]

산출물 에서는 기존 대표적인 분산원장기술 D.3.2 플랫폼의 주요 특성과 이의 기본 참조 구조와의 사

상을 제시하고 있다 산출물 평가 기준 프레임워크 에서는 핵심 기술 응용 지원 운영 성능 등의 . D.3.3( ) , , ,

기능에 대한 평가 기준을 제시하고 있다 구체적으로 응용 지원의 경우 사용자 인증 시스템 안정성 부. , , ,

가기능 지속가능성 데이터 프라이버시 측면에서 평가 기준을 제시하고 있다 핵심 기술 기능에서 개인, , .

키 관리는 하드웨어 기반 개인키 관리인지 소프트웨어 기반 개인키 관리인지에 대한 평가 기준을 제시

하고 있다.

그림 분산원장기술 평가 프레임워크 [ 5]

Page 37: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

35

분산원장기술 규제프레임워크

작업반 에서는 현재 한 개의 결과물을 준비하고 있다 산출물 정책 참조 프레임워크 에서는 분 4 . D.4.1( )

산원장기술 규제 프레임워크가 포함하고 있다 이 산출물은 분산원장기술의 주요 속성을 제시하고 이에 . ,

따른 규제 관련 문제를 도출하며 이를 해결하기 위한 사용자와 규제 당국에 대한 권고를 제시한다 여, .

기서 개발된 주요 특성은 그림 과 같다 대표적으로 분산원장기술의 익명성으로 인해 고객 신원 인[ 6] . , ,

증 과 자금세탁방지 규제의 적용이 어려운 규제 측면의 문제가 존재하며 분산방식으로 인해(KYC) (AML) , ,

여러 국가의 관할 적용과 법적 주체 확인이 어렵다.

그림 분산원장기술 평가 프레임워크 [ 6]

분산원장기술 포커스 그룹의 향후 산출물 표준화 예상

분산원장기술 포커스 그룹은 년 월에 활동을 종료할 예정이다 그 이후 적어도 개의 산출물은 2019 8 . 6

모 그룹인 정보통신자문반 에 보고되어 년 월 정보통신자문반 회의에서는 포커스 그룹의 ( ) (TSAG) 2019 9母

주요 산출물을 관련 연구반으로 분배할 예정이다 이후 산출물을 받은 연구반은 필요에 따라 국제표준.

으로 개발 여부를 결정한다.

한국은 이 포커스 그룹의 신설을 주도했고 용어 정의 등 산출물의 에디터와 타 작업반의 활동을 지 , “ ”

원했다 이번 포커스 그룹의 활동이 전 세계 차원에서 분산원장기술의 응용. 및 활용과 글로벌 국제 표

준화 작업을 촉진하는 계기가 되었다고 본다.

사사) 본고는 년도 정부 과학기술정보통신부 의 재원으로 정보통신기획평가원의 지원을 받아 수행된 연구임 2019 ( )

차세대 환경에서의 보안 및 개인정보보호 기술 국제 표준화 추진(No.2019-0-00660, ICT )

Page 38: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

36

지역 중소기업의 정보보호 실천력 제고를 위한 소고

서언

차 산업혁명 시대 도래에 따라 스마트도시 스마트공장 자율주행차 등 4 , , , AI 전통시설에 기술과 빅IoT

데이터가 연계된 각종 플랫폼 및 서비스 등의 다양한 첨단 기술의 발전이 전개되고 있다 . 융 복합 기ICT ‧

술은 앞으로도 여러 진행 과정을 거쳐 산업과 우리 생활에 빠르게 접목될 예정으로 보안이 근간이 되어있지

않는다면 기술의 발전이 심히 우려되는 상황이다ICT .

이러한 기술의 발전에 따른 정보보호의 중요성은 국내 경제의 주요 일익을 담당하고 있는 중소기업에 ICT

서는 심도 있고 면밀하게 다루어져야 하겠다 .

년도 정보보호 실태조사 현황2017 1)

단위( :%)

구 분정보보호 예산 수립 정책

수립정보보호조직운영이상5% 미만5% 미만1% 없음

정보보호 제반환경 2.2 9.2 36.8 51.9 15.2 9.9

단위( :%)

구 분 정보보호 제품 이용 정보보호 서비스 이용 보안점검 실시 백업 실시

침해사고 경험 94.9 48.5 64.7 52.5

1) 정보보호 실태조사 기업부문 개 2017 ( , 9000 )

Page 39: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

37

특히 지역에 소재한 중소기업은 서울 및 수도권 중심의 정보보호 관심 영역에서 , 다소 벗어나 있는 관계

로 정부 차원 이를 해결하고자 지역 거점의 정보, 보호지원센터를 활용하여 정보보호 인식 제고 활동과 함께

다양한 정보보호 지원 사업을 전개해 나가고 있다 .

본고에서는 한국인터넷진흥원 지역정보보호지원센터에서 수행하고 있는 여러 지원 사업을 살펴보고 4

차 산업혁명 시대에 발맞추어 앞으로 더욱 실효성 있는 정보보호 서비스를 전개해 나가기 위한 방향을

제언해 보고자 한다.

지역거점의 각종 정보보호 서비스 현황 분석2.

가 개요 .

한국인터넷진흥원에서는 인천 년도 을 시작으로 대구 호남 광주 중부 청주(‘14 ) , ( ), ( ) 동남 부산 경기 판교 울, ( ), ( ),

산 등 총 개 권역별 정보보호 거점을 마련하고7 , 지자체 지역기관과 협력하여 지역 중소기업의 정· 보보호

활동을 지원하는 정보보호지원센터를 구축하여 운영 중이며 올해 중 한 개 지역센터를 추가로 개소할 예,

정이다.

센터명 인천센터 대구센터 호남센터 중부센터 동남센터 경기센터 울산센터

관할지역 인천대구, 경북

광주 전남, , 전북 제주,

충북 충남, ,대전 강원,

부산, 경남

경기 울산

구축시기 월’14.7 월’14.12 월’15.8 월’16.10 월’18.9

나 각종 정보보호 서비스 현황 분석.

정보보호 현장 컨설팅 1)

기업의 정보보호 관련 애로사항을 접수하고 기업 실정에 맞는 문제 해결 등 개별 기업 맞춤형

정보보호 기술 지원 서비스를 제공하고 있다One-Stop . 무료서비스이지만 기업으로서는 현장방문 컨설

팅을 받기 위해 별도의 시간과 필요하면 이행조치 노력까지도 고려해야 하므로 무작정 신청하기보다는

다소 심사숙고하는 경향이 있고 공공서비스를 제공 받았을 경우 의무사항이 뒤따를 수 있다는 막연한 ,

부담을 느껴 주저하는 때도 있으므로 수요확보에 지속적인 관심을 쏟아야 한다.

따라서 지역 센터에서는 아무런 조건 없이 기업의 정보보호 실천 애로사항을 청취하고 도움을 제공하

는 것임을 꾸준히 인지시켜야 하고, 지속적인 신규 수요 창출 노력도 필요하다.

웹 취약점 점검 서비스 2)

기업이 운영 중이거나 준비 중인 홈페이지에 대한 취약점을 점검하고 결과보고서와 함께 필요한 가이

드를 제공하고 있다.

Page 40: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

38

중소기업이 운영 중인 홈페이지 운영 형태는 단순 호스팅 서비스를 받거나 유지 , 보수 계약을 맺은 경우,

직접 서버를 운영하는 등의 여러 형태가 있다. 이 또한 무료서비스이긴 하나 홈페이지 취약점 점검을 위,

해서는 고객의 동의가 필수이기 때문에 정보보호 담당자가 거의 없는 중소기업에서는 필요성을 잘 인식

하지 못하는 경향이 있고 결과보고서를 받더라도 프로그램 수정 등 필요한 조치까지 연결하기가 쉽지 ,

않다.

이는 건강검진과 같이 진단은 지역 센터에서 무료로 제공하지만 보안에 필요한 조치는 개별기업이 ,

자발적으로 투자해야 한다는 점을 지속해서 인지시켜 나아가야 만이 좀 더 실효성을 높일 수 있을 것이

다.

기업 민감정보보호 조치 3)

중소기업이 영업상 보유 및 관리하는 고객정보 등 민감 정보에 대한 관리 및 조치지원을 위해 소프트

웨어를 무료로 제공하고 있다 업종과 관계없이 기업이 가장 많이 다루고 있는 부분이 고객의 개인정보.

인데, 기업 종사자 스스로 업무용 를 점검할 수 있는 소프트웨어인 관계로 유용PC 하게 활용되고 있다 .

현장 컨설팅 등과 함께 기업이 보유하고 있는 개인정보 등 민감 정보에 대한 조치사항을 함께 안내하는

등 소프트웨어 성능 개선과 함께 꾸준히 보급 확대를 도모하는 것이 바람직하다 .

정보보호 교육 및 세미나 4)

지역센터에서는 지역대학 지자체 및 사이버보안인재센터 등과 연계하여 , KISA 중소기업 재직자의 정보

보호 기술력 향상을 도모하기 위한 지역별 다양한 전문 교육과정을 시행하고 있다. 또한 지역의 정보보호 ,

인식 제고 차원에서 산 학 연이 주관하는 ‧ ‧ 학술행사와 다양한 세미나를 개최하고 있다 다만 영세한 규모의 . ,

대부분 중소기업 재직자의 경우 기업영업 활동에 전념, 해야 하는 관계로 관심과 참여도가 저조할 수밖에

없는 실정이므로 상호 협력을, 통해 기업이 필요로 하는 현장 방문 과정을 개설하거나 이슈 분야의 ICT

수요 창출을 통한 맞춤형 과정 개설 등이 필요하다.

보안테스트베드 운영 등 5)

호남 대구 등 일부 지역 센터에서는 시큐어코딩 점검 서비스 오픈소스 취약점 점검 서비스 등 보안 , ,

테스트베드와 연계한 서비스를 제공하고 있다.

특히 스타트업 등 소프트웨어 개발 벤처기업의 경우 오픈소스가 가지고 있는 보안 취약점에 대해서 ,

는 간과하고 개발하는 사례가 많으므로 제품 출시를 계획하고 있는 스타트업에는 실질적인 도움이 될 수

있다. 소프트웨어 보안취약점은 제품 완성단계에서 수정하는 것 보다 초기 단계인 설계단계에서 수정하,

는 것이 훨씬 생산적이기 때문이다.2)

2) 가 분석한 개발 단계별 결함 수정비용 전자신문 NIST SW ( , 2015.8.23.)

