2018 Vol.07

1

2018 Vol.07

2018 Vol.07

2

ISSUE&TREND

01 공공부문 디지털트랜스포메이션 현황과 전망 (강동식 / 데이터뉴스 기자)∙∙∙∙∙∙∙∙∙∙∙∙∙1

02 데이터 전송 프로젝트의 의의와 주요 시사점 (한상기 / 테크프론티어 대표)∙∙∙∙∙∙∙∙∙7

03 블록체인 기술을 표방한 미디어 서비스 (최홍규 / EBS 연구위원)∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙10

04 블록체인과 개인정보보호 쟁점과 이슈 (오현옥 / 한양대 교수)∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙17

05 캘리포니아주 소비자 개인정보보호법과 EU GDPR비교 및 시사점 (고환경 / 법무법인 광장 변호사)∙∙30

06 사이버 공격의 지능화 현황 및 전망 (박태환 / 안랩 팀장)∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙36

▸ 주제 제안 및 정기 메일 신청 ⌧ kisareport@kisa.or.kr

인터넷·정보보호 관련 이슈, 현안 등 궁금한 내용을 보내주시면 선별 후 보고서 주제로 선정됩니다.

또한, KISA Report 온라인 서비스 제공을 원하실 경우 신청해주시면 매월 받아보실 수 있습니다.

2018 Vol.07

1

공공부문 디지털 트랜스포메이션 현황과 전망

강동식 데이터뉴스 기자 (dskang70@gmail.com)

• (現) 데이터뉴스 기자

• (前) 테크M 기자

• (前) 디지털타임스 기자

• (前) 네트웍타임스 기자

디지털 트랜스포메이션의 정의와 의의

▶ 디지털 트랜스포메이션의 정의

• 최근 4차 산업혁명에 대한 관심과 맞물려 디지털 트랜스포메이션(Digital Transformation)이 기업의

화두가 되고 있음

• 디지털 트랜스포메이션은 시장조사기업 및 컨설팅 기업, ICT 기업들이 저마다 조금씩 다른 정의를

내놓고 있음

- IDC는 기업이 새로운 비즈니스 모델, 제품, 서비스를 창출하기 위해 디지털 역량을 활용함으로써 고객과

시장(외부 생태계)의 파괴적인 변화에 적응하거나 이를 추진하는 지속적인 프로세스로 정의

- AT커니는 모바일, 클라우드, 빅데이터, 인공지능(AI), 사물인터넷(IoT) 등 디지털 신기술로 촉발되는

경영환경 상의 변화 동인에 선제적으로 대응함으로써 현행 비즈니스의 경쟁력을 획기적으로 높이거나

새로운 비즈니스를 통한 신규 성장을 추구하는 기업 활동으로 규정

- 베인앤컴퍼니는 디지털 엔터프라이즈 산업을 디지털 기반으로 재정의하고 게임의 법칙을 근본적으로

뒤집음으로써 변화를 일으키는 것으로 설명

- PWC는 기업 경영에서 디지털 소비자 및 에코시스템이 기대하는 것들을 비즈니스 모델과 운영에

적용시키는 일련의 과정으로 규정

- 세계경제포럼은 디지털 기술 및 성과를 향상시킬 수 있는 비즈니스 모델을 활용해 조직을 변화시키는

것으로 설명

- IBM은 기업이 디지털과 물리적인 요소들을 통합하여 비즈니스 모델을 변화시키고, 산업에 새로운

방향을 정립하는 전략으로 풀이

- 마이크로소프트는 고객을 위한 새로운 가치를 창출하기 위해 지능형 시스템을 통해 기존의 비즈니스

모델을 새롭게 구상하고 사람과 데이터, 프로세스를 결합하는 새로운 방안을 수용하는 것으로 정의

2018 Vol.07

2

• 이들 다양한 정의는 디지털 기술을 적용해 그동안 유지해 온 전통적인 구조를 혁신시키는 것으로

수렴되고 좀 더 구체적으로는 IoT, 클라우드 컴퓨팅, AI, 빅데이터 등 ICT를 플랫폼으로 구축, 활용하여

기존의 전통적인 조직 운영 방식과 서비스를 혁신하는 것으로 정리할 수 있음

▶ 많은 기업이 디지털 트랜스포메이션을 주목하고 있는 가운데 GE, 자라, 아마존 등이 대표적인 디지털

트랜스포메이션 사례로 꼽힘

• 전통적인 제조기업인 GE는 소프트웨어 역량을 중심으로 체질 개선에 나서 새로운 도약을 이뤘으며

GE가 만든 산업 데이터 분석 플랫폼 ‘프레딕스(Predix)’는 터빈, 엔진 등 GE 제품 구매 고객사의 방대한

데이터를 분석해 이상 징후, 고장 가능성 등을 모니터링하고 예측함. 2016년 프레딕스 및 관련 소프트

웨어 매출이 60억 달러에 달함. GE는 또 새로운 업무방식인 ‘패스트웍스(FastWorks)’를 도입해 제품

개발 진행과정에서 지속적으로 고객 피드백을 받아 반영하고 불필요한 절차를 대폭 간소화하는 등

시스템을 혁신함1

• 패스트패션 글로벌 브랜드 자라는 1년을 4개 시즌이 아닌 15개 시즌으로 나눠 제품을 디자인하고,

4시간 안에 재단, 포장, 출하 과정을 거쳐 매장으로 직송함. 빠른 속도로 제품을 생산, 관리하지만

신제품 실패율은 1% 미만으로 그 이유 중 하나로 적극적인 데이터 활용이 꼽힘. 자라는 소비자 관점에서

판매 데이터를 매일 분석하고 거의 실시간으로 디자인, 주문, 생산에 반영하는 등 철저히 데이터에

기반한 사업을 전개해 성과를 올리고 있음2

• 온라인 서점으로 출발한 아마존은 이후 온라인 유통 전반으로 사업을 확장하면서 ICT를 적극적으로

활용하였고 아마존은 ICT 활용에 그치지 않고 이를 사업화해 세계 최대 클라우드 컴퓨팅 공급자가

되는데 성공함. 2016년 클라우드 부문에서 북미 소매 유통사업보다 많은 3조 원 이상의 영업이익을

거둬 완전한 IT 기업으로 거듭났다는 평가를 받고 있음3

공공부문 디지털 트랜스포메이션의 특징

▶ 디지털 트랜스포메이션이 화두로 제시되면서 기업은 물론 공공부문에서도 ICT를 기반으로 한 조직과

서비스 혁신 노력이 나타나고 있음

• 디지털 트랜스포메이션이 주로 기업의 이슈로 부각되고 있지만, ICT를 적극적으로 활용해 사회 문제를

해결하고 대국민 서비스를 강화하는 것이 중요해지면서 정부 공공기관, 지방자치단체의 적극적인 적용이

요구되고 있음. 이러한 움직임은 최근 소셜, 모바일, 빅데이터 분석, 클라우드, IoT 기술을 적용하여

정부의 행정 및 대민 서비스를 혁신시키려는 디지털 정부(Digital Government) 관련 논의가 대표적임4

1. 매일경제, 한국형 디지털 트랜스포메이션, 2017. 10. 11.2. 블로터, 빅데이터 시대, 누구나 알아야 할 데이터 리터러시, 2018. 2. 11.3. 바이라인네트워크, 디지털 트랜스포메이션은 또 뭡니까, 2017. 3. 22.4. 서울디지털재단, 디지털 기반 도시문제 해결–디지털 거버넌스 구축 및 활성화 방안 연구, 김시정, 손주연, 김주영, 2017. 12.

2018 Vol.07

3

공공부문 디지털 트랜스포메이션 해외 현황

▶ 세계 주요 국가와 도시들이 경쟁적으로 디지털 트랜스포메이션에 나서고 있으며 특히 스마트 시티 추진과

함께 활발하게 논의되는 경우가 많은데 뉴욕, 런던, 바르셀로나 등이 대표적임

▶ 뉴욕

• 뉴욕시의 스마트도시 전략은 모든 시민과 지역공동체의 삶을 개선하는 것이 목적으로 시장 직속 기술혁신

부가 커넥티드 디바이스와 IoT 구현을 위한 원칙과 전략적 프레임워크 구축, 도시 신기술과 IoT 배치를

위한 협조와 조정, 혁신적인 파일럿 프로젝트에 대한 학계, 민간 부문과의 협력 등의 역할을 수행함

- ‘LinkNYC’ 프로젝트가 특히 관심을 받음. LinkNYC는 노후화돼 활용도가 낮은 공중전화를 무인 안내기인

Link로 대체하고 핫스팟을 설치해 무료 와이파이를 제공하는 사업으로 Link는 주위 45m에 와이파이를

제공하는 대형 터치스크린을 통해 지역 및 교통 정보를 확인할 수 있고, 휴대폰 충전과 무료 전화통화

기능을 탑재함. 2017년 현재 1,106개의 무인 안내기가 설치되었으며, 1만 개소 설치가 목표임5

그림 1 _ 뉴욕시에 설치된 Link

[출처] LinkNYC 홈페이지

▶ 런던

• 런던시는 2013년 민간의 디지털 혁신 전문가들이 대거 참여하는 스마트 런던 이사회를 구성, 운영하고

있음. 또 도시 혁신과 기업 성장을 지원해 더 나은 도시를 만드는 것을 목표로 한 기업인 퓨쳐 시티

5. 국회입법조사처, 스마트도시의 국내외 사례 및 법∙제도 개선방안 연구, 2017. 11.

2018 Vol.07

4

캐터펄트(Future Cities Catapult)를 세웠고 이 회사는 도시 전문가, 데이터 과학자, 디자이너, 개발자,

프로젝트 매니저 등으로 구성됨

- 캐터펄트는 런던시 지하에 무엇이 있는지 파악해 지하 지도를 만드는 아이스버그(Iceberg) 프로젝트를

수행, 각종 공사나 작업 시 문제를 일으킬 수 있는 하수도, 지하철, 통신선로 등 복잡한 인프라를

명확히 파악해 효율을 높이고 사고를 막는 것이 이 프로젝트의 목적임. 캐터펄트는 또 런던의 음식물

쓰레기 재활용을 위한 통합 솔루션을 개발하는 런더너스 랩(Londoners’ Lab) 프로젝트를 수행함6

▶ 바르셀로나

• 바르셀로나시는 도시 중심부의 자동차 수를 최소화하기 위해 차로를 없앤 슈퍼블록 시스템을 운영하고

있고 도시는 이에 따른 시민의 불편을 줄이기 위해 공공 운송 서비스를 강화, 이 과정에서 시민의

편의를 높이기 위해 방대한 데이터를 분석, 버스 노선을 합리적으로 수정하고 있음7

- 바르셀로나시는 또 주변 소음 수준, 움직임 여부를 파악해 사람이 많은 시간에 스스로 조명 밝기를

조절하는 스마트 가로등을 설치하여 인터넷에 연결된 스마트 가로등은 부착된 센서를 통해 주변 교통

상황을 파악할 수 있음

- 또한 도시는 또 주차 문제 해결을 위해 스마트 주차 서비스를 도입., 주차 구역 바닥에 센서를 설치해

자동차가 주차를 하는 즉시 주변의 스마트 가로등을 통해 데이터센터에 정보를 전달하고, 이 정보가

시민의 스마트폰 앱에 반영되도록 함8

▶ 에스토니아

• 에스토니아는 ICT의 적극적인 도입을 통해 국가 전체를 전자화함

- 국민의 98%가 전자신분증을 갖고 있는 에스토니아는 대부분의 행정처리를 온라인으로 할 수 있으며

특히 최근 관심을 모으고 있는 블록체인 기술을 정부 시스템에 활용, 건강기록 메타정보, 부동산 등기,

공공문서, 출판, 사업자 등록, 상속 등록, 법정 문서, 감사 기록 등이 블록체인을 통해 제공됨9

▶ 두바이

• 두바이는 모든 정부 서비스를 원스톱으로 해결할 수 있는 '두바이 나우(Dubai Now)' 전자정부 플랫폼을

통해 55가지 이상의 서비스를 제공함

- 두바이 나우 플랫폼에서는 사용자와 가장 가까운 차량 등록센터 찾기를 비롯해 수도·전기·통신요금

지불, 형사 사건 조사 서비스 등 다양한 서비스를 이용할 수 있음10

6. 테크M, 런던 스마트시티가 수장 바뀌어도 지속 가능한 이유, 2018. 3. 14.7. 한경비즈니스, 거리를 ‘삶’으로 채우는 바르셀로나의 실험, 2018. 6. 6.8. 시스코코리아 블로그, IoT 기술로 공공요금 인하, 시 수익성 강화한 바르셀로나, 2015. 6. 9. 내일신문, 유럽, 블록체인 상상력을 키우다-에스토니아] 건강정보 접근기록 블록체인에 저장, 2018. 7. 6.10. 파이낸셜뉴스, “4차산업혁명 주도하자" 해외 각국은 중장기 로드맵 짠다”, 2017. 7. 18.