Page 41: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

39

조사에 따르면 오픈 소스를 사용한 개발자 수가 80%3)에 이르고 있고 판매되는, 소프트웨어의 가 70%

오픈소스 컴포넌트이며 상용소프트웨어 제조사 가 , 85% 오픈 소스에 의존하고 있다.4) 본 오픈소스 취약

점 점검서비스를 받게 되면 소프트웨어 저작권 적용 여부도 함께 점검받아볼 수 있다.

정보보호 종합컨설팅 6)

지난해부터 인프라를 운영하거나 정보통신서비스를 제공하는 중소기업을 대상으로 정보보호 종합 ICT

컨설팅 서비스를 제공하고 있다.

보안 현황 및 취약점 분석 모의 해킹 정보보호 정책 기술 진단 등 중소기업별 , , ‧ 맞춤형 컨설팅이 제공

되며 기존의 현장컨설팅이 애로사항 중심의 업종에 무관한, 컨설팅이라면 본 컨설팅은 인프라를 보유 ICT

한 기업을 대상으로 특화된 종합컨설팅이다.5)

다만 일정 부분 기업 , 매칭 비용이 있기에 보안 투자에 인식이 부족한 기업을 대상으로 지속적인 인식

제고 노력이 필요하다.

지원 서비스 7) SECaaS

금년도부터는 단순 이메일 홈페이지 사용자 등 소규모 시설을 보유하고 있는 영세 중소기업을 , , PC ICT

대상으로 SECaaS6) 지원 사업을 추진할 예정이다 .

년도 최초 인천센터 개소 이후 올해 신규 개설 예정인 지역 센터도 있지만 14 , , 지역 센터 거점사업이

기본적인 정보보호 지원 사업을 시작으로 해를 거듭할수록 다양화 집중화 되고 있어 서비스 수혜 폭이 ‧

넓어진 중소기업에는 바람직한 방향이다.

중소기업의 정보보호 실천력 제고를 위한 향후 모색 방향 3.

앞에서 살펴본 바와 같이 한국인터넷진흥원은 지역 센터를 거점으로 지역 중소, 기업을 대상으로 다양한

지원 사업을 전개하고 있다. 이러한 지원 사업이 차 산업혁명 시대 도래에 발맞추어, 4 좀 더 발전적인 방안

을 찾아보고자 다음과 같이 제언해 본다.

첫째 형식의 수요확보 전개 , Top Down

초창기 지역 센터는 지역 네트워크를 활용하여 중소기업의 업종 및 규모와 관계없이 양적 수요확보도 포

함하여 저변 확대까지 고려해 왔다면 다변화된 최근 거점사업, 처럼 앞으로는 형식의 전국단위, Top Down ‧

핵심타겟 위주의 전개가 필요하다.

3) 지난 년 동안 오픈소스를 사용한 개발자 수 Forrester developer survey 2015 ( 1 )4) Gartner User Survey Analysis : Open-Source Software, 20155) 정보보호 컨설팅 비용 전액 만 원 이상 및 보안 솔루션 구매비용의 일부 최대 만원 등 (700 *) ( 300 **) 기업당 천만 원 내외 지원 1 (기업별 정보보호 솔루션 구매비용의 최대 만 원을 매칭 지원50%, 300 )6) 기업의 별도 보안활동이 없어도 클라우드 보안서비스 제공 기업이 클라우드 서비스 (SECaaS :

기반으로 원격에서 필요한 보안 기능 전반을 제공 SECurity as a Service)

Page 42: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

40

가령 대기업 협력사 스마트공장 전력 및 가스 등 에너지 분야 해킹 취약 분야 등 전국 단위의 비교 , , , ,

적 규모가 크고 보호해야 할 대상이 많거나 차 산업 연관 이슈 분야나 지역의 산업적 특성 등을 고려, 4

한 수요를 발굴하여 개별접촉이 아닌 사전 기관 간의 협력을 통한 전개가 전국 확산에 효과적이라 하겠,

다.

둘째 선택 집중을 통한 우수사례 발굴 , ‧

지역 센터의 한정된 예산과 인력으로는 전국에 소재한 수많은 중소기업을 대상으로 효율적인 지원 사

업을 전개해 나가는 데 한계가 있을 수밖에 없다.

최근 더욱 지능화와 첨단화 되는 각종 침해사고에 효과적으로 대응해 나가기 위해서는 선택과 집중을

통한 역량을 결집하여 피해를 최소화하거나 예방할 수 있도록 질적 수준 제고를 도모하는 것이 바람직

하다고 본다 또한 분야별 우수사례 발굴 및 전파를 통해 연관 기업으로의 파급효과를 위한 노력도 필. ,

요하다.

셋째 전국 지역 센터의 역할 및 기능 보강,

지역 센터가 지역의 거점으로 자리매김하여 지원 사업을 체계적이며 효과적으로 전개하기 위해서는 인력

과 예산 외에 지역과 연계된 사업기능의 점진적 확대가, 필요하다 . 및 정보보호 전문기관인 한국인터 ICT

넷진흥원이 보유하고 있는 다양한 기능과 역량 및 콘텐츠가 지역거점 지원 사업과 연계될 때 중소기업 ,

경쟁력 강화를 위한 시너지는 더욱 커질 것으로 생각한다.

Page 43: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

41

중국 개인정보보호 동향

서론1.

한국인들에게 중국은 개인정보보호 측면에서 가해자라는 인식이 강하다 즉 중국은 보이스피싱의 발 .

원지라거나 중국에는 한국인을 대상으로 하는 기업화된 보이스피싱 조직이 있다는 식이다 그러나 이러, .

한 일반적인 인식과 달리 중국도 휴대폰 및 인터넷의 보급과 경제력 향상으로 인해 개인정보보호 관련

사고가 지속해서 증가하고 있으며 다양한 피해 사례가 보고되고 있다 중국인터넷협회, . (Internet Society

가 년 월 발표한 년 중국 네티즌 권익 보호 조사 보고서of China) 2016 6 “2016 (中 民 益保 告国网 权 护调查报

에 따르면 중국 2016)” , 네티즌이 스팸 메일 스팸 문자 개인정보 노출 등으로 인한 손실은 인당 위, , 1 133

안 약 만 원 이며 전체( 2.3 ) , 억 위안 약 조 원 에 달한다 이에 본고에서는 중국의 개인정보 관련 주 915 ( 16 ) .

요 사건을 소개하고자 한다.

쉬위위 사건2.

사건 개요2.1

쉬위위 사건은 년 월에 일어난 보이스피싱 사건이다 ( ) 2016 8徐玉玉 1) 피해자는 어려운 가정 형편에도 .

불구하고 대학에 합격했으나 보이스피싱을 당하게 된다 전 재산에 가까운 돈을 사기당하여 상심한 피, .

1) https://baike.baidu.com/item/%E5%BE%90%E7%8E%89%E7%8E%89/19919942?fr=aladdin

Page 44: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

42

해자는 공안에 신고하고 귀가 중에 급사하게 된다 이 사건이 언론에 보도되자 범인에 대한 비난 여론.

과 정부에 대한 비판 여론이 높아졌다 중국 정부는 전담 수사반 구성 지명 수배 등 적극적인 대응을 . ,

통해 신속하게 범인을 검거한다 이 사건은 개인정보보호의 중요성을 부각하여 년 월 네트워크 . , 2016 11

안전법 통과에도 큰 영향을 끼쳤다( ) . 路安全法网

쉬위위 사건 개요 및 사진

출처 바이두[ : ]

쉬위위는 중국 산동성 린이시 의 고등학생으로 년 남경우전대학 영어과에 ( ) , 2016 ( ) 臨沂市 南京 大邮电 学

합격하였다 가정 형편이 어려워서 외지에서 근무하는 부친이 버는 돈이 수입에 전부였다 년 월 . , . 2016 8

일 오후 시 분에 그녀는 장학금을 지급하겠다는 사기 전화를 받는다 이 전화에 속아 위안19 4 30 . 9,900

약 만 원 을 송금하게 된다 문제는 하루 전인 월 일 교육부로부터 장학금 지급에 대한 전화를 ( 170 ) . 8 18

이미 받았다는 것이다 이는 사실로 확인되어 보이스피싱 조직이 이러한 사실을 악용한 것으로 밝혀졌. ,

다 월 일 그녀는 공안에 가서 사고 신고를 한 이후 집으로 돌아가는 도중 심장마비로 사망하게 된. 8 21 ,

다 비난 여론이 높아지자 공안은 범인의 신원을 파악하고 현상금과 함께 지명수배를 내린다 결국 월 . . , 8

일 범인 명을 모두 검거하게 된다 년 월 일 산동성 린이시 중급인민법원은 판결을 내리는28 7 . 2017 7 19

데 주범인 천원휘 의 경우 무기징역 전 재산 몰수라는 중형이 내려졌다, ( ) , , .陳文輝 2)

고찰2.3

이 사건은 빈부 격차가 심화한 중국 사회에서 좋은 대학에 진학하는 것이 가난을 탈출하여 자수성가

2) http://news.163.com/17/0719/12/CPN7R6NG0001875P.html

Page 45: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

43

하는 거의 유일한 수단이 된 사회 현실을 반영한다 중국의 많은 부모는 비록 자신들은 도시( ) . 自手成家

에서 막노동으로 생계를 유지해도 자녀의 교육에는 아낌없이 돈을 투자한다 중국은 년부터 산아제. 1982

한정책인 계획생육 을 시행하여 부부의 대부분은 명의 자녀만 출산하게 되었다 이렇게 태어( ) , 1 . 生育计划

난 독생자녀 가 성장하여 결혼하면 역시 명의 자녀만 출산하게 된다 즉 조부모 명 부모 ( ) 1 . 4 , 2生子女独

명 자녀 명이 가족 구성원인 가정이 절대다수가 된 것이다 이러한 상황이니 자녀에 대한 교육열은 , 1 421 .

매우 높고 대학 진학을 위한 경쟁도 치열하다 이렇게 유일한 신분 상승의 기회를 잡은 학생이 비극적, .

인 죽음을 맞이하게 되자 일반 대중들의 분노가 폭발한 것이다, .

한편 중국 정부는 년 월 네트워크 안전법 초안을 제출하고 심의 중이었는데 이 사건을 법안 통 2015 6 ,

과를 위한 명분으로 활용한 측면이 있다 즉 개인정보 보호의 중요성을 강조하기 위하여 신속히 대응하. ,

고 이를 언론에 많이 노출한 것으로 추정된다.

쉬위위 보이스피싱 사건 재판 장면

출처[ : news.163.com]

중국 보이스피싱 사건3.