2018 Vol.07

5

공공부문 디지털 트랜스포메이션 국내 현황과 전망

▶ 세계경제포럼은 전 세계적으로 2025년까지 디지털 트랜스포메이션에 의한 경제 사회적 부가가치 창출

규모가 100조 달러에 이를 것으로 분석11

• 우리나라는 데이터의 분석·활용률이 떨어지는 등 디지털 트랜스포메이션 측면에서 약점을 갖고 있지만,

세계경제포럼의 예측에서 볼 수 있는 것처럼 디지털 트랜스포메이션은 선택이 아닌 필수가 되고 있음

• 이에 따라 향후 중앙 정부는 물론 지방자치단체에서 디지털 트랜스포메이션에 대한 관심이 커질 것으로

보이며, 이미 일부 적용 사례와 향후 추진 움직임이 나타나고 있음

그림 2 _ 서울시가 운영하는 심야 전용버스 ‘올빼미 버스’

[출처] 서울시 홈페이지

▶ 서울시 올빼미 버스와 부산시의 도시 양극화 분석 프로젝트

• 심야 시간 서울 시민의 이동 편의 증진을 목적으로 서울특별시가 2013년 시작한 심야 전용버스 서비

스인 ‘올빼미 버스’는 4년 만에 이용객이 1,100만 명에 돌파했으며, 지난 한 해 동안 377만 명이 이용하며

올빼미 버스는 빅데이터 분석 성공사례로 꼽힘

- 서울시는 올빼미 버스 서비스를 준비하면서 KT가 가진 1개월분 통화량 데이터 30억 건과 심야택시

위치정보 60만 건을 교차 분석해 효율적인 버스 노선을 구상함12

• 부산광역시는 지난해 국토연구원과 함께 6개월 간 금융 빅데이터와 공간 빅데이터를 활용한 도시

양극화 분석 및 시뮬레이션 프로젝트를 추진함

- 금융 빅데이터와 공간 빅데이터를 활용하여 부산시 도시 양극화 실증분석을 수행하고, 결과를 토대로

기존 사회경제 통계에서 찾기 어려웠던 실효성 있는 정책 수립을 추진, 부산시는 분석 결과를 통해

11. 한국정보산업연합회, 디지털 트랜스포메이션으로의 접근, 김형택 디지털리테일컨설팅그룹 대표, 2017. 2.12. 헤럴드경제, 열일’한 올빼미 버스…4년간 1100만명 실어날랐다, 2017. 9. 21.

2018 Vol.07

6

도시 양극화가 발생할 확률을 산정하고 공간 정보화하여 젠트리피케이션(Gentrification : 낙후됐던

구도심이 번성하여 중산층 이상의 인구 유입으로 기존의 원주민을 대체하는 현상)이 발생할 가능성이

높은 구체적인 위치를 도출함13

▶ 국가 디지털 전환사업

• 과학기술정보통신부는 최근 사업자 공모를 통해 국가디지털전환 사업 추진에 나서고 있으며 이를

통해 AI, IoT, 빅데이터, 클라우드, 블록체인, 가상현실 등 디지털 신기술을 의료, 교통, 재난‧안전‧치안,

에너지, 환경‧대기, 복지 등 공공·사회 각 분야에 적용, 현안을 해결하고 혁신성장을 주도할 민관 협업

디지털 혁신모델을 발굴할 계획임14

▶ 한국인터넷진흥원-서울시, 공공 디지털 트랜스포메이션 촉진 협력

• 한국인터넷진흥원과 서울특별시는 최근 공공 서비스의 디지털 트랜스포메이션 촉진을 통한 국민

편의성 개선과 신산업 육성 지원을 위한 업무협약을 체결

- 올해 하반기부터 단계적으로 불법 주정차 과태료 등 종이 기반의 행정처리절차를 모바일 메신저 기반

디지털 송달체계로 전환하기로 하였고 이를 통해 과태료 확정 후 일주일 정도 걸리는 고지 사항 송달기간을

거의 실시간으로 단축, 편리하게 고지 사항의 열람 및 결제·납부가 가능한 대민 서비스를 개선할 계획임15

▶ 한편, 공공부문의 디지털 트랜스포메이션을 효과적으로 수행하기 위해 기존 업무방식에 대한 전면적인

재검토와 디지털 거버넌스에 대한 고민이 요구됨

• 디지털 트랜스포메이션은 다양한 영역이 융합돼야 하기 때문에 우선 부서간의 칸막이를 없애는 것이

중요함. 또 업무 프로세스 등 모든 시스템이 바뀌어야 하기 때문에 지금까지와는 다른 혁신적인 교육이

필요한 것으로 지적됨16

• 또 디지털 트랜스포메이션이 조직, 프로세스, 운영관리 전반을 변화시키는 전략인 만큼 리더의 명확한

비전과 적극적인 의지가 필요함. 이와 함께 디지털 트랜스포메이션을 추진할 전담조직을 만들고 방향을

제시할 최고디지털책임자(CDO)를 임명해 혁신의 주도권을 부여하는 것이 효과적임17

13. 한국지역정보개발원, 이슈리포트 제2018-2호(통권78호), 2018. 3.14. 과학기술정보통신부, I-KOREA 4.0실현을 위한 2018년도 국가디지털전환 사업공고, 2018. 3. 9.15. 지디넷코리아, KISA-서울시, 공공 디지털트랜스포메이션 협력, 2018. 6. 11.16. 테크M, “공공 디지털 트랜스포메이션, 칸막이 없애고 사람 키워야 성공”, 2017. 11. 30. 17. 한국정보산업연합회, 디지털 트랜스포메이션으로의 접근, 김형택 디지털리테일컨설팅그룹 대표, 2017. 2.

2018 Vol.07

7

데이터 전송 프로젝트(DTP)의 의의와 주요 시사점

한상기 테크프론티어 대표 (stevehan@techfrontier.kr)

• (現) 테크프론티어 설립자 겸 대표

• (現) 휴맥스 홀딩스 사외이사

• (前) KAIST 문화기술대학원 교수

• (前) 다음커뮤니케이션 전략 대표

데이터 전송 프로젝트 개요

• 창립 멤버 : 페이스북, 구글, 트위터, 마이크로소프트

• 2017년에 구성했으며, 웹 상의 모든 개인이 원할 때 온라인

서비스 제공자 사이에서 자신이 데이터를 쉽게 이동할 수 있도록

하는 오픈소스 기반의 서비스 간 데이터 이식 플랫폼을 만들기

위한 협력 과제임

• 2018년 7월 20일 개요와 기본 원칙을 정리한 백서 발행18

데이터 전송 프로젝트의 필요성

• 개인이 서비스를 선택하고 이동하기 쉽게 만드는 것은 경쟁을 용이하게 하고, 사용자들이 새로운

서비스를 시도하게 만들고, 사용자 니즈에 가장 부합하는 제공자를 선택할 수 있게 만들기 위한 프로젝트임

• 백서에 따르면, 이 프로젝트의 목표는 대중을 대상으로 하는 어떤 두 개의 제품 간에도 데이터를

불러들이거나 내보낼 수 있는 연결이 가능하게 하기 위함임

• 기본적인 아이디어는 데이터를 다운로드한 뒤에 이를 관리하는 옵션이 별로 없음에서 비롯되었고, 구글의

테이크아웃(Takeout : 구글이 제공하는 서비스에 올린 자료의 백업이 가능한 서비스)19 같은 도구도 문제의

절반만 풀고 있음을 인식하면서 시작된 프로젝트로, 이는 더구나 구글 혼자서 풀 수 없는 문제였음

• 데이터 전송 프로젝트에서 활동하는 컨트리뷰터는 이식성과 상호운용성이 혁신에 가장 핵심이라고 생각함

• 유럽 연합의 GDPR(일반개인정보보호법)이 사용자에게 자신과 관련된 모든 데이터를 제공할 수 있는

도구를 요구하고 있고 이는 단지 API를 통해서 얻을 수 있는 것을 넘어서는 훨씬 더 포괄적인 사항임20

18. 이 백서는 다음 주소에서 다운로드 받을 수 있음. https://datatransferproject.dev/dtp-overview.pdf19. Business Insider, “How To Backup Your Data With Google Takeout,” Jul 27, 2011 20. TechRepublic, “How to request your personal data under GDPR,” Apr 24, 2018

2018 Vol.07

8

• GDPR에서는 사용자가 이메일, 팩스, 우편으로 자신의 개인 데이터를 요구할 수 있으며 이는 ‘주체 접근

요청(SAR : Subject Access Request)’을 제출하면 되고 이를 데이터 주체 요청(DSR : Data Subject Request)

이라고 함. 마이크로소프트 애저 서비스(클라우드 서비스)에서는 이를 다음과 같이 설명하고 있음

- “EU GDPR은 사용자(규정에 데이터 주체로 알려짐)에게 고용주 또는 다른 유형의 대리점 및 조직(데이터

통제자 또는 단순히 통제자로 지칭)이 수집한 개인 데이터를 관리할 수 있는 권한을 부여합니다. 개인

데이터는 GDPR에서 보다 광범위하게 식별되었거나 식별 가능한 자연인과 관련된 모든 데이터로 정의

됩니다. GDPR은 데이터 주체에게 개인 데이터에 대한 특정 권한을 부여합니다. 이러한 권한에는 개인

데이터 복사본 획득, 수정 요청, 처리 제한, 삭제 또는 다른 통제자에게 이동될 수 있도록 전자 형식으로

수신하는 권한이 포함됩니다. 데이터 주체가 통제자에게 개인 데이터에 대해 조치를 취할 것을 요구

하는 공식적인 요청을 데이터 주체 요청 또는 DSR이라고 합니다.”

• 개인 데이터를 저장하기 위한 몇 개의 프로젝트가 있었으나 대부분은 사용자 하드 드라이브에 저장하는

수준으로 대표적인 것이 영국의 Digi.me인데, 다양한 소셜 미디어에 있는 개인 데이터를 수집해 지정

된 드라이브나 클라우드에 저장하는 수준이었음.21 다운로드 도구는 사용자가 자신의 데이터를 소유

한다는 점에서는 의미가 있으나 이를 다시 사용한다는 측면에서는 한계가 있는 방식이었음

데이터 전송 프로젝트의 현황

• 현 시스템 버전은 사진, 메일, 연락처, 달력, 업무 리스트를 데이터 전송할 수 있는데, 이는 구글, 마이크로

소프트, 트위터, 플리커, 인스타그램, 리멤버 더 밀크, 스머그머그 등의 서비스에서 공개적으로 제공

하는 API를 통해서 가능함22

• 현재 프로젝트에서 사용하는 코드는 깃허브에서 오픈소스로 제공하고 있음

• 대부분의 코드 베이스는 어댑터로 구성되어 있고, 이는 자체적인 API를 상호 운용 가능하도록 전송할

수 있게 전환하는 방식으로 되어 있는데, 예를 들어 인스타그램 데이터를 플리커에서 볼 수 있게

하거나 반대의 경우도 가능하게 하는 방식임

• 전송될 때 데이터는 암호화하고 있으며, 각 트랜잭션를 위해서는 순방향 암호 키를 발행함

• 시스템은 많은 API를 사용해 가능하게 만드는 지속적인 상호 운용성보다는 1회성 전송에 초점을 맞추고 있음

• 현재까지 대부분의 코드는 구글과 마이크로소프트 엔지니어들이 작성했으며, 이 두 회사의 엔지니어들

사이에서는 오랜 기간 동안 보다 대응력이 강한 데이터 전송 시스템 아이디어를 개선하고자 했음

데이터 전송 프로젝트의 세부 내용

• 데이터 전송 프로젝트는 세 가지 구성 요소로 이루어지고 데이터 모델, 어댑터, 과업 관리 라이브러리가

세 가지 핵심 요소임

21. Politico, “Meet Digi.me, a personal data librarian and postman,” Aug 25, 201522. The Verge, “Google, Facebook, Microsoft, and Twitter partner for ambitious new data project,” Jul 20, 2018

2018 Vol.07

9

- 데이터 모델은 데이터를 어떻게 전송할 것인가에 대한 공통의 이해를 추구하기 위한 표준 포맷임.