개요3.1

중국의 보이스피싱 범죄도 계속해서 진화하고 있다 최근의 특징 중 하나는 범행에 가담하는 사람이 .

대만인이 많아졌다는 것과 범행 장소가 중국 국외로 확대된 것이다 이는 심화하는 대만 청년들의 실업 .

문제와 대만인들의 표준어 구사 능력이 원인일 것으로 생각된다 또한 인터넷 기술의 발달로 중( ) . , 普通话

국 국외에서도 중국인들을 대상으로 보이스피싱 통화가 저가의 비용으로 가능해진 것도 원인이라고 생

각된다.

중국 정부는 년 월 네트워크 안전법 을 시행하고 최고인민법원과 최고인민검찰원의 공민 개인 2017 6 “ ” , “

정보 침해 형사사건의 법률적용 문제에 관한 해석 을 통해 개인정보보호에 적극적으로 대응하고 있다” .

또한 다양한 신고센터를 운영하며 전화 휴대폰 홈페이지 등을 통하여 사고 신고를 접수받아 처리하고 , , app,

Page 46: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

44

있다.

공안부 인터넷범죄신고 - (www.cyberpolice.cn)

중국 인터넷 위법 및 불량정보 신고센터 - (www.12377.cn)

네트워크 불량 및 스팸정보 고발센터 - (www.12311.cn)

공상행정관리총국 소비자권익보호국 - (www.12315.cn)

소비자협회 - (www.cca.org.cn)

사건 사례3.2

중국 보이스피싱 사건 개요

출처 중앙일보[ : ]

년에는 대만의 보이스피싱 조직이 한국 제주도에서 주택을 임대하여 중국 국민을 대상으로 보이 2018

스피싱을 하다가 한국 경찰에 적발되어 체포된 사례도 있었다3) 즉 범죄 장소는 한국 가해자는 대만. , , ,

피해자는 중국이 되어 개국이 관련된 국제 사건이 발생한 것이다 고민 끝에 한국 경찰은 체포한 보이, 3 .

스피싱 조직원들을 중국으로 보내 중국 법률에 따라서 처벌하도록 하였다, .

사건 유형3.3

다음은 중국인터넷협회가 운영하는 네트워크 불량 및 스팸 정보 고발센터에서 발간한 모바일 인터넷

안전 지식 수첩에 소개된 주요 사기 문자 유형이다 한국과 유사하게 은행 이동통신사 교통법규 경품 . , , ,

당첨 등의 방법을 사용한다 항공권의 경우는 실제 예약 정보를 이용한다는 것이 특이한데 이는 항공사. ,

의 예약 정보가 직원 혹은 협력사에 의해서 유출되었기 때문으로 추정된다 항공 관련된 특이한 보이스.

3) https://news.joins.com/article/22272363

Page 47: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

45

피싱 사례도 있는데 이는 항공기 탑승 중에는 핸드폰 사용이 어려운 점을 악용한 것이다 즉 특정 인물, .

이 항공기에 탑승하면 그 사람의 핸드폰 번호를 도용하여 지인들에게 사기 문자를 보내는 것이다 이러, .

한 유형은 실시간 항공기 탑승 정보를 알지 못하고서는 불가능한 범죄라서 항공사 혹은 공항의 내부 ,

직원들이 정보를 유출한 것으로 추정할 수 있다.

순번 유형 설명

1

공상은행 대표번호 를 이용한 안내 메시지< (95588) >범죄자들은 피해자에게 자신의 신분을 속이기 위하여 신뢰도가 높은 은행의 공식 , 메시지 번호를 도용하여 범죄 행위를 한다 예를 들면 공상은행 공식 메. ( ) 工商銀行시지 번호 을 도용하여 메시지를 보내는데 내용은 고객님의 인터넷 뱅킹 ‘95588’ “비밀번호 사용 기한이 만료되었으므로 재등록하여야 하며 기존 비밀번호와 새 비, 밀번호를 답장해주세요 라는 것이다 만약에 요구에 따라 실행하면 몇 분 내에 피” . 해자 은행 계좌에 있는 돈은 범죄자에게 이체된다.

중국 기업은 대표전화번호로 자리 숫자5를 사용함 한국은 . 8자리 예시 국민은행 ( :

를 많이 1588-9999)사용함.

2

포인트로 현금 환불 가능<10086 >손모씨 는 에서 보낸 메시지를 받았는데 포인트로 현금을 교환할 수 있( ) 10086 , 孙다는 내용이었다 손모씨가 메시지에 있는 링크를 클릭하였는데 중국이동. ‘ (中國移

온라인 사이트 라는 사이트에 접속하게 되었고 안내에 따라 핸, China Mobile) ’動드폰 번호 은행 계좌 번호 등 개인정보를 입력하고 현금이 들어오길 기다렸다, . 하지만 다음날 현금이 입금되지 않고 도리어 은행에 있는 위안이 사라졌, 43,000다 범죄자들은 발신 번호 조작기를 이용하여 이동통신회사로 위장하여 개인의 은. 행 계좌 번호 신분증 번호 핸드폰 번호 등의 정보를 알아내어 개인들에게 피해, , 를 주는 것이다.

중국이동은 중국의 3대 이동통신사 중의 하나로 홈페이지 주소도 숫자로 되어 있음(10086.cn).

3

교통법규 위반 사기< >최근 자동차를 이용한 여행이 유행하면서 교통법규 위반 문자 사기가 많이 발생, ‘ ’ 하고 있다 이런 메시지는 휴일 이후에 발송되며 많은 사람들이 교통법규를 위반. 하였을 때 통지하는 방식을 모르는 점 또는 외지에서 교통법규를 위반하였을 때 , 처리 방법을 모르는 점 귀찮은 것을 싫어하는 등 사람들의 심리를 이용하여 범죄 , 행위를 한다 현재 이런 사기 방식은 가지 유형인데 한 가지는 속도 위 벌금 안. 2내를 하며 계좌 이체를 유도하는 것이다 다른 하나는 차주에게 다수의 속도 위, . 반 고지서가 있다고 안내하며 조회를 위해 핸드폰에 특정 , app(www.xxxx/p.apk) 설치를 유도하는 것이다 이는 첫 번째 유형보다 더 심각하고 핸드폰과 연결되어 . 있는 인터넷 뱅킹에 있는 돈이 이체될 수 있다.

중국 교통법규 통지 문자의 경우 안내를 , 하는 경우는 있지만 수납은 교통경찰대에서 가능함.

4

예능 프로그램의 경품 당첨< >인기 있는 예능 프로그램으로 위장하여 피해자에게 프로그램의 행운 시청자“OO로 당첨되었다 는 문자 사기도 많다 장쑤성 황모씨 는 중국버전 런닝맨” . ( ) ( )江 省苏 黄

프로그램에서 보냈다는 문자에 속아 만 위안의 현금을 사기당( ) 1 8000奔 兄弟跑吧했다 이런 사기는 보통 가지 유형이 있다 첫째는 피해자에게 세금 등을 지불하. 2 . 여야 한다며 먼저 입금을 요청하는 것이고 둘째는 피싱 사이트를 만들어 메시지, 에 사이트 주소를 첨부하여 피해자가 피싱 사이트에 접속한 후 요구에 따라 신분증 번호 핸드폰 번호 은행 계좌 및 비밀번호를 입력하도록 하는 것이다, , .

런닝맨의 중국 SBS 버전인 달려라 형제

는 절강( )奔 兄弟跑吧방송국에서 제작하며, 시즌 까지 제작된 5인기 프로그램임.

5

항공권 예약 변경 메시지< >황모씨 는 을 통하여 친구를 위해 월 일 선전 션양 왕복( ) 12580 7 15 ( )- ( ) 某 深 沈黄 圳 阳티켓을 구매하였는데 얼마 지나지 않아 선전항공으로 자칭하는 메시지를 받았다. 메시지에는 황모씨가 구매한 항공편이 항공기 고장으로 인해 취소되었으니 항공권을 변경하여야 하며 위안의 비용이 필요하다고 하였다 메시지 내용에는 황모20 . 가 구매한 정보가 있었으며 상담을 위한 고객센터 전화번호 도 있, (400-663-2993)었다 황모씨는 전화 상대방의 요구에 따라 컴퓨터로 인터넷 뱅킹에 접속하여 . 20

번 전화는 중국에400서 고객 응대를 위하여 많이 사용하는 대표번호의 국번임.

주요 사기 문자 유형

Page 48: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

46

출처 모바일 인터넷 안전 지식 수첩[ : ]

모바일 인터넷 안전 지식 수첩

출처 [ : 네트워크 불량 및 스팸정보 고발센터]

결론4.

개인정보 사고는 전 세계적으로 공통된 이슈이며 중국도 예외가 아니다 또한 기술의 발달로 인 , . , ICT

하여 특정 국가에서 발생하는 사고라고 하여도 세계 여러 국가와 관련이 된 경우가 많다 본고에서 살, .

펴본 것과 같이 중국에서도 개인정보보호 사고가 자주 발생하고 있으며 국민의 인식도 상당히 높아졌,

다 이러한 이유로 앞으로도 중국의 개인정보 관련 사고의 동향을 지속해서 파악하고 국가 간 공동 연. ,

구 조사 등을 통해 공동 대응할 필요가 있다 특히 보이스피싱 등의 유형 패턴 등을 공유하면 한국의 , . , ,

보이스피싱 예방 및 대응에도 많은 도움이 될 것으로 생각한다.

위안을 린밍홍 이라는 사람에게 입금 하려고 하였지만 조작을 끝내지 못‘ ( )’ 林名虹한 상태에서 컴퓨터는 멈춰버렸고 분 뒤에 정상으로 회복되었다 황모씨가 다시 1 . 인터넷 뱅킹을 접속하여 보니 은행에 있는 만 위안이 이미 이체된 후였다 전문50 . 가의 분석에 따르면 황모씨의 컴퓨터는 바이러스에 감염되었고 범죄자는 이 바이, 러스를 통하여 원격으로 돈을 이체한 것이다.

Page 49: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

47

개인정보자기결정권과 동의의 관계에 대한 이해

이인호

• • • •

나에 관한 데이터 즉 나의 개인정보, (personal data)1)에 대해 정보주체 인 나는 어떤 권리(data subject)

를 가지는 것일까 반면 그 데이터를 수집하고 처리하는 자 즉 개인정보처리자 는 나의 ? , (data controller)

개인데이터에 대해 어떤 권리를 가지는 것일까 누가 어떤 권리를 얼마만큼 가지는지는 헌법 과 법? ( )憲法

률 에 따라서 정해진다( ) . 法律

헌법상의 권리로서 개인정보자기결정권이 보장된다는 것의 규범적 의미

년에 헌법재판소는 이른바 2005 ‘주민등록 지문정보 사건DB ’2)에서 주민등록 목적으로 수집한 , 3,900

만 국민의 지문정보 를 경찰청장이 보관 전산화하여 범죄수사 등의 목적에 이용하는 것에 대해( )指紋情報 ‧

서 국가기관에 의한 이러한 수집 제공 이용은 정보주체의 개인정보자기결정권을 제한하는 것이라고 하, ‧ ‧

면서 그렇지만 법률적 근거가 미약하나마 있고 또 정당한 이용목적에 비추어 무리한 활용이 아니므로

헌법에 위반되지 않는다고 판단하였다.3) 이 결정에서 헌법재판소는 정보주체에게 새로운 헌법상의 권리

1) 데이터 와 정보 는 엄밀하게는 구별된다 갑이라는 사람의 키가 일 때 는 데이터이(data) (information) . 175 , 175㎝ ㎝고 갑은 키가 이다 라고 할 때 그것은 정보이다 갑의 개인정보이다 유럽연합의 일반개인정보보호규칙, ‘ 175 ’ . . ㎝

은 개인데이터 라는 표현을 채택하고 있다 수집해서 가공하고 전달하는 처리 과정의 관점(GDPR) ‘ ’(personal data) . 에서 보면 데이터 라고 표현하는 것이 더 적절해 보인다 물론 이들 데이터가 결합하면 정보로서의 성격을 ‘ ’(data) . 지니게 된다.

2) 헌재 헌마 등 판례집 2005. 5. 26. 99 513 , 17-1, 668.3) 인 헌법재판관의 다수의견 합헌 그러나 인의 위헌의견은 명시적인 법률적 근거가 없고 나아가 설령 이용목적6 ( ). 3

Page 50: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

48

기본권 인 개인정보자기결정권 을 헌법해석을 통해 처음으로 인정하였다 이처럼 정보주체인 개인에게 ( ) ‘ ’ .

헌법상의 권리로서 개인정보자기결정권이 인정된다고 하는 것은 규범적으로 어떤 의미를 지니는 것일

까?

그 의미는 이러하다 이제 국가기관을 비롯하여 헌법의 구속을 받는 모든 공공기관은 국민의 개인데 .

이터를 처리 수집 이용 가공 제공 등 함에 있어서 법률적 근거를 가져야 하고 정당한 목적을 위해 합리적( )‧ ‧ ‧

인 수준에서 처리하여야 한다 여기서 합리적인 수준의 처리인지 아닌지는 그 처리가 정보주체의 사생.

활이나 다른 기본권적 이익을 훼손할 위험 의 정도에 따라 개별적으로 평가될 것이다 그리고 공공(risk) .

기관이 개인정보처리자로서 어떤 처리의 조건들을 준수하여야 헌법적으로 허용되는지를 헌법재판소는

아직 명확한 기준을 제시하지 않고 있다 그렇지만 이제 개인정보자기결정권이라는 기본권이 인정된 이.

상 공공기관이 개인데이터를 처리하면서 법률적 근거가 없거나 합리적 수준의 처리 범위를 넘어선 경,

우에 그러한 데이터처리는 개인정보자기결정권을 침해한 것으로 헌법위반이 되고 헌법위반의 효과로서 , ,

그 처리는 중단되어야 한다.

여기서 정보주체의 동의 는 어떤 역할을 하는 것일까 만일 개인정보자기결정권을 위헌적으로 침해하 ‘ ’ ?

는 것으로 평가될 수도 있는 공공기관의 정보처리에 대해 정보주체가 동의했다면 그 정보처리는 헌법,

적으로 정당한 처리로서 허용되게 된다 여기서 정보주체의 동의는 개인정보자기결정권 침해를 합법화.

시켜주는 즉 위법 위헌성을 원천적으로 해소하는 별도의 의사표시이다 요컨대 정보주체의 동의 는 정, . , ‘ ’‧

보주체가 가지는 개인정보자기결정권 의 내용에 포함된 권능이 아니라 개인정보자기결정권과는 별개로‘ ’ , ,

기본권 주체에게 귀속된 의사의 자유로서 오히려 개인정보자기결정권의 침해로 인한 위법성을 합법성

으로 전환해주는 행위이다(lawfulness) .

개인정보자기결정권과 동의권의 구별

흔히 우리 사회에서 개인정보자기결정권과 동의권을 같은 권리로 이해하는 경향이 있다 즉 개인정보 . ,

자기결정권이라는 기본권의 권리 내용 안에 정보주체의 동의권이 포함되어 있어서 정보주체의 동의를

받지 않은 개인데이터의 처리 수집 이용 가공 제공 등 는 곧 개인정보자기결정권의 침해이고 따라서 그 ( )‧ ‧ ‧

처리는 금지되거나 중단되어야 한다고 생각하는 경향이다.

그러나 이는 양자의 관계에 대한 오해 이다 개인정보보호법제에서 양자는 별개의 권리로서 서로 ( ) . 誤解

다른 기능을 수행한다 즉 개인정보자기결정권이란 개인정보처리자 가 수행하는 개인데. , (data controller)

이터 처리 과정에서 자칫 정보주체의 사생활권 이나 기타의 권리가 침해될 수 있는 위(right to privacy)

험 을 예방하기 위해서 정보주체가 그 데이터처리 과정에 적극 참여하여 데이터처리의 오 남용을 방(risk) ‧

지할 수 있도록 하는 권리이다 이에 반해 정보주체의 동의는 오 남용의 위험을 스스로 받아들이는. , (引‧

행위이며 정보주체는 이러한 동의권 행사에 있어서 자유로운 의사결정권을 가진다) , . 受

이 정당하더라도 그 범위 대상 기한 등 아무런 이용조건이 없이 경찰청이 이를 광범위하게 활용하는 것은 개인정‧ ‧보자기결정권을 침해하여 위헌이라는 반대의견을 제시하였다.

Page 51: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

49

요컨대 개인정보자기결정권의 권리내용 안에 동의권이 포함된 것이 아니며 양자는 서로 기능을 달리 ,

하는 별도의 권리라는 점을 이해할 필요가 있다 그러나 우리 사회에서는 정보주체의 동의 없는 개인데.

이터의 처리는 곧 개인정보자기결정권의 침해이고 위헌 위법이라고 생각하는 경향이 강하다 이러한 오. ‧

해의 경향이 한국의 개인정보보호법제에 깊은 영향을 미치고 있는 것으로 보인다 그 결과 한국의 보호.

법제는 개별적인 사전 동의의 원칙에 기반을 둔 형사처벌 위주의 경직된 보호법제 라는 특징을 갖게 된 ‘ ’

것이라고 판단된다 이하에서 이 점과 관련하여 몇 가지 더 비판적 의견을 제시하고자 한다. .

전통적인 사생활비밀보호권과 새로운 개인정보자기결정권의 구별

헌법에서 전통적인 사생활비밀보호권 과 새로운 개인정보자기결정권 이 어떻게 다른지를 이해할 필요 ‘ ’ ‘ ’

가 있다 한국 헌법은 개인이 가지는 사생활의 비밀 을 국가기관의 침해로부터 보호하기 위해 여. (privacy)

러 조항에서 사생활비밀보호권 을 보장하고 있다 헌법 제 조는 모든 국민은 사생활의 (right to privacy) . 17 “

비밀과 자유를 침해받지 아니한다 고 하여 일반적인 사생활비밀보호권을 규정하면서 별도로 제 조에.” , 18

서 모든 국민은 통신의 비밀을 침해받지 아니한다 고 하여 사적으로 주고받는 커뮤니케이션 통신 과정“ .” ( )

에서의 비밀에 대한 보호를 규정하고 있다 나아가 제 조에서는 주거 라는 사생활 공간에서의 비. , 16 ( )住居

밀 을 합법적으로 침해하려고 할 때는 법관이 발부하는 영장에 의하도록 하고 있다 주거에 대한 (privacy) (

압수 수색에서의 영장주의 그 외에 제 조 제 항은 형사 절차에서 압수 수색을 통해 사생활비밀을 합). 12 3‧ ‧

헌적으로 침해하기 위해서는 적법한 절차에 따라 검사의 신청에 따라 법관이 발부한 영장을 제시하여“

야 한다 고 규정하고 있고 영장주의 같은 조 제 항에서는 누구든지 법률에 의하지 아니하고는 압수 수” ( ), 1 “ ‧

색을 받지 아니한다 고 규정하고 있다” .

이들 헌법의 사생활비밀조항은 통상적으로 공개되어 있지 않은 숨기고 싶은 개인의 사적 비밀 을 국 , ‘ ’

가가 정당한 이유 없이 함부로 침해해서는 안 된다는 원칙을 선언한 것이다 이에 따라 만일 국가가 개. (

인의 의사에 반하여 그의 동의 없이 그의 사생활비밀을 침해하고자 하는 경우 국가는 국가안전보장 질) , ‧

서유지 또는 공공복리를 위한 정당한 이유를 제시하여 그 침해의 합법성 을 인정받아야 한다(lawfulness) .

그리고 입법자는 그 침해를 위한 요건과 절차를 미리 법률에 규정해 두어야 한다 법률유보의 원칙 그( ).

리고 법률에 규정된 침해의 요건과 절차가 헌법이 요구하는 수준에 합당한 것인지는 추구하는 공익과

잃게 되는 사생활이익을 형량하여 판단하게 된다 과잉금지의 원칙 이는 개인의 사생활비밀보호권이 절( ).

대적인 권리가 아니라는 의미이다 정당한 공익과의 형량을 통해 합법적으로 양보 혹은 침해될 수 있는 .

가능성을 내재적으로 지닌 권리이다 즉 사생활비밀을 가진 본인의 동의와 상관없이 합법적으로 그 비. ,

밀을 깰 수 있는 규범적 가능성이 열려 있는 것이다 사실 모든 기본권이 이처럼 절대적 권리가 아닌 .

상대적 권리로서의 속성을 지니고 있다.

이처럼 한국 헌법은 사생활비밀을 보호하는 권리들을 인정하는 조항을 두고 있지만 일반적인 개인정 ,

보 혹은 개인데이터 를 특별히 보호하는 조항은 두고 있지 않다 사생활비밀 과는 달리(personal data) . ‘ ’ ,

개인에 관한 정보 혹은 데이터 는 모든 거래 의 과정에서 필연적으로 생성되고 처리된다 국‘ ’ (transaction) .