이상적으로는 각 회사가 데이터 흐름을 가능하게 하는 상호 운용성을 보장하는 API를 사용하면 되지

만, 실제로는 하나의 데이터 표현 형식을 다른 회사의 표현 형식으로 바꿔야 하는 경우가 많음. 궁극

적으로는 공통의 데이터 모델을 사용하도록 하는 것이며, 이를 통해 다양한 API를 관리하고 갱신하는

필요성을 줄일 수 있음

- 어댑터는 각 데이터 제공자 고유의 데이터를 변환하는 방식과 시스템에서 사용 가능한 형태에 대해

인증을 제공하는 방식임. 즉, 데이터 어댑터와 인증 어댑터 두 가지가 있는데 이들은 데이터 제공자에

의해 제공되거나 외부의 제3자에 의해서 만들어질 수 있음. 데이터 어댑터는 데이터 제공자의 API를

DTP에서 사용되는 데이터 모델로 전환하는 코드로 이는 양방향 모두 필요함. 인증 어댑터는 사용자가

하나의 서비스에서 다른 서비스로 데이터를 전송하려고 할 때 계정을 인증하는 코드로 대부분 OAuth(공개

표준 기반 인증 프로토콜)를 사용하지만 특정한 기술에 구속되지 않을 것임

- 과업 관리 라이브러리는 다양한 작업을 위한 것으로 두 개의 관련 어댑터 간의 호출이나 안전한

데이터 스토리지, 재시도 로직, 레이트 제한, 오류 핸들링, 개별적 알림 등과 같은 백그라운드 작업을

다루게 함. 데이터 전송 프로젝트는 참고할 수 있는 구현을 모아서 제공할 예정이지만, 각 서비스

제공자들이 데이터 모델과 어댑터를 활용하기 위한 자체 라이브러리를 만들게 할 것임

앞으로의 과제

• 오픈소스 기반의 표준이기 때문에 표준이 성공적으로 이루어진다면, 많은 엔지니어의 참여를 통해

거버넌스가 좀 더 민주적으로 이루어지는 것이 필요함

• 구글 테이크아웃 제품 매니저인 그렉 페어는 “산업 리더, 소비자 그룹, 정부 그룹의 컨소시엄을 구성할

필요가 있다”고 강조한 바 있으나 우선 적절한 사용자 그룹이 형성되어야 함

• 페이스북의 API가 캠브리지 애널리티카 스캔들 문제로 의심받고 있고, 구글 역시 제3자 이메일 앱이

지메일 사용자 데이터를 잘못 다룬 사례가 있어 미심쩍어하는 시각을 먼저 불식시켜야 함.23 이런

측면에서 리스크를 분산하려면 좀 더 넓은 그룹의 참여가 필요함

• 데이터 전송이 안전하게 이루어지거나 적절히 활용되기 위해서는 데이터 보호가 중요하며, 이를 위해

서는 사용에 대해 적절한 조건을 부여하거나 필요한 경우에는 오용을 막을 수 있는 방안이 필요함

• 데이터를 다운로드만 하는 경우에는 그 데이터를 갖고 어떤 목적으로 사용할 지 알 수 없기 때문에

이 문제를 어떻게 대응할 것인가 역시 과제로 남아 있음

• 또한 현재 이루어지는 노력이 대규모의 테크 기업에 의해 추진되는 것이기 때문에 반독점 문제에

예민할 수 있고 주요 기업으로만 이루어지는 프로젝트라면 정부나 시민단체는 이 문제를 주목할 것임

23. Secret : The App Developers Sifting Through Your Gmail, Jul 2, 2018

2018 Vol.07

10

블록체인을 표방하는 미디어 서비스

최홍규 EBS 연구위원 (think.bc399@gmail.com)

• (現) EBS 미래교육연구소 연구위원

• (前) 한국인터넷진흥원 선임연구원

• 언론학 박사

• 저서 : 소셜 빅데이터 마이닝을 활용한 미디어 분석 방법(2017),

소셜 콘텐츠의 흥망성쇠(공저)(2018), 콘텐츠 큐레이션(2015) 등

▶ 최근 블록체인에 대한 관심이 높아지며 미디어 업계도 관심과 적용 가능성을 타진

• 암호화폐로 시작된 비트코인 열풍이 블록체인 기술에 대한 관심으로 옮겨가면서 미디어 산업의

영역에서도 이를 활용한 다양한 실험이 계속되고 있는 실정

• 블록체인 기술은 정보의 거래에 있어서 중앙 집중화 된 권력적 구조를 탈피하고 분산 원장 기술(Distributed

ledger technology)로 대표되는 신뢰 기반 유통망을 지향

• 따라서 미디어 업계가 블록체인 기술을 적용할 경우에 콘텐츠 생산과 유통 과정에서 보다 건전하고

공정한 시장을 형성할 수 있을 것이라 예측됨

▶ 콘텐츠 생산과 유통 과정에서 발생하는 많은 문제를 해결해 줄 것으로 기대

• 블록체인의 미디어 적용 이슈는 콘텐츠에 대한 소유권과 저작권의 문제, 콘텐츠 거래 과정에서

발생하는 적절한 대가 산정의 문제, 콘텐츠 이용과 거래 데이터 신뢰성 확보의 문제, 콘텐츠 관리의

체계화 등에 이슈들로 수렴됨

• 블록체인에 대한 기술적 문제들이 존재하는 바, 미디어 서비스 시장의 플레이어들을 만족시킬 만한

성과를 얻기에 더 많은 시간이 필요한 상황

• 소셜미디어, 1인 방송, OTT 등의 서비스를 통해 이용자가 콘텐츠 생산, 유통, 이용에 더욱 적극적으로

참여, 블록체인이 여러가지 문제를 해결해 줄 기술로 기대됨

- 소셜미디어 : 최근 진위가 파악되지 않은 정보에 대한 문제가 불거지면서 정보를 검증해줄 수 있는

기술적 대안이 필요하다고 공감하고 있는 실정 예) 가짜뉴스, 허위과장 광고

- 방송 : 1인 방송과 같이 크리에이터가 콘텐츠 제작자 및 출연자의 역할을 하게 되어 이에 대한 새로운

시장 매커니즘이 도입되어야 하는 상황 예) 크리에이터 대가 산정, 정산

2018 Vol.07

11

- OTT : 영상, 음성의 콘텐츠가 기존의 전파 방송이외에 유튜브, 넷플릭스 등 OTT 영역에서 더욱 활발히

확산됨에 따라 콘텐츠 유통 과정의 추적과 관리도 필요한 시점 예) 콘텐츠 저작권, 소유권

- 이용 : 콘텐츠를 이용하는 과정에서 콘텐츠를 단순히 이용하는데 그치지 않고 추천하고 공유하고

재편집하는 등 적극적인 이용 행태가 일어나 이에 대한 추적 및 관리 필요 예) 콘텐츠 수정 및 변형에

관한 추적/관리

블록체인 기술로 상상하는 미디어 영역의 발전상

▶ 딜로이트(Deloitte)가 2017년 발표한 보고서 <Blockchain @ Media A new Game Changer for the

Media Industry?>에서는 블록체인 기술에 대해 미디어 업계가 고려해 볼만한 4가지 사안이 제시됨

① 콘텐츠 크리에이터를 위한 마이크로 페이먼트 : 유통업자들이 예술가들에게 자금을 분할해 지급하거나

혹은 예술가들이 그들 스스로 사업을 영위하면서 소비자들에게 직접 과금을 매길 경우 마이크로

페이먼트 지불 방식 고려 가능

② 콘텐츠를 통합하는 거대 사업자를 우회하여 거래 가능 : 낮은 거래 대금으로 인해 낮은 가격의

콘텐츠로도 수익을 창출할 수 있게 되며, 소비자에게 하여금 광고가 없는 콘텐츠를 낮은 가격에

제공할 수도 있음

③ 스마트한 계약 방식 : 보다 스마트하고 투명한 방식으로 계약 관계를 개선하며 즉각적인 거래, 자동화

된 저작권료 책정, 수익 공유 등에 있어서 용이함

④ DRM 및 과금 복잡성 감소 : 유료 콘텐츠를 여러 국가에서 접속해 이용하는 경험이 증가하고, 기존

저작권 관리 체계인 DRM(Digital Rights Management)의 복잡한 절차를 감소시키며 모든 거래에

대해 실시간 청구가 가능함

그림 1 _ 미디어 업계가 고려해야 할 주요 사안들 정리

[출처] Deloitte(2017)