Page 52: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

50

가와 거래관계를 맺는 모든 시민은 자신에 관한 정보나 데이터를 국가에 제공한다 국가는 그 데이터를 .

처리 수집 이용 가공 제공 등 해서 판단을 내리고 각종의 정부서비스를 제공한다 이 개인데이터는 이미 ( ) . ‧ ‧ ‧

거래 과정에서 자연스럽게 국가에 제공된 것이어서 위에서 언급한 헌법상의 전형적인 사생활비밀 의 범, ‘ ’

주에 원칙적으로 속하지 않는다 남에게 알려지지 않은 비밀 이 아니라 거래 과정에서 자연스럽. (privacy)

게 전달된 데이터 이기 때문이다 따라서 현행 헌법상의 사생활비밀보호조항들 제 조 제(personal data) . ( 16 ,

조 제 조 제 조 제 항 및 제 항 은 애초 개인데이터에 대한 보호를 예정하고 있던 규정이 아니17 , 18 , 12 1 3 )

다.4)

그렇지만 국가가 처리 이용하는 시민의 개인데이터에 대한 보호의 필요성은 오늘날 결코 무시할 수 ‧

없는 상황에 이르렀다 그 보호의 필요성이란 단순히 사생활비밀 보호 의 관점이 아니라 잘못된 개인데. ‘ ’ ‘

이터의 처리로 인한 피해 를 예방할 필요성에서 생겨난다 틀린 데이터나 낡은 데이터를 가지고 시민에 ’ .

대한 잘못된 복지 결정이나 자격 결정 등이 내려지지 않도록 해야 하고 나아가 시민 개인에게 민감할 ,

수 있는 데이터를 결합하여 시민을 감시하거나 공격하는 등 의도적으로 악용하는 일이 없도록 해야 한

다 또한 내 외부의 보안침해 로부터 개인데이터를 안전하게 보호해야 한다 이러한 맥락에. , (data breach) . ‧

서 국가가 방대하게 보유하고 있는 시민의 개인데이터를 오 남용하지 않고 안전하고 정당하게 처리 이용‧ ‧

하여야 한다는 헌법적 요청을 담고 있는 권리가 곧 개인정보자기결정권 인 것이다“ ” .

최근에 개인데이터의 보호에 관한 권리를 규범화하고 있는 각국의 헌법들은 모두 전통적인 사생활비

밀보호권 과는 구별하여 개인데이터보호권(right to privacy) ‘ ’(the right to the protection of personal

이라는 표현을 사용하고 있다 예컨대 유럽연합의 기본권헌장data) . , (Charter of Fundamental Rights of

제 조 개인데이터의 보호 제 항은 모든 사람은 자신에 관한 개인데이터의 보호the European Union) 8 ( ) 1 “

를 받을 권리를 가진다.”(Everyone has the right to the protection of personal data concerning him or

고 규정하고 있다her.) .5) 스위스 헌법 제 조 제 항은 모든 사람은 자신의 개인데이터가 오ㆍ남용되지 13 2 “

않도록 보호받을 권리를 가진다 고 규정하고 있으며 그리스 헌법도 모든 사람은 법률이 정하는 바에 .” , “

따라 특히 개인데이터의 전자적 수단에 의한 수집 처리 및 이용으로부터 보호를 받을 권리를 가진다, .”

고 규정하고 있다 제 조( 9A ).

한국의 헌법재판소는 년에 2005 ‘주민등록 지문정보 사건 에서 헌법에 명문의 규정은 없지만 새로DB ’

운 기본권으로서 개인정보자기결정권을 인정하면서 이 권리의 개념을 다음과 같이 규정하였다 개인정, : “

보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를

그 정보주체가 스스로 결정할 수 있는 권리이다 즉 정보주체가 개인정보의 공개와 이용에 관하여 스스.

로 결정할 권리를 말한다 그리고 헌법재판소는 이 권리의 보호대상이 되는 개인정보는 개인의 내밀한 .” “

4) 이 때문에 년에 헌법재판소는 개인정보자기결정권 을 전통적인 사생활비밀보호권과는 달리 새로운 독자적2005 ‘ ’ ‘인 기본권 이라고 성격을 규정했던 것이다’ .

5) 유럽연합의 경우 년의 개인정보보호지침 을 대체하는 새로운 개인정보보호법인 일반1995 (Directive 95/46/EC)「 」 「개인정보보호규칙 에서도 개인정보보호권 이라는 표현을 (GDPR) ‘ ’(the right to the protection of personal data)」사용하고 있다.

Page 53: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

51

영역이나 사사 의 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 ( )私事

개인정보까지 포함 하며 그러한 개인정보를 대상으로 하는 조사 수집 보관 처리 이용 등의 행위는 모두 ” , “ ‧ ‧ ‧ ‧

원칙적으로 개인정보자기결정권에 대한 제한에 해당한다 고 판시하였다.” .

그런데 개인정보자기결정권에 대한 헌법재판소의 이러한 판시는 자칫 오해를 불러일으킬 수 있다 마 .

치 수집에서부터 이용 및 제공에 이르기까지 정보주체가 처리의 전 과정을 직접 결정하거나 통제할 수

있는 권리인 것처럼 오해될 소지가 있다.

그러나 개인정보자기결정권은 정보처리자가 행하는 개인정보처리의 전 과정을 직접적으로 결정하거 ‘

나 통제하는 권리 가 아니다 개인정보처리의 결정권은 개인정보를 처리하는 자에게 있다 유럽연합의 일’ . .

반개인정보보호규칙 은 개인정보처리자 의 의미를 단독 혹은 공동으로 개인데이(GDPR) (data controller) “ ,

터 처리의 목적과 수단을 결정하는 자연인이나 법인 공공기관 그 밖의 기관을 말한다 제 조 제 항 고 , , .”( 4 7 )

정의하고 있다.6)

이에 비해 정보주체의 개인정보자기결정권은 개인정보처리자가 수행하는 자신에 관한 개인데이터의 ,

처리 과정에 참여하여 그 처리를 감시하는 권리 이른바 역감시권 이다 개인정보의 처리에 따르는 위험( ‘ ’) .

의 본질은 (risk) ‘감시 의 위험 이다 여기서 감시의 위험이란 정보주체가 알지도 못하는 상태에서 누( ) ’ . 監視

군가에 의해서 자신에 관한 개인기록 이 만들어지고 그 기록에 담긴 개인정보가 이용되(personal record)

고 공유되며 또 쉽게 통합되어 개인에 관한 프로파일 이 이루어져 쉽게 개인을 분석하고 추적할 (profile)

수 있음을 의미한다 이러한 위험에 대응하기 위한 것이 개인정보보호법제이고 개인정보보호법제는 개. ,

인정보처리자가 그 처리하는 개인정보를 오 남용하지 않고 안전하고 적절하게 이용하도록 정보주체에게 ‧

역으로 감시하는 권능 을 준다 정보주체 스스로 오 남용이 있는지를 감시하게 하고 위법한 처리가 ( ) . ·權能

있을 때 그 시정 을 요구하거나 피해를 구제할 수 있게 하는 것이다 이러한 역감시의 권능을 담고 ( ) . 是正

있는 정보주체의 권리가 바로 개인정보자기결정권 내지 개인정보보호권이다.

이러한 역감시의 기능을 위해 구체적으로는 , 나에 관한 데이터가 누구에 의해서 어떻게 수집 이용 제‧ ‧

공되고 있는지를 알 권리 열람청구권 분명한 처리목적을 설정하고 그 목적달성에 필요한 만큼의 정보( ),

만을 처리하도록 요구할 권리 정보의 정확성과 최신성을 유지하기 위하여 틀린 정보나 낡은 정보를 수,

정하거나 삭제를 요구할 권리 권한 없는 자에 의한 정보 접근을 제한하고 부당한 누출의 방지를 요구,

할 권리 등이 개인정보자기결정권 내지 개인정보보호권의 내용으로 인정되고 있다.7)

요컨대 이 새로운 기본권의 생성배경과 존재 이유에 비추어 볼 때 정보주체의 동의 를 절대화하는 , , ‘ ’

사고 즉 정보주체의 동의 없이는 원칙적으로 처리 수집 이용 가공 제공 등 를 하지 못한다는 관념은 이 , ( )‧ ‧ ‧

새로운 기본권의 보호범위에 포함되어 있지 않다 물론 데이터처리의 정당한 목적 범위를 넘어서는 처.

6) 한국의 개인정보 보호법 은 개인정보처리자란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 “「 」다른 사람을 통하여 개인정보를 처리하는 공공기관 법인 단체 및 개인 등을 말한다 고 규정하고 있다 제 조 제, , .” ( 2호5 ).

7) 유럽연합의 일반개인정보보호규칙 은 개인정보보호권의 구체적인 내용으로 정보주체에게 열람권 제 조 (GDPR) ( 15 ), 틀린 정보에 대한 정정권 제 조 위법한 처리의 경우 삭제권 제 조 과 처리정지권 제 조 정보이동권 제 조( 16 ), ( 17 ) ( 18 ), ( 20 ), 자동결정에 대한 거부권 제 조 을 인정하고 있다( 21-22 ) .

Page 54: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

52

리에 대해서는 그 필요성을 따져 과도하다고 판단되는 경우 개인정보자기결정권 내지 개인데이터보호권

을 위헌적으로 침해하는 것이 될 것이다 물론 이 경우에 정보주체의 동의가 있다면 위헌적 침해의 문. ,

제는 발생하지 않게 된다.

개인정보를 마치 사생활비밀처럼 보호하고자 하는 한국의 개인정보보호법제

한국의 현행 개인정보보호법제를 한 마디로 특징짓는다면 정보주체의 개별적 사전 동의에 기반을 둔 ‘

형사처벌 위주의 경직된 보호체계 라고 규정할 수 있다 이는 개인데이터의 활용을 거의 불가능하게 만’ .

드는 심각하게 균형을 잃은 법제이다 유럽연합 이 년의 개인정보보호지침 을 개정하여 . (EU) 1995 (DPD)「 」

보호를 더 강화했다고 평가받는 년의 일반개인정보보호규칙 보다도 더 강력한 동의기반의 2016 (GDPR)「 」

사전규제를 하고 있기 때문이다.8)

물론 개인정보의 수집 이용 에 있어서는 유럽연합과 유사하게 개인정보처리자의 정당한 이익을 달성 ‘ ’ ‘‧

하는 데 필요하다면 정보주체의 사전 동의 없이 개인정보를 수집 이용할 수 있는 길 을 열어 놓고 있다’‧

개인정보보호법 제 조 제 항 제 호 그러나 정보통신망법에서는 수집 이용 에 있어서도 이런 가능성( 15 1 6 ). ‘ ’‧

마저 봉쇄하고 않다 제 조 나아가 개인정보의 제 자 제공 에 있어서는 정보주체의 사전 동의를 거의 ( 22 ). ‘ 3 ’

절대화하고 있다 즉 정보주체의 사전 동의 없는 제 자 제공은 그 자체로 불법 이 되고 년 이하의 . , 3 ( ) 5不法

징역 또는 천만 원 이하의 벌금에 처해진다 개인정보보호법 제 조 및 제 조 제 호 정보통신망법 제5 ( 18 71 2 ,

조의 및 제 조 제 항 제 호 또한 이 경우 매출액의 분의 에 해당하는 과징금이 부과된다 정24 2 71 1 3 ). , 100 3 (

보통신망법 제 조의 제 항 제 호64 3 1 4 ).

요컨대 현행법률상 개인정보처리자 개인 기업 단체 가 자신 혹은 제 자의 정당한 업무수행을 위해 , ( , , ) 3

정보주체의 동의 없이 개인정보를 제 자와 주고받을 수 있는 가능성이 거의 봉쇄되어 있다 단지 세 가3 .

지 예외만 허용되고 있다 즉 다른 법률에 이를 허용하는 특별 규정이 있거나 정보주체가 사. , ( ) , ( ) ⅰ ⅱ

전 동의를 할 수 없는 상황에서 정보주체나 제 자의 급박한 생명 신체 재산을 보호하기 위해 필요한 경3 ‧ ‧

우 또는 통계작성과 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 , ( ) ⅲ

형태로 제공하는 경우에만 가능하다 개인정보보호법 제 조 제 항 제 호( 18 2 2, 3, 4 ).

이런 법률 하에서는 개인데이터를 주고받을 수 있는 데이터 생태계의 성립 자체가 불가능하다 개인 .

데이터를 단일의 정보처리자 기업 단체 내에서만 수집 이용할 수 있게 해 놓으면 빅데이터는 그 자체( , ) , ‧

로 불가능하다 빅데이터가 존재하지 않는다면 인공지능은 물론이고 차 산업혁명이 가져다주는 다양한 . 4

8) 한국의 개인정보보호법제는 세계에서 가장 강력한 규제법제로 알려져 있다 외국의 평가를 몇 가지 소개한다 . . (1) 한국은 아시아에서 가장 강력한 데이터보호법 을 가지고 있“ (the strongest data privacy laws in Asia)

다.”(Constance Gustke, Which countries are better at protecting privacy?, BBC Capital, June 26, 2013); (2) 국제프라이버시전문가협회 에 따르면 한국은 세계에서 가장 “ (International Association of Privacy Professionals) ,

엄격한 프라이버시보호법 을 가지고 있다(the world’s strictest privacy laws) .”(Paul Sutton, Data Protection in 한국의 포괄적인 개인정보보호법은 세계에South Korea: Why You Need to Pay Attention, Aug. 15, 2018); (3) “

서 가장 엄격한 프라이버시 규제체계 중의 하나이다(one of the world’s strictest privacy regimes).”(Alex Wall, GDPR matchup: South Korea’s Personal Information Protection Act, Jan. 8, 2018).

Page 55: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

53

혁신 또한 불가능해진다.

이런 한국의 법제와 달리 유럽연합의 일반개인정보보호규칙 은 모든 개인정보의 처리 , (GDPR)「 」

즉 수집 이용 뿐만 아니라 제 자 제공 에 있어서도 정보주체의 동의 없이 민간의 개인정보(processing), ‘ ’ ‘ 3 ’ , ‧

처리자나 제 자의 정당한 이익을 위해 제 자와 개인데이터를 주고받을 수 있는 합법적인 길을 열어두고 3 3

있다 즉 개인정보처리자나 개인정보를 제공받는 제 자가 추구하는 정당한 이익 을 . , “ 3 (legitimate interests)

달성하기 위하여 정보처리가 필요한 경우 다만 그러한 이익보다 정보주체의 기본적인 권리와 자유를 보( ,

호해야 하는 이익이 더 클 때에는 그러하지 아니함 를 합법적인 정보처리의 기준으로 규정하고 있다 제)” (

조 제 항 6 1 (f)).

이처럼 유럽연합은 제 자 제공에 있어서도 정보주체의 사전 동의를 반드시 요구하지 않는다 정보주 3 .

체의 사전 동의는 정보처리 수집 이용 제 자 제공 의 합법성 을 판단하는 요건 중의 하나일 뿐( 3 ) (lawfulness)‧ ‧

이다 이런 규범적 상태 하에서 개인정보의 비식별조치에 관한 규율 또한 의미를 가지게 된다 개인정보. .

를 비식별화하는 이유는 개인데이터를 법적 제재의 위협 없이 자유롭게 제 자와 공유할 수 있는 가능성3

을 열어주고자 하는 것인데 아무리 비식별화 를 한다고 하더라도 재식별, (de-identification)

의 가능성이 늘 존재하는 것이어서 이런 가능성이 현실화되는 경우 비록 정보주체의 (re-identification) ,

동의는 없었지만 이익형량을 통해 제 자 제공의 합법성이 인정될 수 있어야 한다 현행 한국의 법제처, 3 .

럼 제 자 제공에 있어서 정보주체의 사전 동의를 거의 절대적인 합법성 요건으로 하고 있다면 비식별3 ,

조치를 통한 제 자 제공은 늘 법적 제재의 위협 하에 놓여 있는 셈이 된다3 .

한편 일본의 개인정보보호법도 유럽연합과 마찬가지로 민간의 개인정보처리자가 자신 또는 제 자의 , 3

정당한 업무수행을 위하여 또는 광고나 마케팅 목적을 위하여 수집 처리한 개인정보를 정보주체의 동의 ‧

없이 제 자에게 제공하는 것을 합법적으로 허용하고 있다 다만 이 때 정보주체에게는 사전 고지와 사3 . ,

후 거부권 을 주어 통제할 수 있도록 하고 있다 즉 사후에 정보주체의 요청이 있으면 (right to object) . ,

제 자 제공을 정지한다는 조건 하에 가지 사항을 미리 통지하거나 쉽게 알 수 있도록 공지하고 있는 3 , 4

경우에는 정보주체의 사전 동의 없이도 제 자 제공이 가능하다 미리 알려 주어야 할 가지 사항은 3 . 4 ( ) ⅰ

제 자 제공을 이용목적으로 한다는 점 제 자에게 제공되는 개인데이터의 항목 제 자 제공의 3 ( ) 3 ( ) 3ⅱ ⅲ

수단 또는 방법 본인의 요청이 있는 때에 당해 본인을 식별할 수 있는 개인데이터의 제 자 제공을 ( ) 3ⅳ

정지한다는 점이다 제 조 제 항( 23 2 ).

시급한 개선과제

현행의 사전 동의 기반의 형사처벌 위주의 경직된 보호체계를 완화하여 유럽연합이나 일본의 보호체 ,

계처럼 정보주체의 동의에 의하지 않고도 정보처리자나 제 자의 정당한 이익을 위해서 제 자 제공을 합3 3

법적으로 할 수 있는 길을 열어야 한다 대신에 정보처리의 투명성을 높이고 사후규제를 강화하는 방식. ,

으로 개인정보보호의 무게중심을 이동하여야 한다.

나아가 사전 동의를 받지 않은 처리에 대해 무분별하게 형사처벌을 가하는 조항들을 삭제하고 형사 ,

Page 56: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

54

제재가 꼭 필요한 전형적인 반사회적 행위에 대해서만 처벌조항을 두어야 한다.9) 지금과 같은 과도한

국가형벌권의 행사는 헌법위반의 문제를 안고 있다.

9) 참고로 유럽연합의 은 위반행위에 대해 과징금의 행정제재를 규정하지만 형사제재에 관한 사항은 각 회원 , GDPR국의 법률에 맡기고 있다 이에 따라 독일의 새로운 연방개인정보보호법 은 계획적으로 권한 없이. (BDSG 2017) “ , , 공개되지 않은 많은 사람들의 개인데이터를 상업적인 목적을 위해 제 자에게 전달하거나 다른 사람이 그 데이터3에 접근하게 하는 행위 에 대해서 년 이하의 징역 또는 벌금에 처하고 제 조 제 항 대가를 받거나 자신 또” 3 ( 42 1 ), “ , 는 타인에게 이익이 돌아가게 할 의도 혹은 누군가를 해할 의도를 가지고 공개되지 않은 개인데이터를 권한 없, 이 처리하거나 또는 기망으로 획득하는 행위 에 대해서는 년 이하의 징역 또는 벌금에 처하지만 제 조 제 항” 2 ( 42 2 ), 그러나 이들 범죄는 고소나 고발이 있어야 기소할 수 있도록 하고 있다 제 조 제 항( 42 3 ).

한편 일본의 개인정보보호법도 개인정보취급사업자 또는 그 종업원이 그 업무와 관련하여 취급한 개인정보 , “데이터베이스 등 그 전부 또는 일부를 복제하거나 가공한 것을 포함 을 자신 또는 제 자의 부정한 이익을 꾀할 ( ) 3목적으로 제공하거나 도용한 때 에 년 이하의 징역 또는 벌금에 처하고 있다 제 조 그 외 개인정보취급사업” 1 ( 83 ). 자가 법률이 정한 처리기준을 위반한 경우에는 바로 형사제재가 가해지는 것이 아니라 개인정보보호위원회가 그 시정을 권고하고 권고를 이행하지 않은 경우 시정명령을 내리며 이 시정명령에 불복종하는 경우에 월 이하의 6징역 또는 벌금에 처하고 있다 제 조( 84 ).

Page 57: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

55

및 리뷰Privacy Global Edge 2019 Asia Privacy Bridge Forum

는 대한민국 각급 기업의 개인정보보호 담당 최고 임원 들로 구성된 한국 Privacy Global Edge (CPO)

포럼에서 지난 년부터 주관해 온 연례행사로 올해로 년째를 맞았다 각급 기업과 기관의 CPO 2008 , 12 .