▶ 같은 해인 2017년 발표된 엑센츄어(Accenture)의 보고서에서는 블록체인으로 인해 변화하는 환경에

대응하기 위해 다음과 같은 지침들을 제시

2018 Vol.07

12

① 사례 확인과 우선순위 결정 : 가치를 창출하거나 혹은 실제적인 문제를 해결하고 혁신적인 시장의

기회를 잡는 사례들을 식별해내고 우선순위를 정해야 함

② 시급한 사례에 대한 실행 : 비즈니스 모델에 영향을 미치거나 가치를 창출하는데 블록체인의 역할을

정의하고 이들 사례들의 우선순위가 높은 순서로 실험과 실행을 추진

③ 현재의 상황에 대한 정의 : 세부적인 활용 사례를 이해하기 위한 개념의 근거와 프로토타입을

만들어내며, 당면한 이슈와 기술이 제공하는 솔루션을 명확하게 정의

④ 파일럿과 프로젝트 실행 : 실제 피드백을 얻기 위해 파일럿을 시작하고 실행 과정을 이해. 생산

환경에서 성공적인 프로젝트를 추진하고 고객 세그먼트별 신상품을 출시하고 기업의 수용능력을

토대로 경영 및 최적화된 작업 수행

▶ 다수 보고서에서 블록체인 기술이 미디어 분야에 적용될 때 시장 구조 합리화 및 사업 수행 절차 향상

등의 미래가 그려질 것으로 예측

• 블록체인이 미디어 분야에 가져올 미래는 시장 참여자 간의 합리적이고 효율적인 거래가 약속되어야

가능하고 이를 토대로 소규모의 거래부터 대단위의 투자까지 이뤄질 수 있음

• 블록체인은 시장에 참여한 모두가 부당한 거래 행위의 피해자가 되는 것을 방지하며, 블록체인 기술로

공정한 시장이 조성될 것으로 기대, 따라서 소상공인까지도 정당한 권리를 얻고 시장 참여자 모두

상생할 수 있는 체계를 구축하는데 블록체인이 활용될 수 있을 것이라 전망

• 하지만 대개 보고서에서는 어느 미디어 관련 사업자라고 하더라도 섣부른 판단과 적용, 투자보다는

먼저 해당 사업 영역에서 블록체인이 필요한지 어떻게 적용하는 것이 효율적인지 판단해보는 것이

급선무라고 언급하고 있음

지속되는 미디어 서비스에의 적용, 그 주요 사례들

▶ 가짜뉴스 방지

• 블록체인 기술의 기본 개념은 신뢰 기반의 분산형 네트워크에서 출발하기 때문에 현재 미디어

분야에서 문제가 되고 있는 가짜뉴스에 대한 방지에 활용될 수 있을 것으로 기대

• 대표적으로 사피엔(Sapien)은 ‘가치 증명(Proof-of-Value)’으로 일컬어지는 프로토콜을 통해 가짜뉴스나

커뮤니티의 가치에 부합하지 않는 콘텐츠를 걸러내고 이용자는 사피엔의 커뮤니티에서 평판 점수를

얻게 되며 이를 토대로 커뮤니티 가치에 부합하는 주장인지 판별됨

• 사피엔의 기계학습은 일종의 ‘입장 감지(stance detection)’라는 기술이 활용되어 게시물이나 기사의

주장이 서로 다른 기사들의 텍스트가 일치하는지 그 여부를 결정하도록 도와주고 또한 게시자의

신원을 확인하여 뉴스의 신뢰도를 확보함

2018 Vol.07

13

• 사피엔에서 특정한 주장이 감지되면 아래 <그림 2>처럼 각 소스별로 매칭을 시도하여 평판도에 따라

가중치가 부여되고 다음으로 이 주장이 틀릴 확률을 결정하여 이용자에게 표시해 줌

• 사피엔은 세계 최초로 민주화된 자율형 플랫폼(democratized autonomous platform)을 지향하고

있어 이용자가 사피엔에 접속하는 순간 이 플랫폼의 커뮤니티에서 주로 말하고자 하는 정보들이 제공,

이 정보들과 특정한 주장이 얼마나 매칭되는지를 확인하는 것이 사피엔의 구동 방식임

• 사피엔 플랫폼에 접속하기 위해서는 SPN 토큰(SPN token)을 보유해야 하며, 이 토큰을 활용하여

투표, 게시하기, 주석 달기 등의 기능을 이용할 수 있게 됨

그림 2 _ 사피엔(Sapien)의 가짜뉴스 선별 방식

[출처] blog.sapien.network

▶ 거래 투명성 확보

• 지난 6월 19일, IBM iX(IBM의 비즈니스 및 기술 컨설팅 부문)은 SW 공급업체인 미디어 오션(Mediaocean)과

파트너십을 맺고 디지털 미디어 거래 투명성 확보를 위한 블록체인 추적 장치를 소개

• IBM iX는 미디어 생태계가 블록체인 기술을 적용하는 주된 목적은 미디어 구매 산업에서 생산되는

불필요한 정보들을 정리하는 것이라고 판단해 본 서비스를 개발

• 이 서비스를 활용할 경우 미디어 플레이어들 사이에서 자금이 움직이는 경로를 추적하고 불필요한

중개자들의 개입을 줄일 수 있게 되고 이에 따라 투명한 거래 내역이 공개되고 관리되는가 하면

거래에 드는 시간과 비용을 줄이는 목적도 달성하게 됨

2018 Vol.07

14

• IBM iX의 금번 비즈니스 개발로 인해 불분명한 거래 내역이 보다 투명하게 관리 가능하고 또한

불공정한 거래들을 막아 온라인 광고가 보다 효율적으로 게재되고 예산 낭비를 방지할 수 있음

• 광고 거래의 투명성을 확보한다는 차원에서는 세계 최초로 개시된 온라인 광고 거래소 ‘NYIAX(New

York Interactive Advertising Exchange)’의 사례도 있음

• NYIAX는 광고주나 퍼블리셔에게 선물/선도계약 방식을 적용해 광고를 제공하는데 이때 중개인에게

지불되는 수수료를 줄일 수 있어 광고주의 직접적인 광고 구매율을 높일 수 있음

▶ 신뢰 기반의 콘텐츠 마켓

• 리빌잇 서비스(Reveel-it)를 제공하는 리빌사(Reveel Technologies, Inc)는 블록 체인 및 스마트 계약을

활용한 분산형 미디어 마켓 플레이스를 출시

• 리빌사의 리빌잇 앱 서비스는 TV나 잡지에서 리빌잇 로고를 스캐닝하면 해당 콘텐츠 정보를

세부적으로 알 수 있거나 쿠폰을 얻을 수도 있고 해당 페이지를 공유할 수도 있는 등 다양한 정보

수집 및 공유 작업이 가능한 서비스로 여기에 블록체인을 적용하는 것임

• 리빌잇에 블록체인 기술이 적용될 경우 신뢰기반의 미디어 플랫폼이 구축될 것이며, 또한 이 서비스에

매개된 모든 사업자들은 RVL 토큰(RVL Tokens)을 통해 인센티브를 얻을 수 있게 됨

• 금번 블록체인 기술 적용으로 리빌사는 모든 형태의 디지털 미디어와 콘텐츠에 대한 관리를 보다

체계화하겠다는 목표를 설정하고 있음

• 리빌잇은 기존 미디어 콘텐츠에 매개된 정보들을 제공해주는 서비스이므로 토큰을 통해 거래 마켓을

보다 활성화할 수 있으며 분산형 미디어 체계를 통해 보다 많은 마켓 참여자들이 신뢰 기반으로

연결된 서비스를 제공할 수 있을 것으로 보임

▶ 데이터 기반의 더 나은 수익 창출

• 지난 7월 알파 네트워크(Alpha Networks)는 블록체인 기반 비디오 제공 인프라를 발표. 알파

네트워크는 제작자, 미디어 회사, 광고주에게 향상된 수익을 제공하기 위해 블록체인 기반으로

콘텐츠 관리와 분석에 용이한 응용 프로그램 제공

• 알파 네트워크는 유튜브와 같은 온라인 동영상 콘텐츠 수집기, 넷플릭스와 같은 콘텐츠 서비스 구성

요소, 트위치와 같은 대화형 양방향 플랫폼, HBO 형태의 프리미엄 케이블 모델을 결합하는 상품을

지향, 그러나 기존의 미디어 플랫폼의 콘텐츠 제공 방식과 과금 방식이 비효율적이라고 판단

• 알파 네트워크는 콘텐츠 생산자, 이용자, 광고주가 플랫폼의 운영 전반에 참여하는 POE(Proof of

Engagement) 체계를 도입해 기존과는 차별화된 서비스를 기획

• 알파 네트워크 체계 안에서 이용자와 광고주가 ScreenR 토큰(AlphaNetworks’ ScreenR tokens)을

지불하여 플랫폼에 접근하면 크리에이터인 창작자 그룹은 콘텐츠와 메타데이터를 업로드 함

- 이 과정에서 POE 체계가 작동하여 익명의 이용자가 본 광고뷰와 동영상뷰가 합쳐져 알파 체인이라

불리는 블록체인 체계에 묶임. 마지막에는 익명의 이용자 그룹이 만들어낸 이 이용 수치들이 모두

2018 Vol.07

15

통합되어 정확한 이용 데이터 산출

- 최종적으로 알파 네트워크의 블록체인 체계에서는 모두가 신뢰할 수 있는 수치들을 근거로 하여

구독률과 광고율을 산출해 창작자 그룹에게 대가를 지불할 수 있음

• 알파 네트워크의 POE는 결국 네트워크로 연결된 개인 이용자, 광고주, 크리에이터의 데이터를

묶어주고 신뢰 기반의 과금 체계를 구축하는 것이 주요 골자라고 볼 수 있음

그림 3 _ 알파 네트워크(Alpha Networks)의 기술 구성

[출처] alphanetworks.io/#team

▶ 본격적인 1:1 거래방식 구축

• 지난해인 2017년 12월, 모바일 인터넷 기업에 해당하는 아시아 이노베이션스 그룹(AIG : Asia

Innovations Group)은 라이브 동영상 플랫폼 업라이브(Uplive)의 콘텐츠 제작자인 크리에이터들에게

직접적인 혜택을 주기 위해 디지털 화폐 기프토(Gifto)를 출시

• 기프토는 기프팅 프로토콜(Gifting Protocol)의 약자로 이더리움(Ethereum) 블록체인 기반의 범용

프로토콜, 디지털 화폐 거래소 바이낸스, 카이버 네트워크와 협력 중이므로 기프토를 받은 콘텐츠

제작자는 거래소에서 실물화폐로 교환 가능함

2018 Vol.07

16

• 1인 방송이 제공되는 플랫폼에서 이용자가 직접 콘텐츠 제작자들에게 대가를 지급할 수 있는 길이

열린 셈이고 전세계적으로 이용되는 플랫폼에서 이슈가 되는 수수료와 해외 송금/환전에 대한 문제가

해결될 수 있음

• 키프토라는 블록체인 프로토콜 상에서는 글로벌 콘텐츠 크리에이터들이 유튜브, 페이스북, 인스타그램

등과 같은 프로토콜로 받은 가상선물을 현금화 할 수 있는 것임

누구나 시장에 참여 가능한 환경의 마련

▶ 최근 블록체인에 대한 이해도가 높아지면서 이를 미디어 서비스에 적용하려는 시도가 활발

• 블록체인으로 인해 대기업 뿐만 아니라 소상공인도 시장에 참여할 수 있는 환경이 조성되고 있는

것이 특징으로 꼽히며 미디어 산업은 전통적으로 기술과 장비가 축적된 거대 기업의 전유물로 보는

시각이 블록체인으로 인해 바뀔 것으로 예상됨

• 인터넷 웹과 모바일 앱의 시대를 거치며 콘텐츠 생산에 미디어 이용자가 참여하는 현상이 일어났는데

블록체인으로 인해 유통 과정에서도 이용자의 영향력은 더욱 커질 것으로 전망됨

• 이제 미디어 이용자는 필요하면 미디어 생산자도 되고 유통자의 역할도 할 수 있으며 광고주도 할

수 있는 시장 체계가 마련되고 있는 상황임

• 블록체인 기술이 미디어 시장에 완벽히 정착되기 위해서 많은 시행착오가 필요할 것으로 판단되지만,

현재의 상황은 블록체인으로 인해 미디어 시장 표면에 드러나는 생산과 유통의 차원 뿐 아니라 미디어

경제 활동 체계가 총체적으로 변화하는 과도기적 상황으로 판단됨

Reference

Accenture(2017). Block Chain: REENGINEERING THE MEDIA VALUE CHAIN.

Alpha Networks: alphanetworks.io/#team

Asia Innovations Group: iainnovations.com/product.html

CoinReport(2018. 1. 7). GIFTO ICO fastest ever in Asia, sells out within minute.

Cointelegraph(2018. 6. 19.). IBM Launches Blockchain-Powered Media Transactions Tracker to Prevent Advertising Fraud.

Deloitte(2017.). lockchain @ Meia: A new Game Changer for the Media Industry?

GIFTO Korea: blog.naver.com/gifto_kr/221241073617

PR Newswire(2018. 8. 7.). Reveel Technologies Using Blockchain to Launch Decentralized Media Marketplace.

Rapid TV News(2018. 6. 19.). AlphaNetworks announces AI, blockchain-based video infrastructure.

Sapien: blog.sapien.network/fighting-fake-news-with-proof-of-value-ae7663c36b50

UTB(2018. 8. 7.). Top Blockchain Companies Transforming Social Media.

2018 Vol.07

17

블록체인과 개인정보보호 쟁점과 이슈

오현옥 한양대 정보시스템학과 교수 (hoh@hanyang.ac.kr)

• (現) 한양대학교 공과대학 정보시스템학과 교수

• (現) 한양대학교 여성공학인재양성센터장

블록체인 소개 및 개인정보보호

▶ 블록체인의 개념

• 블록체인은 거래 내용을 다수 포함하는 블록과 블록 사이를 이어주는 체인으로 구성된 개념으로,

블록이 한번 블록체인에 들어가서 블록으로 인정되면 이후에는 그 블록을 더 이상 변경할 수 없는

것이 특징임

• 블록체인 자체는 다수의 컴퓨터에 중복되어 저장되기 때문에 하나의 컴퓨터 상에서 블록체인을 지우

더라도 다른 컴퓨터에 있는 블록체인으로 복구할 수 있기 때문에 자료 삭제 해킹에 강함

그림 1 _ 블록체인 구성 요소

▶ 합의 알고리즘

• 블록체인에서 블록화(또는 마이닝)를 하는 방법을 블록체인 합의 알고리즘이라고 칭함

• 합의 알고리즘으로는 작업 증명(Proof of Work), 지분 증명(Proof of Stake), 위임 지분 증명(Delegated

Proof of Stake) 등의 방법이 있음

2018 Vol.07

18

그림 2 _ 블록체인 합의 알고리즘

• 작업 증명의 경우 블록을 만들기 위해서는 해시 입력값 찾기라는 문제를 풀어야 함

• 작업 증명의 경우 상이한 블록체인이 여러 노드(컴퓨터)에 존재할때 이 블록체인끼리의 합의 알고리

즘은 가장 긴 블록체인을 선택하는 알고리즘을 사용하고 그 이유는 가장 긴 블록체인이 가장 많은

일의 결과이기 때문

그림 3 _ 서로 다른 블록체인들이 하나로 합의되는 경우 : 작업증명에서는 가장 긴 블록체인이 선택

• 작업 증명의 경우 블록체인 중간에 있는 블록을 수정해야 하는 경우 그 블록 이후의 모든 블록에

대해서도 작업 증명을 다시 해야 하기 때문에 시간이 많이 걸려, 이 시간이 블록체인의 안전성을

증명하는 방법임

2018 Vol.07

19

• 지분 증명의 경우에는 작업 증명에 필요한 연산량이 노드의 지분에 따라 달라지는 것이며, 위임 지분

증명의 경우에는 대표자를 뽑아서 전자서명을 수행하는 것으로 작업 증명을 대신함

• 블록체인의 구조와 합의 알고리즘은 거래 내용과는 독립적이고, 개인정보는 모두 거래 내용에 저장

되어 있으므로 블록체인의 개인정보보호는 거래 내용에 집중된다고 할 수 있음

▶ 블록체인의 유형

• 블록체인은 접근 허가에 따라 개방형(open)과 폐쇄형(closed)으로 나눌 수 있음

• 또한 블록체인에 대한 읽기 및 쓰기 허가 방식에 따라서 유형이 나뉨

• 일반적으로는 공개형(Public), 컨소시엄(Consortium), 사적형(Private) 블록체인으로 분류하며, 공개형을

다시 쓰기 허용방식에 따라 비허가형(permissionless), 허가형(permissioned)으로 나눌 수 있음

• 공개 비허가형에서는 누구나 블록체인을 읽고 쓸 수 있지만, 공개 허가형에서는 읽는 것은 누구나

할 수 있지만 쓰는 것은 허가된 참가자만 가능

• 폐쇄형 블록체인의 경우에는 읽는 것에도 제한이 있음. 하지만 이 경우 블록체인이 여러 노드에 중복

되어 저장되는 것이 아니기 때문에 블록체인이 가진 데이터 삭제 불가가 보장되지 않음

• 따라서 폐쇄형 블록체인은 진정한 블록체인이 아니라고 비판하는 사람들도 많음

• 폐쇄형 블록체인의 경우에는 블록에 대한 읽기도 제한할 수 있기 때문에 개인정보보호가 상대적으로 쉬움

• 개방형 블록체인의 경우에는 불특정 다수가 블록체인의 내용의 복사본을 가지고 있기 때문에 블록

체인에 포함된 내용은 공개된 내용임

표 1 _ 블록체인 유형

구분 Read Write

개방형(Open)

공개 비허가형(Public permissionless) 모두에게 허용 모두 가능

공개 허가형(Public permissioned) 모두에게 허용

허가된 참가자들만 가능

폐쇄형(Closed)

컨소시엄(Consortium) 허가된 참가자들에게 허용

허가된 참가자들만 가능

사적 허가형(Private permissioned)

사적으로 관리하는 허가된 노드들에게만 허용

사적 관리자만 가능

▶ 거래 내용 추적

• 개방형 블록체인의 경우 거래 주체들이 공개 주소로 가명화되어 있더라도 추적을 통해서 돈, 물자의

흐름들의 소유관계를 추측할 수 있음

2018 Vol.07

20

• 폐쇄형 블록체인의 경우 블록체인이 공개되어 있지 않지만, 허가된 참자가나 관리자에 의해서 개인

정보가 유출될 가능성은 존재함

• 폐쇄형 블록체인에서의 개인정보보호 문제는 블록체인이 아닌 현재의 데이터베이스 상에서의 개인정보

보호 문제와 거의 동일함

GDPR, 개인정보보호법

▶ 유럽연합 일반 개인정보보호법(GDPR)

• GDPR은 EU General Data Protection Regulation의 약자로 2016년 5월 공표되었고, 2018년 5월 25일에

시행되었음

• 블록체인 상에서의 정적인 데이터에 대한 개인정보보호가 이슈임

• 등록된 정보의 삭제가 불가능한 블록체인과 개인정보의 삭제권을 보장한 GDPR이 충돌하기 때문에

문제라고 인식함

• 즉, 블록체인의 경우 정보의 위변조가 불가능한 비가역성을 갖는데 블록체인에서 위변조가 불가능

하다는 것이 삭제 역시 불가능하다는 것과 문맥상 동일하기 때문에 문제임

그림 4 _ 유럽연합 일반 개인정보보호법(GDPR)

▶ 개인 데이터(가명화, 익명화)

• 개인 데이터란, 살아있는 자연인에 직간접적으로 연관되어 해당인을 식별할 수 있거나 식별가능하게

해 주는 정보를 의미

• 우리나라 개인정보보호법에서는 개인정보를 ‘살아 있는 개인에 관한 정보로서 성명, 주민등록번호

및 영상 등을 통해 개인을 알아볼 수 있는 정보’라고 정의하고 있음

2018 Vol.07

21

• GDPR에서는 가명화(pseudonimisation)를 다음과 같이 정의(제4조 제5호)

‘pseudonimisation’ means the processing of personal data in such a manner that the personal

data can no longer be attributed to a specific data subject without the use of additional

information

• 즉, 가명화는 추가 정보 없이 개인 데이터가 더 이상 특정 데이터 주체에 귀속될 수 없도록 개인

데이터를 처리하는 것

• 가명처리 정보는 개인정보로 여김(Recital 23)

Data which has undergone pseudonymisation, which could be attributed to a natural person

by the use of additional information, should be considered as information on an identifiable

natural person

• 우리나라는 가명 처리 정보에 대한 명확한 정의 규정은 없음

• 개인정보비식별화란, 정보 집합에서 식별정보를 제거함으로써 개인정보를 특정한 인물과 연결할 수

없도록 하는 것을 말하며 종종 혼동하여 사용되는 익명처리, 가명처리보다 상위의 개념임

▶ 처리(processing)

• 개인 데이터에 대한 일련의 처리(예를 들어, 수집, 기록, 조직화, 구조화, 저장, 적용, 변경) 행위를 의미함

▶ 개인정보 처리자

• GDPR에서는 컨트롤러(개인정보 처리의 목적 및 수단을 결정하는 자, 제4조 제7호) 및 프로세서(컨트

롤러를 대신하여 개인정보를 처리하는 자, 제4조 제8호)를 정의하고 있음

• 우리나라에서는 개인정보보호법(제2조 제5호)에서 ‘개인정보처리자’란 업무를 목적으로 개인정보

파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체

및 개인 등을 말함

블록체인과 GDPR

▶ 블록체인은 개인 데이터를 처리하는가?

• 비트코인류의 블록체인에서 거래는 공개 주소값에 의해서 이루어지고 공개 주소값으로부터 개인을

특정할 수 없음

• 하지만 공개 주소값이 재사용되면 직접적이지는 않더라도 간접적으로 특정인을 지칭할 수 있음

• GDPR에서 데이터 보호 규정은 익명화된 데이터에 대해서 그 데이터가 더 이상 살아있는 개인을 추적

하는데 사용될 수 없으면 적용되지 않음

2018 Vol.07

22

• 하지만 데이터가 익명화로 통과되는 것은 매우 어려움

• 블록체인에서 사용하는 해시나 암호화된 개인정보의 경우 연결관계 등을 통해서 개인을 특정할 수

있기 때문에 익명화된 데이터가 아닌 가명화된 데이터로 여겨질 수 있음

• 즉, 공개 주소값은 가명화 된 데이터이므로 개인정보를 충분히 보호한다고 할 수 없음

▶ 삭제권 및 정정권

• GDPR에서는 17조에서 삭제권(Right to erasure)에 대해서 아래와 같이 기술하고 있음

- 개인정보 수집 목적 등과 관련하여 더 이상 불필요한 경우

- 정보주체가 동의를 철회하고 그 처리에 법적 근거가 없는 경우

- 정보주체가 처리를 반대하고 그 처리에 우선적인 정당한 근거가 없는 경우

- 개인정보가 불법적으로 처리된 경우

- 컨트롤러가 EU 또는 회원국 법을 준수하기 위해 삭제하는 경우

- 정보사회서비스의 제공과 관련하여 아동의 개인정보가 수집된 경우

- 개인정보를 제3자에게 공개하였으면, 이용 가능한 기술과 삭제 비용을 고려하여 필요한 합리적인

조치를 취하여아 함

• GDPR 16조에서 정정권(Right to rectification)에 대해서 다음과 같이 기술함

- 개인정보가 부정확하거나 불완전한 경우에 실행

- 부정확한 경우 정정 요구권, 불완전한 경우 정보보완권이라 함

• 우리나라 개인정보보호법에서는 제21조 제1항에 개인정보의 파기에 대해서 다음과 같이 기술

- 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을

때에는 지체 없이 그 개인정보를 파기하여야 한다.(파기는 복구 또는 재생되지 않도록 하는 조치)