개인정보보호 책임자와 관리자들이 참석하며 프로그램 구성과 발표주제 그리고 발표자와 발표기업 섭, ,

외에 이르는 전 과정을 회원사 개인정보보호 책임자들의 설문과 프로그램 위원회의 추천을 통해 진행하

는 등 를 추구하는 이 컨퍼런스는 특히 올해부터 해외 유수의 전문가 네‘Vendor Independency’ Privacy

트워크를 보유하고 있는 바른 연구소가 매년 주관하고 있는 과 공동 개최ICT Asia Privacy Bridge Forum

하기로 함으로써 더욱 풍성한 개인정보보호 콘텐츠를 제공해 많은 참가자의 호응을 얻었다 이날 논의.

됐던 주요 내용을 살펴보고자 한다.

의 역할과 각 국의 움직임CPO

첫 번째 키노트를 통해 각각의 역할에 대해 의견을 제시한 제일은행 김홍선 부행장은 CISO/CPO SC

디지털 트랜스포메이션 시대를 맞이해 사이버 보안과 프라이버시가 비즈니스 지속성과 신뢰성을 받쳐주

는 기본 토대임을 전제하고 이에 따라 그 역할 또한 뿐만 아니라 비즈니스와 위험관리 영역으로 확대, IT

되고 있다고 진단했다 이 과정에서 와 의 위상 확립에 관한 고민이 깊어져야 할 시기에 있으. CISO CPO

며 유연한 마인드와 조직 장악력이 그만큼 중요해지고 있다고 강조했다 특히 그는 최근 공격의 유형과 , .

Page 58: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

56

규모를 예시로 들어 앞으로의 사이버 공격에서 해킹은 전체 공격의 일부를 담당하는 툴로 기능할 뿐,

공격자들은 공격을 위해 기존보다 훨씬 더 체계적이고 조직적인 규모를 동원할 것으로 보았다 이에 따.

라 보안조직 역시 해킹만을 대응하는 조직이 아니라 훨씬 더 많은 것을 방어해야 하는 시대가 왔다고

조언했다.

와 의 역할과 사명 주제로 발표 중인 제일은행 김홍선 부행장CISO CPO ’ SC

이어서 등장한 중국의 유력 법률사무소인 의 변호사는 중국에서도 최 Fangda Partners Jianyuan Yang

근 사이버 보안법에 개인정보 데이터에 대한 규제를 정하고 시행규칙을 통해서 구체화하고 있다며 중, ,

국 진출 기업들이 이러한 규제에 따른 요건을 충족시키기 위해 어떤 노력을 해야 하는지를 조언했다.

특히 금융 생명과학 정보통신 분야의 기업들은 주요 데이터의 양과 빅데이터 및 기술의 정보처리 , , AI

및 활용에서 프라이버시 측면에서 더 많은 책임을 지게 될 것이라고 우려 섞인 목소리를 내기도 했다.

마지막 키노트 스피커로 등장한 싱가포르 경영대학 교수는 인공지능이 최근 몇 년 동안 Warren Chik

학술연구의 많은 분야에서 관습적으로 꼭 필요한 용어가 되었지만 그 범위에 대해서는 일관성 있는 이,

해가 부족하다며 혁신과 데이터 보호법 사이의 의 역할에 대해서 집중적으로 연구한 내용을 소개했, AI

다 아울러 지난 월 이 발표한 와 지난 월 일 싱가포르의 . 4 European Commission AI Ethics Guidelines 1 23

에서 발표한 아시아 최초의 를 소개하고 자체적으로 연구한 관련 데이터 거버넌스 프IMDA Model AI , AI

로젝트를 소개해 이목을 끌었다.

케이스 스터디

오전 키노트 세션에 이어 개의 트랙으로 나뉘어 진행된 오후 트랙에서는 국내의 주요 개인정보보호 4

이슈와 글로벌 이슈들로 구분되어 각각 다른 트랙에서 많은 이야기가 오갔다.

먼저 여러 기업과 기관의 사례 연구들이 집중적으로 소개된 트랙에서는 한영의 홍성권 이사가 A EY

Page 59: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

57

첫 번째 연사로 나서 성공하는 컨설팅과 실패하는 컨설팅의 사례들을 소개했는데 그는 컨설팅 실패 사,

례의 경우 대체로 기업들이 컨설턴트가 조직을 직접 경영하거나 경영자를 대신해 중대한 의사결정을 내

리지 않는다는 점을 간과하고 있었음을 지적했다 이런 상황에서는 설령 외부에서 성공한 컨설팅으로 .

보이더라도 실제 내부적으로는 실패한 컨설팅이 된다고 경험담을 소개했다.

이어서 개인정보 라이프사이클에 따른 대표적 상담사례를 소개한 의 김미현 책임연구원은 작년 KISA

한 해 동안 개인정보침해신고센터에 접수됐던 개인정보 침해 상담 신고접수현황과 주목할 만한 상KISA

담 신고 경향을 소개했다 김 책임연구원은 특히 지난해에는 전국동시지방선거에 따른 선거운동 문자메.

시지로 인해 스팸 신고가 급격히 증가했지만 개인정보 침해 관련 신고 건은 지속해서 감소하고 있다고 ,

밝혔으며 이와 함께 개인정보 수집 이용 파기 등의 처리 절차에 따른 대표적인 침해사례와 개인정보처, - -

리자가 일상에서 빈번히 마주할 수 있는 상황에서의 개인정보 침해와 관련한 주의사항들을 소개했다.

이어서 중소기업 의 사례를 발표하기 위한 연사로 나선 비바리퍼블리카 신용석 이사는 작은 조직 CPO

이 수많은 컴플라이언스 과제를 수행할 수밖에 없고 대기업과 별다른 차이가 없는 법적 요구사항들에

대한 중소기업의 고충을 토로하면서도 이런 배경에서 중소기업들은 의사결정 프로세스를 간소화하고 ,

불필요한 문서작업을 줄이는 등 업무 효율화를 반드시 고려해야 한다고 강조했다.

한편 마이데이터 의 소개에 나선 한국데이터산업진흥원 임태훈 팀장은 개인정보 자기 결정권, ‘ (MyData)’

을 강화할 수 있는 마이데이터 제도의 개요와 필요성 관련 국내외 사례 소개를 통해 다양한 활용의 가,

능성을 제시했다 이 밖에 마이데이터 제도 적용 시 서비스 모델 보안 참여 유인 법적 근거 등 주요 . , , ,

쟁점 사항을 통해 고려해야 할 제반 사항들과 개선 방안 등을 참석자들과 공유하는 시간을 가졌다.

행사 개회식 장면

개인정보보호 실무

에서는 개인정보보호 담당자들이 주로 실무에서 맞닥뜨리게 되는 상황들과 그 해법에 관한 이 B Track

야기들이 주로 오갔다 이 트랙에서 먼저 연사로 나선 강은성 대표는 개인정보 보호조치가 지. CISO Lab

Page 60: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

58

금의 모양을 갖춘 지 년이 지난 지금 법규와 규제 중심의 개인정보보호 체계가 어떤 효과와 한계를 10 ,

보였는지에 대해 리뷰하고 컴플라이언스의 한계를 넘어 실질적인 정보보호 조치에 집중해야 할 때라고 ,

방향성을 제시했다.

두 번째 세션에서는 개인정보보호 사내 인식 제고 방법론에 관한 패널 토의 시간이 있었다 사내 개 .

인정보보호 인식 제고 활동은 기업마다 다른 철학으로 진행되는 경우가 많다 이번 패널 토의에서는 각.

각의 색깔과 키워드를 가지고 있는 티몬 현대오토에버의 담당자들이 패널로 참여해 각사의 사CJ ENM, ,

례와 고충을 함께 소개하는 시간을 가졌다 특히 내부직원들의 반발에 대한 대처전략 교육 콘텐츠 구성 . ,

방법들이 두루 소개되어 관심이 쏠렸다.

이어진 세션에서는 오피스 와 등의 클라우드 문서관리 시스템을 도입한 딜리버리히어로코 365 G Suite

리아와 크래프톤의 담당자들이 나서 각 방식에 따른 보안상의 장단점들을 비교하는 시간을 가졌다 기.

업의 클라우드를 이용한 문서관리는 와 오피스 로 양분되고 있는 분위기다 각각의 진영에서 G Suite 365 .

보안정책의 접근 방법은 서로 다르게 이루어지는데 와 오피스 를 현재 사용하고 있는 두 기, G Suite 365

업의 패널은 메일 흐름 대응 접근통제 인증 포함 데이터 유출 통제 공유 통제 암호화, APT , (2Factor ), , , ,

감사 저장 개인정보 유출통제 등의 다양한 관점에서 그 차이점을 소개함으로써 클라우드 문서관리 시,

스템 도입을 앞둔 많은 참가자에게 정보를 제공했다.

의 마지막 세션에는 방송통신위원회 개인정보보호윤리과 신종철 과장이 나서서 올해 개정된 B Track

정보통신망법 개정안 시행에 따른 변화들을 소개하는 자리를 가졌다 망법과 시행령의 내용에 대한 설.

명으로 시작된 세션은 개인정보보호 자율규제 지원 등의 시책 법정 대리인 동의 여부 확인 방법 그리, ,

고 개인정보보호 손해배상 책임보험 등의 가입범위와 기준 등 이번 망법 개정 내용 중 가장 큰 관심이

쏠리고 있는 조항들에 대한 자세한 설명과 질의 답변으로 이어졌다, .

개인정보보호 사내인식제고의 방법론 주제로 토의 중인 패널들 ‘ ’

Page 61: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

59

국내외 주요 컴플라이언스 이슈

주요 컴플라이언스 이슈들에 대한 개인정보보호 분야 전문 변호사들의 발표 위주로 구성된 에 C Track

서는 먼저 법무법인 광장의 손경민 변호사가 등장해 데이터 경제 시대의 도래와 개인정보보호 법제 개

선 방향에 대해 논의하는 시간을 가졌다 손 변호사는 인공지능 사물인터넷 빅데이터 등 혁신기술의 원. , ,

료가 되어 모든 산업발전의 촉매 역할을 하게 될 이른바 데이터 경제 시대에 경쟁력을 확보하기 위해 ‘ ’

보호와 활용이 조화된 개인정보보호 법제 도입 및 그에 대한 선제적 이해가 필요하다고 역설했다 그는 .

또 개인정보의 엄격한 사전 동의가 아닌 정당한 이익에 대해 데이터를 활용할 수 있게 하고 개인정보보

호 법제의 정확성을 확보해 처리 위탁 동의 규제를 완화하는 등 합리적 개선을 위한 지속적인 노력이

필요하며 동시에 형사처벌을 지양하고 과징금 과태료 상향 등 엄격한 법 집행을 통해 개인정보를 보호, /

해야 한다고 주장해 주목을 받았다.