- 개인정보의 정정, 삭제에 대해서 제36조 제1항에서 자신의 개인정보를 열람한 정보주체는 개인정보

처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있음

▶ 블록체인의 불변성과 GDPR과의 충돌

• 블록체인은 블록 내용이 정정되거나 삭제되는 것을 막는 불변성에 기초하고 있어서 GDPR에서 요구

하는 삭제, 정정권과 충돌함

▶ 충돌의 해결 방안

• 충돌의 해결방안으로 off-chain storage, blacklisting, 합의에 의한 블록 수정 방법 등이 있음

• off-chain storage의 경우 블록 밖의 DB에 개인정보를 저장하는 방법으로 블록체인의 장점인 데이터

복제가 제공되지 않기 때문에 해킹이나 관리주체 등에 의해 블록내용을 복구할 수 없게 될 수 있음

• blacklisting의 경우에는 데이터를 암호화하여 저장함

2018 Vol.07

23

• 암호키를 파기하는 것으로 개인정보에 대한 열람, 접근을 못하게 하는 방법

• 블록체인은 참여자의 합의에 의해 생성되기 떄문에 합의에 의한 블록 수정이 가능

• 예로서 이더리움에서 해킹 사건이 발생, 이 사건에서 이더리움 측은 해킹에 의한 불법 거래내역이

포함되지 않은 블록체인을 강제적으로 선택하게 만드는 하드 포크를 선언, 해킹에 의한 불법 거래

내역도 그대로 보존하는 것이 옳다는 집단도 있어서 현재 두 가지 버전의 블록체인이 운영되고 있음

• 앞에서 언급한 방법들을 적절히 혼용하여 개인정보를 파기하는 방법도 생각할 수 있음

• 비트코인의 경우 각각의 거래에 대한 해시 트리를 만들고 이 해시 트리의 루트값을 입력으로 해서

작업증명을 수행

• 특정 거래를 비트코인 블록체인에서 삭제하고 싶은 경우 해당 거래를 지우고 거래의 해시값만 남기는

방법으로 블록체인의 불변성을 유지하면서도 삭제권을 제공하는 방법을 생각할 수 있음

• 거래 중 일부 내용만 삭제하거나 원하는 방향으로 정정하는 것에 대해서 암호학적 기법을 통해서

가능할 수 있음

• 전체 내용 중에서 일부를 삭제해도 그 데이터에 대한 전자서명이 유용한 redactable signature, 일부

내용을 수정하는 것을 허용하는 전자서명인 sanitizable signature 등을 사용하면 블록체인 상의 데이

터에 삭제권과 정정권을 구현하는 것도 가능할 수 있음

블록체인 상의 범죄

▶ 비트코인의 경우 추적 가능

• 선진국에서는 블록체인을 분석해 비트코인 거래를 시각화해 보여주는 기술들이 개발되고 있음

• 체이널리시스(Chainalysis), 코인애널리틱스(Coinanalytics), 블록시어(Blockseer), 엘립틱&스코어체인

(Elliptic&Scorechain) 등이 있는데 국내에서도 2016년 10월 서울지방경찰청이 비트코인으로 마약을

매매한 혐의로 80명을 검거, 5명을 구속해 첫 비트코인 추적 수사 성과로 주목받았음

▶ 이스트소프트 개인정보 해킹

• 2018년 1월 12일 경찰청에 따르면, 경찰이 최근 검거한 이스트소프트 개인정보 해킹 범행의 일당은

피해자 A씨의 가상화폐 거래소 '비트커넥트' 계정에서 2.1비트코인(당시 시세 800만 원)을 절취했음

• 해킹으로 얻은 거래소 접속 아이디와 패스워드로 로그인하여 피해자의 비트코인 지갑에 있던 금액을

자신들의 지갑으로 옮기는 수법을 사용했고, 이들은 절취한 비트코인을 중국에서 현금화하여 사용한

것으로 알려졌음

• 현재 일당 중 1명이 붙잡혀 조사를 받고 있지만 피해자가 비트코인을 되찾을 방법은 없고 누가 장물을

샀는지 특정하는 게 사실상 불가능함

2018 Vol.07

24

• 경찰 측은 "비트코인은 국경과 상관없이 거래되고 일반 화폐와 달리 계좌 추적이 매우 어렵기 때문에

범죄집단의 표적이 되고 있다"고 전함

• 범죄조직이 비트코인을 노린 사건은 수 년 전부터 지속되고 있음

▶ 인터파크 해킹

• 2016년 7월 북한 정찰총국이 인터파크를 해킹해 개인정보를 빼내고 30억 원 상당의 비트코인을 요구

하는 사건이 발생

▶ 나야나 랜섬웨어

• 2017년 6월에는 인터넷 IDC 업체 나야나가 랜섬웨어 해킹 피해를 입었음

• 해커는 당시 회사 규모와 연봉, 가족 등을 구체적으로 언급하면서 826.2비트코인, 당시 시세로 26억 원

상당을 요구

• 업체 측은 결국 13억 원을 주기로 해커와 합의하고 복구작업에 나섬

▶ 비트코인은 음란, 사기, 도박 등 범죄 수입원으로도 사용

• 앞서 2015년 9월부터 지난해 1월까지 미국과 일본에 서버를 두고 음란 사이트를 운영하면서 여기에

불법 도박 사이트 광고를 유치해 3억 원 상당의 비트코인을 광고비로 받은 범죄가 적발

• 비트코인에 대한 몰수는 사실상 어렵고 비트코인을 재산가치가 있는 화폐로 볼 것인지에 대해 논란

• 음란 사이트를 운영해 부당이익을 챙긴 혐의로 기소된 피의자에게 지난해 9월 검찰이 216비트코인

(기소 당시 약 5억 원 상당) 몰수를 구형했으나 수원지방법원은 이를 기각

블록체인상의 거래에 대한 개인정보보호

▶ 블록체인과 일반 데이터 상에서 개인정보보호의 차이점

• 일반 데이터 상에서의 개인정보보호는 개인정보비식별화로, 따라서 개인정보를 감추거나 삭제하여

특정 개인을 지칭할 수 없는 수준의 비식별화가 개인정보보호의 이슈임

• 블록체인은 거래를 담고 있기 때문에 단순히 거래 내용을 감추는 것으로 개인정보보호라고 할 수

없음. 즉 거래에 담긴 내용을 감추면서도 거래의 타당성과 유용성을 보장해야 함

• 이에 기존의 개인정보보호와 블록체인상의 개인정보보호는 다른 접근법을 취해야 함

• 기존 데이터 상에서 개인정보보호의 문제는 개인정보가 비식별화된 데이터로부터 적절하게 유용한

정보를 추출할 수 있는 것이 관건임

• 개인정보 비식별화가 높으면 의미 있는 정보 추출이 어렵고, 낮으면 개인정보 유출의 위험성이 증가함

2018 Vol.07

25

• 블록체인 상에서의 개인정보보호 문제는 거래 내용 내의 개인정보를 감추면서도 거래 완료를 통해서

개인의 거래를 활용할 수 있어야 함

• 요약하면 일반 데이터 상에서의 개인정보보호는 저장된 데이터(static data)를 대상으로 하고, 블록체인

상에서는 동적인 거래를 포함함

• 블록체인 상에서의 개인정보보호를 이해하려면 정적인 데이터 상에서의 개인정보 비식별화와 동적인

거래에 대한 거래내용 숨김 및 거래 내용 유용성 보장이라는 두 가지 측면을 모두 고려해야 함

• 따라서 거래의 무결성 및 유용성에 대한 보장없이 블록체인 상에서의 개인정보보호를 위해 거래 내용

중 단순히 개인정보를 암호화, 해시화 등을 통해서 감추는 것으로는 부족함

▶ 블록체인에서는 거래상에 드러나는 입력으로서의 개인정보보호에 초점

• 기존 블록체인의 경우 보안성은 기록의 변조가 거의 불가능하다는 무결성에 특화

• 기술 자체의 높은 보안성이 아니라 내용을 공유하는 정상적인 참여자가 많기 때문에 블록체인의 보안

성이 유지

• 모든 데이터가 공유되고 검증되기 때문에 개인정보 노출의 위험도가 높음

• 비트코인의 경우 가명화된 정보로 누가, 누구에게, 얼마를 보냈는지에 대한 정보가 노출

그림 5 _ 블록체인 거래의 추적 가능성

▶ 추적 불가 블록체인 코인

• 거래 내용을 통한 추적을 방지하는 기법으로 대시 코인, 모네로 코인, 지캐시(Z-cash)가 있음

• 대시 코인은 믹서 노드를 사용하여 거래 내용을 섞는 방식으로 노드들이 믹서 노드를 매개자로 하여

돈을 보내는 방식임

• 믹서 노드가 돈을 받고 제대로 전달하지 않는 것을 방지하기 위해서 믹서 노드가 되려면 1,000코인을

공탁해야 함

• 모네로 코인은 링 서명을 사용하여 거래 개시 노드가 특정 그룹 중에 누구인지를 감추는 방법임

2018 Vol.07

26

• 링 서명을 사용하는 경우 n명 중에 한 명임을 나타내기 위해서 서명의 길이가 n배가 되어야 하는

단점이 있어 모네로 코인에서는 실용적인 관점에서 n=5로 하여 사용하고 있음

• 그 밖에도 모네로 코인에서는 받는 사람과 거래 액수를 감추기 위한 방법으로 링 CT 도입을 고려하고 있음

그림 6 _ 추적 불가 코인 : 대시 코인, 모네로 코인

• 이더리움에서는 거래 내역 추적 방지를 위해서 우선 대시 코인과 같은 믹서를 사용하는 방법을 우선

도입하고, 중기적으로 모네로 코인의 링 서명을 사용하는 방식을 채택하며 궁극적으로 지캐시 방식을

사용할 것이라고 발표

그림 7 _ 추적 불가 코인 : 영지식에 기반한 Z-cash

Z-cash

▶ 영지식 증명

• 영지식 증명은 누군가(증명자)가 상대방(검증자)에게 정해진 사항(또는 정해진 규칙대로 계산했다는

사실)이 참이라는 것을 증명하면서도, 문장의 참, 거짓 판별을 제외하고는 어떠한 다른 정보도 노출되지

않도록 하는 것임

2018 Vol.07

27

▶ zk-SNARK의 개념 및 역사

• zk-SNARK는 Zero-Knowledge Succinct Non-interactive ARgument of Knowledge의 약자로 정보 노출

없이 (영지식) 검증이 짧고 상호 작용이 필요 없는 지식(또는 사항)에 대한 증명 방법임

• 함수에 대응해서 생각한다면, 주어진 입/출력에 대한 연산의 중간 과정들을 압축하여 증명

그림 8 _ zk-SNARK 프로토콜

• 검증자는 증명값, 입력값, 출력값에 대해서 함수에 대해서 입력값을 넣으면 출력값이 나오고 그렇게

나오게 하는 중간값을 증명자가 알고서 증명값을 만들었다는 것을 확인할 수 있음

• zk-SNARK는 2013년에 실용적으로 사용할 수 있는 알고리즘이 제안됨(피노키오 알고리즘)

그림 9 _ zk-SNARK 연구 역사 : 피노키오, 제페토, 신데렐라

• 이후에 계속해서 증명의 크기를 줄이고, 증명 생성 시간 및 검증 시간을 줄이고 안전성을 높인 방법들이

제안되고 있음

▶ zk-SNARK의 한계점 및 다른 영지식 증명 방법들

• zk-SNARK에서는 신뢰할 수 있는 키 생성자가 필요함

• 키 생성자가 키 생성 시에 사용한 비밀값을 폐기하지 않으면 그 비밀값을 사용하여 검증을 통과하는

2018 Vol.07

28

거짓 증명을 만들 수 있음

• 즉, 자신의 돈을 사용하지 않고도 마음대로 돈을 보낼 수 있음

• 신뢰할 수 있는 키 생성자 문제를 해결하기 위해서 다양한 영지식 증명 방법들이 개발되고 있음

그림 10 _ 다양한 영지식 증명 방법들

▶ 지캐시의 동작 원리 및 알고리즘

• 지캐시의 거래를 담은 함수는 비밀키가 있는 거래자만 올바른 증명값을 생성할 수 있음

• 하지만 그 거래자가 누군인지는 함수 내부값으로 확인되고 함수의 입출력값에는 드러나지 않음

• 따라서 거래의 유용성은 zk-SNARK의 증명값으로 보장하고, 개인정보는 드러나지 않음

그림 11 _ 지캐시 동작 원리

영지식 증명을 활용한 개인정보보호 블록체인

• 지캐시를 더 발전시킨 Accountable privacy for decentralized anonymouse payments와 Hawk : the

blockchain model of cryptography and privacy-preserving smart contracts가 있음

• Accountable의 경우 지캐시의 보안성을 더 향상함

2018 Vol.07

29

• 또한 송금 최대액, 세금 설정, 에스크로 등 다양한 정책을 지원하면서도 개인정보 노출이 없는 방법을

제안함

• Hawk는 일반적인 코드로 주어진 거래에 대해서 zk-SNARK 증명을 생성할 수 있게 하는 툴체인을 만듬

그림 12 _ Hawk 프로토콜

블록체인과 개인정보보호 쟁점과 전망에 대한 요약

▶ 현재의 블록체인과 개인정보보호

• read는 open, write는 closed인 블록체인 응용이 앞으로 급속도로 증가할 것으로 예상되므로 따라서

개인정보는 기본적으로 가명화(public address) 정도만 지원

• 개인정보보호가 중요하지 않은 블록체인 응용에서는 현재의 접근방법이 사용될 것임

• 삭제가 필요한 경우에는 앞에서 언급한 off-chain storage, blacklisting, hard fork 방식이 사용될 것임

▶ 영지식에 기반한 블록체인 상의 개인정보보호

• 개인정보보호가 중요한 경우, 블록체인에서는 개인정보 비식별화보다 거래의 유효성은 개인정보를

드러내지 않고 증명하는 영지식 증명 방법이 더 활발하게 적용될 것으로 전망

• 현재 국내에서는 영지식 증명 자체에 대한 기초 연구 및 이를 활용한 블록체인 개인정보보호 기법에

대한 연구 인력이 너무 적은 상태임

• 반면, 국제적으로는 많은 암호 인력이 블록체인 스타트업 기업에서 최신 기술을 개발하며 적용하고

있어 이에 대한 대대적인 관심과 지원이 필요함

• 암호기술 없는 블록체인 기술은 결국 핵심 기술에 대한 알맹이 없는 기술 종속 상태가 빚어질 것

• 따라서 영지식에 대한 인력 양성이 개인정보보호를 위해서 절실함

2018 Vol.07

30

미국 캘리포니아주 소비자 개인정보보호법과

EU GDPR의 비교 및 시사점

고환경 법무법인 광장 변호사 (hwankyoung.ko@leeko.com)

• (現) 법무법인 광장 파트너 변호사

• (現) 금융위원회 법령 해석 심의위원회 위원

• (現) 개인정보보호법학회 재무이사

• (前) 방송통신위원회 빅데이터 가이드라인 제정 자문위원회 위원

들어가며

• 미국 캘리포니아 주 의회는 2018년 6월 28일 ‘The California Consumer Privacy Act of 2018’(소비자 프라이

버시법)을 원안대로 의결하고 같은 날 캘리포니아 주지사도 승인하여 2020년 1월 1일 시행될 예정임

• 한편, EU GDPR(General Data Protection Regulation)은 2016년 4월 8일 EU 이사회에 의해 채택하고

같은 해 4월 14일 유럽의회에 의해 채택되어 5월 24일 발효되고, 2018년 5월 25일자로 시행됨

• 이하에서는 위 두 법률(정확히는 법률과 법률안이나 이하에서는 편의상 법률이라고 칭하기로 함)을

적용범위, 주요개념, 정보주체의 권리, 제재 및 벌칙 등 주요 조항 위주로 비교하여 검토하기로 함

적용범위

▶ 영토적 적용범위

• 미국 캘리포니아 소비자 프라이버시법은 캘리포니아 주 영토 외에서 이루어지는 캘리포니아 주민의

개인정보 처리에 대해서는 적용되지 않음

• 반면, EU GDPR은 EU 역외에서 이루어지는 EU 시민의 개인정보 처리가(정보주체의 지불이 요구되는지

여부와 관계 없이) EU 내의 정보주체에 대한 상품이나 서비스의 제공과 관련되거나, EU 정보주체들의

행태에 대한 모니터링 행위와 관련되어 있는 경우 법적용이 된다고 명시하고 있음(제3조 제2항)

2018 Vol.07

31

▶ 인적 적용범위

• 소비자 프라이버시법은 사업자(Business)의 소비자(Customer) 개인정보 처리에 대해 규율하고 있는

반면, EU GDPR의 경우 사업자 외에도 국가, 공공단체 등의 컨트롤러의 영리 또는 비영리로 처리되는

개인정보주체의 개인정보 처리에 대해 규율하고 있어 적용범위가 보다 넓다는 점에 그 특징이 있음

주요 개념 – 개인정보, 비식별 처리 및 가명처리를 중심으로

▶ 개인정보

• 소비자 프라이버시법은 개인정보(personal information)를 다음과 같이 정의하고 있음

• “특정 소비자 또는 가구를 식별하거나 언급하거나 기술 또는 관련될 수 있거나 또는 직접 또는 간접적

으로 합리적으로 연결될 수 있는 정보”(1798. 140. (o)(1))

• (보다 구체적으로) 개인정보는 다음과 같은 정보를 포함함(다만 이에 한정되지 않음)

(i) 실제 이름, 별명(alias), 우편번호, 고유개인식별자, 온라인 식별자, IP 주소, 이메일 주소, 계정 이름

(account name), 사회보장번호, 운전면허번호, 여권번호 또는 기타 유사 식별자

(ii) 개인재산기록, 구매 또는 취득한 제품 또는 서비스 또는 기타 구매 또는 소비 이력 또는 성향

등을 포함한 상업적 정보

(iii) 바이오정보

(iv) 브라우징 히스토리, 검색 이력 또는 인터넷 웹사이트, 애플리케이션 또는 광고 등과 소비자가

상호작용한 정보를 포함한 인터넷 등에서의 활동 정보

(v) 위치정보

(vi) 오디오, 전자, 시각, 열, 후각 정보

(vii) 직업 또는 고용 관련 정보

(viii) 교육정보, 단 가족교육 권리 및 프라이버시법에서 정의된 정보로서 공개적으로 이용될 수 없는 정보

(ix) 소비자의 선호, 특성, 심리적 성향, 행동, 태도, 지능, 능력 또는 적성을 반영한 소비자에 관한

프로파일을 생성하기 위해 식별된 정보를 통해 추출된 추론 등

• 한편, 공개적으로 이용가능한 정보(publicly available information)는 개인정보에 포함되지 않는다고

규정(1798.140(o)(2))

• EU GDPR은 개인정보(personal data)를 다음과 같이 정의하고 있음

• ‘식별된 또는 식별 가능한 자연인과 관련된 모든 정보를 의미한다. 식별 가능한 자연인은 직접적 또는

간접적으로, 특히 이름, 식별번호, 위치정보, 온라인 식별자와 같은 식별자를 참조하여 또는 그 자연인의

신체적, 생리적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성에 특유한 하나 이상의 요소를

참조하여 식별될 수 있는 자이다’(제4조 제1항)

2018 Vol.07

32

▶ 비식별 정보

• 소비자 프라이버시법은 비식별 정보에 관한 정의 및 기술적 조치에 관한 규정을 두고 있음

(1798.140(h))

‘특정 소비자를 합리적으로 식별할 수 없거나 연관, 기술 또는 관련될 수 없거나 직접

또는 간접적으로 연결될 수 없는 정보’