이어서 데이터 결합을 위한 가명 정보 익명 정보 비식별조치 등의 법률 쟁점들을 소개한 김장법률사 , ,

무소 김세중 변호사는 비식별화 가이드라인 고발 사건 의료통계 빅데이터 생산 제공사건 등 빅데이터 , ,

관련 주요 사례에 대한 법원의 판단을 소개하는 시간을 가졌다.

개인정보의 안전한 국가 간 이동을 보장하기 위해 세계적으로 추진되고 있는 Cross-Border Privacy

의 현황을 소개하는 시간도 있었는데 최광희 단장은 의 확대 동Rules system(CBPRs) , KISA APEC CBPRs

향을 소개하며 인증기준은 프라이버시 프레임워크에 기반울 둔 가지 인증기준으, APEC CBPRs APEC 50

로 구성되어 있지만 국내 인증심사는 와 연계 운영함으로써 인증취득 기업의 부담이 다, CBPRs ISMS-P

소 줄어들 것이라며 아태지역 내 주요 경제 대국들이 에 가입함에 따라 해당 국가로의 진출 가능, CBPRs

성이 확대되고 의 확산을 통해 교역 대상 국가 간 상이한 법규 컴플라이언스 비용이 감소할 것으, CBPRs

로 전망했다.

마지막 세션에는 시행 년을 맞아 그간 의 과징금 부과사례를 살펴보는 시간이 마련되어 관 GDPR 1 EU

심을 끌었는데 사례를 소개한 법무법인 태평양 윤주호 변호사는 구글 등에 부과된 구, , Knuddels, TAXA

체적인 사례들을 소개했다 현재는 정착된 을 적용하는 단계라기보다는 정립되어 가는 을 적. GDPR GDPR

용하는 단계라고 분석한 윤 변호사는 시행 이후 벌금 부과사례는 계속에서 증가하는 추세에 있다GDPR

며 체계 아래에 기업의 혁신과 시장지배력을 함께 고민할 필요에 대해 강조했다, GDPR .

글로벌 개인정보보호 이슈

에서는 아시아 각국의 개인정보보호 전문가들이 모여 글로벌 개인정보보호 이슈들을 진단하고 D Track

대응 방안을 모색하는 시간을 가졌다 총 개의 세션으로 구성된 이 트랙에서는 우선 아시아 국가들의 . 4

성공적 정보보호를 위한 새로운 접근을 주제로 한 첫 번째 세션으로 시작됐다 여기에서 홍콩 개인정보.

보호위원회 조이스 라이 국장은 개인정보의 효과적 관리 프라이버시 관련 위험의 최소(PEPD) (Joyce Lai) ,

화 데이터 유출 사고에 대한 효과적 관리를 위한 기업의 책임성과 윤리적 의무의 이행을 강조했으며, ,

Page 62: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

60

말레이시아 소속의 아부 무니르 교수는 를 통한 빅The Data Protection Sdn. Bhd. (Abu Bakar Munir) AI

데이터 분석에 있어 효과적인 데이터 보호를 위한 이슈들을 제시했다.

이어진 세션에서는 및 빅데이터 분석에서의 프라이버시 문제가 집중적으로 논의되었는데 법무법인 AI ,

율촌의 손도일 변호사는 한국에서 와 빅데이터 시장이 위축되는 이유로 데이터 프라이버시와 빅데이AI

터 규제의 복잡성을 꼽으며 개인정보보호법 개정안의 방향을 제시했으며 인도네시아 파드자드자란대학,

의 신타 로사디 교수는 현재 인도네시아 국회에서 논의 중인 인도네시아 개인정보보호 법(Sinta Rosadi)

안이 올해 월 통과될 것으로 기대된다며 개인정보보호법의 국제법과 아세안 지역의 규제 법 그리고 9 , / ,

자국의 법체계를 비교하는 시간을 가졌다.

공정하고 안전한 데이터 활용을 주제로 한 세 번째 세션에서는 한국 가천대학교 최경진 교수가 나서

서 개인정보보호법이 단순히 개인정보에 대한 보호를 강화하는 것에만 머무르지 않고 개인정보를 포함,

한 데이터를 이용한 데이터 경제를 활성화하기 위한 규정을 포함할 것을 제안했다.

이어진 마지막 세션에서는 바른 연구소 김범수 소장의 사회로 패널 토의가 진행됐으며 프랑스 파리 ICT ,

에서 공개된 윤리 가이드와 기본원칙이 소개됐고 각국의 참석자들이 데이터 국가주의로 인한 OECE AI

책임 향후 제도의 변화 데이터의 국외유출 현황 그리고 각국의 데이터 활용 및 보안의 균형과 관련된 , , ,

내용을 주제로 많은 의견을 나눴다.

Page 63: KISA REPORT 6ì í ¸ 1906281HZ

VOL.6

61

인터넷 대 이슈 전망2019 10

인 미디어 생산자가 경제적 주체가 되는 크리에이터 경제 1⦁

디지털 경제의 중심축으로 자리잡는 데이터 경제⦁

머니게임에서 실질적 활용을 추구하는 블록체인⦁

상상에서 대중 수단이 되는 스마트 모빌리티⦁

본격 상용화 시대를 여는 5G⦁

우려에서 기대로 무게중심의 변화가 기대되는 디지털 헬스케어 ⦁

지나친 기대에서 냉정한 현실로 다가오는 인공지능⦁

경험의 지평을 넓히는 실감형 콘텐츠 ⦁

신산업 혁신의 장 규제 샌드박스ICT , ⦁

클라우드와 양두마차로 내달리는 엣지 컴퓨팅 ⦁

년 2019 Vol.2

이슈 트렌드 &

상용화와 함께 새로이 조명되는 엣지 컴퓨팅 윤대균5G ( )⦁

인덱스 보고서 제시하는 주요 의미 한상기2018 ‘AI ’ ( )⦁

인공지능의 윤리적 이슈 및 정책 시사점 이응용( )⦁

인공지능 음성인식 시장의 현황과 전망 송진식( )⦁

넷플릭스 킹덤 과 온라인 동영상 서비스 환경의 격변기 최홍규< > ( ) ⦁

사업 실현성에 좀 더 가까워진 블록체인 전망 유성민‘ ’ ( )⦁

중국 사회보장제도시스템 동향 및 기업 대응 박성림( )⦁

스마트시티의 보안 이슈 및 시사점 서정택( )⦁

사이버보안 전문인력 양성 관련 국외 사례 분석 및 시사점 김형종( )⦁

공개서비스를 통한 개인정보 위협 사례 분석 및 시사점 조정원( ) ⦁

년 2019 Vol.4

이슈 트렌드 &

글로벌 도입 논쟁과 정보보호 이응용5G ( )⦁

로 애플은 새로운 성장 국면을 맞이할까 최홍규‘Apple TV+’ ( )⦁

스마트폰 생체 인식기술 동향 서동우( )⦁

도약하는 중국 산업 인터넷 및 정책 현황 박성림( )⦁

인더스트리 으로 살펴본 디지털 트윈 유성민4.0 ( )⦁

공통의 사이버보안 인증체제 출범 박영우EU ( )⦁

개인정보보호법 과 명확성 등의 요구 정준현( ) 「 」⦁

년 2019 Vol.1 CES 2019

이슈 트렌드&

주요 이슈 분석 서동우CES 2019 ( )⦁

에 등장한 인공지능 기술과 제품 동향 한상기CES 2019 ( )⦁

자율주행 주요 동행 정구민CES 2019 ( )⦁

가 보여준 컴퓨팅의 현재와 미래 이석원CES 2019 ‘ ’( )⦁

다음 단계로 발걸음 옮긴 가상현실 헤드셋 기술 최필식CES2019, ( )⦁

디스플레이의 변화 화질에서 공간으로 최호섭CES 2019 , ‘ ’( )⦁

중국 기업 동향 박성림CES 2019 ( )⦁전시회 유레카 가 사라진 그러나 꾸준히 CES 2019 , ‘ ’ , ⦁

발전하는 유레카 존 김태진‘ ’( )

년 2019 Vol.3 MWC 2019 & RSA Conference 2019

이슈 트렌드&

에서 확인한 시대 모든 컴퓨팅 장치가 달라진다 최필식MWC 2019 5G , ( )⦁

상용화 준비 끝난 세대 이통동신 생태계와 서비스 최호섭MWC 2019, 5 ( )⦁

서비스를 위한 스마트카의 다양한 진화 정구민MWC 2019, ( )⦁

에서 살펴본 스타트업 기술 동향 이유환MWC 2019, 4YFN ( )⦁

주요 이슈 분석 신민준MWC 2019 ( )⦁

를 통해 본 위협 그리고 인공지능과 자동화 정일욱RSA Conference 2019 ( )⦁

인공지능 이슈 이응용RSA Conference 2019& ( ) ⦁

⦁ 에서 살펴본 클라우드 기반 보안 서비스 동향 윤승원RSA Conference 2019 ( )

에서 살펴보는 보안 현황 유성민RSA Conference 2019 OT ( )⦁

주요 이슈 분석 오성택RSA Conference 2019 ( ) ⦁

년 2019 Vol.5

이슈 트렌드 & 네트워크 슬라이싱 를 향한 5G Network-as-a-Service (NaaS)–

가상 네트워크 기술 윤대균( )

클라우드와 블록체인의 만남 유성민‘BaaS’( )

기반 사이버보안 이용 인식현황 중심으로 이응용AI · ( )–

스마트공장 보안 김계근( )

스마트시티 서비스를 위한 플랫폼 주요 보안 기술 김호원( ) 

의료기관 정보보호 강화를 위한 노력 경우호( )

년 마이크로소프트 빌드 페이스북 구글 에서 발표한 2019 , F8, I/O인공지능 기술과 그 의미 한상기( )

중국과 미국의 기반기술 주도권 경쟁 박성림( )

디즈니의 시장 진출 눈여겨 볼 지점들 최홍규OTT , ( )

Page 64: KISA REPORT 6ì í ¸ 1906281HZ

발 행 일 년 월2019 6 본지에 실린 내용은 필자의 개인적 견해이므로,

한국인터넷진흥원의 공식 견해와 다를 수 있습니다.

의 내용은 무단 전재를 금하며 가공 인용할 경우KISA Report , /

반드시 한국인터넷진흥원 라고 출처를 밝혀주시기 바랍니[ , KISA Report] 다.

발 행 한국인터넷진흥원

기획및편집 한국인터넷진흥원 미래연구소ICT

발 행 처 전라남도 나주시 진흥길 9