• 비식별정보를 이용하는 사업자는 특정 정보가 귀속되는 소비자의 재식별을 금지하기 위한 기술적

조치를 취하고, 비식별 정보의 재식별을 구체적으로 금지하고, 비식별 정보의 부주의한 공개를 방지하기

위한 업무 프로세스를 이행하며, 비식별 정보의 재식별을 시도하지 아니하여야 함

• EU GDPR은 비식별 정보, 즉 익명정보(anonymous information)에 대해서는 구체적인 정의 내지 규율을

하고 있지 않음. EU GDPR 상설 26항 이하에서는 익명정보에 대해서는 개인정보보호원칙이 적용되지

않는다고 명확히 설명하고 있음

▶ 가명처리

• 소비자 프라이버시법은 가명처리에 대하여 ‘추가 정보를 사용하지 않고서는 개인정보가 특정 소비자를

식별하지 않도록 개인정보를 처리하는 것’이라고 정의하면서 추가 정보(additional information)는

별도로 분리해서 보관되어야 하며, 해당 정보가 식별된 또는 식별 가능한 소비자에게 귀속되지 않도록

기술적, 관리적 조치를 따라야 한다고 규정하고 있음(1798.140)

• EU GDPR 역시 가명처리에 대하여 ‘추가정보의 이용 없이는 개인정보가 더 이상 특정 정보주체에게

귀속될 수 없는 방식으로 개인정보를 처리하는 것을 의미하며, 이러한 추가정보가 별도로 보관되어야

하고 해당 개인정보가 식별된 또는 식별 가능한 자연인에게 귀속될 수 없게 보장하도록 기술적 또는

관리적 조치가 적용되어야 한다‘고 유사하게 정의하고 있음(제4조 제5호)

정보주체의 권리

▶ 소비자 프라이버시법

• 개인정보 수집, 판매 또는 공개에 관한 정보 공개 요구권 : 소비자는 개인정보를 수집하는 사업자에게

다음과 같은 정보를 공개(disclose)하도록 요구할 권리가 있음(1798. 110(a))

(i) 수집한 개인정보의 유형(categories)

(ii) 개인정보의 수집 출처의 유형

(iii) 개인정보 수집 또는 판매를 위한 사업적 또는 상업적 목적

(iv) 소비자의 개인정보를 공유하는 경우 제3자의 유형

(v) 소비자의 개인정보 수집과 관련하여 구체적인 부분조각을 수집하는 경우 그 부분

2018 Vol.07

33

• 참고로, 소비자는 개인정보를 사업적 목적으로 판매하거나 공개하는 사업자들에 대해서는 다음과

같은 정보를 공개하도록 요구할 권리가 있음(1798. 115(a))

(i) 수집한 개인정보의 유형

(ii) 판매한 개인정보의 유형 및 판매한 제3자의 유형

(iii) 업무상 목적으로 공개한 개인정보의 유형에 관한 정보

• 개인정보 판매에 관한 옵트아웃 권리 및 16세 미만 소비자의 옵트인 권리

- 소비자는 개인정보를 제3자에게 판매하는 사업자에게 자신의 개인정보를 판매하지 않도록 지시할

수 있는 ’옵트아웃 권리(the right to opt out)‘를 가짐(1798.120(a)). 사업자로부터 소비자의 개인정보를

구입한 제3자는 소비자가 1798. 120.에 따른 옵트아웃 권리 행사와 관련한 명시적인 고지(explicit

notice)(1798. 135), 그리고 옵트아웃 권리 행사의 기회를 부여 받지 않는 경우 소비자의 개인정보를

판매할 수 없음(1798. 115(d))

- 참고로, 16세 미만(less than 16 years of age)의 소비자에 대해서는 옵트아웃 권리에도 불구하고,

사업자는 13세 이상 16세 미만의 아동의 경우 소비자, 13세 미만의 아동에 대해서는 소비자의 부모

또는 후견인(guardian)의 긍정적인 동의를 받아야 판매가 가능한, 즉 옵트인 권리(the right to opt

in)가 인정됨(1798.120(d)). 참고로, 사업자는 소비자의 나이를 고의로 무시(willfully disregard)한 경우

소비자의 나이를 실제 알았다고 간주함(shall be deemed to have had actual knowledge)

• 개인정보 삭제 요구권

- 소비자는 사업자가 소비자로부터 수집한 소비자의 개인정보를 삭제하도록 사업자에게 요구할 권리를

가지며(1798. 105.(a)), 사업자는 소비자의 개인정보 삭제 요구가 있는 경우 이에 응하여야 하고,

모든 서비스 제공자들에게 기록에서 삭제할 것을 지시하여야 함(1798. 105.(c))

- 다만, 사업자 또는 서비스 제공자는 소비자의 삭제 요구와 관련하여 다음과 같은 사정에 해당하는

경우 그에 응하지 않을 수 있음(1798.105.(d)24)

(i) 개인정보가 수집된 목적의 거래 또는 계약을 이행하기 위한 경우

(ii) 보안 사고를 탐지하거나 또는 악의적이거나 사기적 또는 불법적인 활동으로부터 보호가 필요한

경우 또는 그러한 행동들에 대한 책임 있는 당사자를 고발하기 위한 경우

(iii) 확인된 디버깅 작업을 위하거나 기존에 의도된 기능을 손상시키는 에러를 확인하고 수리하기 위한 경우

(iv) 공공적인 또는 동료들이 리뷰하는 과학적, 역사적 또는 통계적 연구로서 공공의 이익을 위한 경우로

모든 적용가능한 연구윤리 및 프라이버시 법률들을 준수하는 연구들이 개인정보 삭제를 하는

경우 연구의 성취가 불가능하거나 심각하게 손상되는 경우(다만, 소비자의 인지된 동의(informed

consent)가 있어야 함)

(v) 소비자들의 사업자들과의 관계에 기초하여 소비자가 합리적으로 기대하는 범위 내의 내부 활용

목적만을 위한 경우

24. 9가지 예외 사유 중 일부만 정리

2018 Vol.07

34

(vi) 법률상 의무 이행을 위한 경우

(vii) 표현의 자유를 행사하기 위한 경우 등

▶ EU GDPR

• EU GDPR은 정보주체에게 소비자 프라이버시보다 폭넓은 권리, 특히 통제권한을 인정하고 있음

• 접근권(the right to access)(제15조)은 앞서 설명한 소비자 프라이버시법 상의 개인정보 수집 등에

관한 정보요구권과 그 내용이 유사하나 정보주체가 요구할 수 있는 정보의 범위는 훨씬 광범위함

- 예컨대, 처리목적, 관련 개인정보의 유형, 개인정보가 공개되었거나 공개될 수령자 또는 수령자의

유형(특히 제3국 또는 국제기구의 수령자, (가능한 경우) 개인정보가 저장될 예상기간 또는 (불가능한

경우) 동 기간의 결정에 사용되는 기준, 감독당국에 민원을 제기할 권리, 개인정보가 정보주체로부터

수집되지 않은 경우, 그 출처에 관한 모든 이용 가능한 정보, 프로파일링을 포함한 제22조 제1항

및 제4항에서 언급된 자동화된 의사결정의 존재 및 수반된 로직에 관한 중요한 정보와 그러한 처리의

정보주체에 대한 유의성 및 예상된 결과 등

• 반대권(제21조)과 자동화된 개별 의사결정에 반대할 권리(제22조) 역시 소비자 프라이버시법 상의

개인정보 판매에 대한 옵트아웃 권리와 일단 유사하나, 개인정보 판매의 맥락에서 인정되는 좁은

권리가 아닌 프로파일링을 비롯한 개인정보 처리 전반에서 정보주체에게 인정되는 권리라는 점에서

보다 포괄적이며 강력한 권리인 것으로 판단됨

• 삭제권(’잊힐 권리‘, 제17조)은 소비자 프라이버시법 상의 개인정보 삭제 요청권과 내용적으로 유사하나

예외 사유 등에서 약간의 차이가 있는 것으로 생각됨

• 그 밖에 EU GDPR은 정보주체의 개인정보주체의 통제권을 보다 강화하기 위해 개인정보 이동권(제20조)을

새롭게 도입하고 있음

• 즉 정보주체는 자신이 컨트롤러에게 제공한 자신에 관한 개인정보를 체계화되고 일반적으로 사용가능

하며 컴퓨터 판독이 가능한 형식으로 수령할 권리를 가져야 하고(제20조 제1항 전단), 정보주체의

명시적 동의에 의해서 개인정보 또는 민감정보가 처리되는 경우(제6조 제1항 (a))와 정보주체가 계약

당사자로 있는 계약의 이행을 위해 또는 계약 체결 전 정보주체의 요청에 따른 조치를 취하기 위해

처리된 경우(제9조 제2항 (a))에는 개인정보가 제공된 컨트롤러의 방해 없이 (다만 기술적으로 가능한

경우) 다른 컨트롤러에게 해당 개인정보를 전송할 권리를 가짐(제20조 제1항 후단, 제2항)

제재 및 벌칙

• 소비자 프라이버시법은 캘리포니아주 법무부 장관이 법령 위반을 한 사업자를 상대로 민사소송을

제기할 수 있도록 정하고 있으며 (i) 고의적 위반에 대해서는 건당 최대 7,500달러의 제재금(penalty),

(ii) 고의적이지 않은 위반행위 후 30일 내 정정하지 않으면 건당 최대 2,500달러의 제재금을 지급하여야

한다고 정하고 있음(1798.155)

2018 Vol.07

35

• 아울러, 개인정보의 도난 또는 기타 보안사고와 관련하여 제기된 집단소송에서 개별 주민 및 건당

100달러에서 750달러의 배상액 또는 실제 손해액 중 더 큰 금액의 법정 손해배상을 명령할 수 있다고

정하고 있음(1798.150)

• 반면, EU GDPR은 심각한 위반의 경우 전 세계 연간 매출액의 4% 또는 2,000만 유로 중 높은 금액,

그 외의 경우 전 세계 연간 매출액의 2% 또는 1,000만 유로 중 높은 금액의 과징금을 부과할 수

있도록 정하고 있음(제83조 제3항)

마치며

• 우선 적용범위와 관련하여 EU GDPR의 장소적 적용범위가 소비자 프라이버시법보다 훨씬 넓고 또한

인적 적용범위 역시 EU GDPR이 소비자 프라이버시법보다 넓음. 참고로 우리나라 정보통신망 이용촉진

및 정보보호에 관한 법률이 정보통신서비스제공자의 이용자 개인정보 처리에 대해 규율하고 있는

점에서 소비자 프라이버시법과 유사한 반면, 개인정보보호법은 EU GDPR과 마찬가지로 사업자뿐

아니라 국가, 공공단체의 정보주체 개인정보 처리에 대해 규율하고 있다는 점에서 EU GDPR과 유사한

것으로 판단됨

• 또한 소비자 프라이버시법은 개인정보 주체, 정확히는 소비자의 개인정보 통제권을 일부 인정하고

있으나 개인정보의 판매가 허용되는 것을 전제로 하여 소비자에게 처리에 관한 정보를 요청할 권리,

판매에 관한 옵트아웃 권리, 삭제권을 인정하는 정도에 그치고 있다는 점에서 EU GDPR에서 인정되는

개인정보 주체의 통제권과는 아직 비교할 수준이 아닌 것으로 보임

• 제재 및 벌칙 수준 역시 EU GDPR은 천문학적인 과징금(전 세계 연간 매출액의 4% 또는 2,000만

유로 중 높은 금액) 제재를 규정하고 있음에 반해, 소비자 프라이버시법은 집단소송을 기본으로 한

인당 배상액(최소 100달러 내지 최대 750달러) 및 제재금(건당 최대 7,500달러) 정도만 부과되어 있다는

점에서 제재수준 역시 큰 차이가 있을 것으로 생각됨

• 다만 EU GDPR의 영향을 받아 미국에서 가장 큰 주인 캘리포니아, 특히 실리콘밸리에 위치한 세계적인

구글, 페이스북 등의 IT회사에 적용될 소비자 프라이버시법이라는 점에서 규범적인 파급력은 적지

않을 것으로 보인다는 점에서 그 의의가 있다고 보임

• 또한 향후 미국 캘리포니아 소비자 프라이버시법 시행 이후 전 세계적으로 SNS 서비스 등 IT 서비스

이용 맥락에서 이루어지는 프로파일링 등으로 인해 발생할 우려가 큰 프라이버시 침해와 관련한 규제

필요성 및 구체적인 방법 등에 관한 논의가 보다 활발해질 것으로 예상됨

2018 Vol.07

36

사이버 공격의 지능화 현황 및 전망

박태환 안랩 팀장 (taehwan.park@ahnlab.com)

• (現) 안랩 ASEC대응팀 팀장

• (現) 경찰청 사이버범죄정보전문가그룹

• (現) 한국인터넷진흥원(KISA) 사이버위협인텔리전스그룹

• (現) 국군사이버사령부 3기 자문위원

사이버 공격의 개요

• 사이버 공격(Cyber attack)은 컴퓨터 정보 시스템, 인프라, 컴퓨터 네트워크, 또는 개인 컴퓨터 장치를

대상으로 컴퓨터 정보 시스템 및 관련 인프라, 자산 또는 기능을 도용하거나 손상, 파괴하는 행위

또는 해를 입히기 위해 불법적인 접근을 시도하는 행위를 통칭하는 표현

• 사이버 공격은 의도를 가진 개인에 의해 시작될 수도 있고 조직, 사회, 민족, 국가적 차원에서 진행

되기도 함

• 대게 해커(정확하게는 크래커)라 불리는 이들에 의해 진행되기도 하고 실력을 가지고 있는 크래커들에게

일정 금액 이상의 금전을 지급하여 고용한 후 사건을 일으키기도 하며 정치,사회적인 의도로 해킹을

수행할 뿐 아니라 때때로 현재 조직에 몸 담고 있는 내부자에 의해 발생하기도 함

• 사이버 공격은 다양한 종류의 악성코드를 활용하여 공격자의 의도에 따라 적절하게 활용하는 경우가 있음

• 사용자의 ID와 암호를 훔치기 위한 키로깅(key Logging), 네트워크 서비스를 제대로 이용하지 못하게

하는 도스(Dos, Denial of Service) 및 디도스(DDoS, Distributed Denial of Service), PC 자체에서 악의적

기능을 수행하여 자료를 손상시키거나 데이터를 파괴하는 등의 트로이 목마 프로그램(Trojan) 등 다수의

악성코드가 활용되곤 함

• 악성코드는 한번의 공격으로 다수의 PC를 감염시킬 수 있는 공격의 편의성, 감염 PC를 활용하여 공격자의

위치는 숨긴 상태로 대규모의 공격을 수행하는 공격의 효율성 등을 위해 활용되는 경우가 많음

• 그러나 사이버 공격이 반드시 악성코드로만 행해지는 것은 아니라 조직의 내부PC에 접근할 수 있고,

관리자의 권한을 확보한 상태에서는 악성코드를 사용하지 않더라도 충분히 악의적인 행위를 수행할

수 있어 조직에 위해를 가할 수 있기 때문임

• 이러한 사이버공격의 결과로 PC손상에 따른 서비스 이용 불가, 개인정보 유출, 신원도용에 따른 사기,

불법적 금전탈취 및 불법 계좌이체, 고객정보 유출 및 공개, 기업 기밀정보 유출, 핵심기술 유출,

2018 Vol.07

37

기업과 제품 신뢰도 하락, 주가 폭락, 정치, 군사, 외교 영역의 국가기밀 유출, 국가 주요기반 시설

마비에 따른 국가 시스템 마비 등의 피해가 발생하기도 함

• 현재 세계는 IT, 통신, 자동차 등 다양한 산업분야에서 각자의 이익을 위한 경쟁을 끊임없이

벌이고 경쟁은 심화되고, 이에 따른 경제 성장을 거듭할수록 사이버 상에서의 공격 또한

점차 지능화 되어가는 상황으로 여기에서 현재까지 등장한 여러 종류의 지능화 공격의 양상

들을 살펴보고 이후 등장할 공격들을 전망해 보고자 함

지능화 공격의 현황

▶ 지능화 공격

• 지능화 공격은 보다 효과적인 사이버 공격을 수행하기 위해 도입/발전되는 공격 기법으로 악성코드를

전파하거나 실행하는데 많이 적용

• 지능화 공격을 통해 공격자들은 자신들이 의도한 악성코드를 좀 더 효율적으로 유포하고, 좀 더 많은

사람들에게 설치하되 쉽게 발각되지 않도록 하려함

• 정상적인 문서나 파일인 것처럼 사람들을 기만하여 악성코드가 설치되게끔 하고, PC에 존재하는 각종

보안체계를 무력화하거나 네트워크상 존재하는 보안체계를 우회 하거나 무력화하는 방법으로

자신들의 목적을 성취하려는 것임

▶ CPU 취약점

• 2017년 발표돼 ‘스펙터’와 ‘멜트다운’이라 명명된 인텔 CPU 취약점은 특수한 상황에서 처리시간

차이의 특성을 이용한 공격 방식인 부채널 공격(Side Channel Attack)으로 캐시 메모리 저장 정보가

노출될 수 있는 취약점임

• 취약점 발표 이후 각 칩셋 제조사와 운영체제(OS) 제조사가 적극적으로 관련된 패치를 배포하였으나,

개인 및 기업 상황에 따라 패치 현황과 사용 여부를 확인하기 쉽지 않아 현재까지도 보안위협 노출의

우려가 있는 상황임

▶ 정상 메일 위장

• 공격자들은 메일을 수신하는 사람이 쉽게 열어볼 수 있는 내용으로 메일을 보내고 있고, 사용자를

속여 메일에 첨부된 파일을 다운로드하게 하며 메일에 포함된 바로가기 링크를 클릭하도록 유도하고 있음

2018 Vol.07

38

그림 1 _ 정상 메일로 위장한 공격자 메일

• [그림 1]의 메일 내용을 보면, 수신자가 개인 제작자의 창작물을 무단 사용하고 있으니 해당 콘텐츠와

관련 내용을 정리한 문서 파일을 확인하고 조치 바란다는 내용, 또한 무단 사용 이미지에 대한 조치가

없으면 법적 제재를 가하겠다는 표현으로 첨부된 파일을 열도록 유도하고 있음

• 메일 내용이 한글로 잘 정리되어 있다는 것과 함께 주목해야 할 부분은 바로 첨부파일인데 국내 유명

공개 압축 프로그램의 확장자임을 확인할 수 있음. 이는 메일 수신자들의 경계심을 느슨하게 하는

것과 동시에 이메일 첨부파일을 검사하는 보안 솔루션을 우회하고자 하는 의도임

• [그림 2]는 기관으로 위장한 악성 메일의 실제 사례로 메일에 첨부된 압축파일에는 그림파일, 문서

파일, 실행파일이 포함되어 있고, 실행파일은 숨김 속성 파일로 설정돼 있음. 따라서 윈도 OS에서

2018 Vol.07

39

숨김 파일, 폴더 및 드라이브 표시를 활성화하지 않은 사용자의 경우 실행파일은 보이지 않고 [그림 3]과

같이 그림/문서파일로 위장한 바로가기 파일만 보임

• 바로가기 파일을 실행하면 감춰진 실행파일이 동작하고 공격자의 의도에 따라 악의적인 기능을 수행

하게 되므로 일반 사용자들이 속기 쉬워 더욱 주의해야 함

그림 2 _ 기관으로 위장한 악성 메일

그림 3 _ 그림/문서파일로 위장한 바로가기 파일

2018 Vol.07

40

▶ 광고 사이트 탈취

• 멀버타이징(Malvertising)이란 악성코드(Malware)와 광고(Advertising)의 합성어로, 인터넷 사이트에

삽입되는 광고를 이용하여 악성코드를 유포하는 방법을 의미함

그림 4 _ 공격자가 광고주로 위장해 실시간 광고 지면 경매에 참여하여 광고 사이트를 탈취하는 방법

• 공격자는 광고주로 위장해 광고 지면이 판매되는 실시간 경매에 참여하여 광고 노출권을 구매한 이후

자신의 광고 서버(Ad Server)에서 광고 지면으로 데이터를 전송한 이후 공격자의 의도에 따라 광고

서버에서 악성코드 유포 도구(Exploit Kit)를 배포하거나 정상적인 광고를 전송함. 악성코드 유포도구

가 배포돼 사용자의 웹 브라우저에서 실행되면, 보안 취약점을 이용하여 악성코드를 감염시킴. 사용자

는 수상한 파일을 다운로드 하거나 실행한 적이 없음에도 불구하고 악성코드에 감염되게 됨

그림 5 _ 공격자가 광고 서버의 취약점을 이용해 관리자 권한을 획득해 악성코드 유포도구를 유포하는 방법

2018 Vol.07

41

• 이밖에 공격자가 정상 서비스 중인 광고 서버의 취약점을 이용하여 관리자 권한을 획득한 뒤 해당

광고 페이지에 악성 스크립트를 삽입하여 악성코드 유포도구를 접속한 사용자의 웹 브라우저로 유포

하는 사례도 있음

▶ 접속 브라우저 구분

• 접속 브라우저를 구분해 악성코드를 배포하는 행위도 발견됐는데 공격자가 악성 URL이 포함된 이메

일을 보내고 사용자가 해당 URL를 클릭하였을 경우 공격자가 사전에 준비한 악성 웹 사이트로 연결

되게 함

• 이후 악성 웹 사이트 연결에 사용된 웹 브라우저가 크롬(Chrome)일 경우 악성코드(.CPL) 다운로드

주소에 연결되고 크롬 브라우저가 아닌 경우에는 악성코드를 다운로드 하지 않도록 구성함

• .CPL 파일은 윈도 운영체제에서 제어판에서 사용되는 설정 파일(Control Panel)로 이 파일은 실행파일

(.EXE)과 같이 사용자가 단순히 더블 클릭만으로도 실행할 수 있어 공격자들이 자주 사용하는 기법임

그림 6 _ 접속 브라우저를 구분해 악성코드를 배포하는 방식

▶ 트래픽 분산 시스템 활용

• 웹 브라우저 사용자를 대상으로 한 공격은 탐지 우회 및 공격 대상 확인을 위해 트래픽 분산 시스템

(Traffic Distribution System, TDS)이 적용되어 있으며 사용자가 웹 사이트에 방문할 때에는 연결되는

데이터인 웹 트래픽(web Traffic)이 발생함

• TDS는 웹 사이트에 접속한 프로파일(Profile)에 따라 연결되는 트래픽, 즉 다음 단계로 연결되는 웹

페이지를 지정함

• 프로파일에는 ‘지역(국가)’, ‘웹 브라우저(IE, Chrome, Firefox 등)’, ‘운영체제 정보(WindowsXP, 7, 8 등)‘,

‘언어’ 등이 있음. 공격자가 이 같은 특징을 악용해 접속 국가를 확인해 악성코드를 유포하는 사례도

발견됐음

2018 Vol.07

42

그림 7 _ 공격자가 접속 국가를 확인해 악성코드를 유포하는 사례

▶ 파일 공유 사이트 활용

• 누구나 쉽게 접근할 수 있는 파일 공유 사이트에 사용자들의 흥미를 유발하는 이름으로 콘텐츠를

그림 8 _ 파일 공유 사이트를 활용한 악성코드 유포

2018 Vol.07

43

올린 후 다운로드를 유도하여 악성코드를 유포하는 기법은 꽤 오래전에 등장한 공격기법이나 여전히

주효한 공격 기법임

• 또한 파일 공유사이트에서 프로그램 설치 없이 실행이 가능하도록 제작한 성인용 게임 위장 악성코드를

올려두고 사용자가 다운로드 받아 실행하도록 유도하는 악성코드도 발견됐음. 만약 해당 악성코드를

실행하면 사용자들의 CPU 리소스를 활용하여 암호화폐를 채굴하고 채굴된 암호화폐는 공격자에게

전송됨

▶ 크랙 프로그램 위장

• ‘크랙 프로그램’은 상용 소프트웨어의 정품 인증 부분을 무력화하는 불법 도구(Tool)이나 온라인 커뮤

니티나 토렌트 등으로 암암리에 유포되고 있고 온라인 검색을 통해 쉽게 발견할 수 있어 공격자는

크랙 프로그램을 위장한 악성코드 유포를 자주 활용하고 있음

그림 9 _ 크랙 프로그램으로 위장한 악성코드

▶ 정상 홈페이지 위장

• 정상 홈페이지로 위장하고 사용자의 개인정보를 수집하는 공격 역시 현재 진행 중임. 2010년 전후에는

유사한 홈페이지를 만들거나 홈페이지 메인화면을 캡처한 후 활용하는 경우가 대부분이었으나 근래

에는 홈페이지의 소스를 거의 그대로 가져와 매우 유사하게 제작함. 화면 구성이 정상적인 홈페이지와

거의 완벽하게 일치하기 때문에 사용자들이 속기 쉬움

2018 Vol.07

44

그림 10 _ 화면 구성을 정상 홈페이지와 거의 완벽하게 일치시켜 위장한 사례들

▶ 지인 사칭

• 공격자들은 사전에 입수한 ID, 비밀번호 등과 같은 개인정보를 활용해 웹 포털 사이트에 로그인하고

저장돼 있는 주소록을 통해 사용자들의 지인정보를 확보함. 이후 모바일 메신저 서비스를 통해 이들과

대화를 시도하고 이름으로 저장된 이들보다는 아빠, 엄마, 누나, 이모, 고모, 장인어른 등 관계를

알 수 있는 상대를 대상으로 하는 경우가 많음. 공격자는 대화로 해당 개인정보의 주인으로 사칭하며

금전을 요구하고 모바일 메신저 서비스 업체에서는 해외 IP에서의 대화 시도에 대해서는 해당 국기나

글로벌을 뜻하는 지구의 아이콘을 제공하거나, 지인으로 등록되지 않은 대화상대의 연락은 주의할

2018 Vol.07

45

것을 경고하고 있음. 하지만 이미 대화를 하고 있는 입장에서는 이를 인지하기가 쉽지 않은 것이

현실이므로 상황에 대한 주의가 필요함

그림 11 _ 아들을 사칭해 금전을 요구한 사례

앞으로의 전망

• 공격자들은 그들이 사이버 상에서 활용할 수 있는 최대한의 영역을 활용해 다양한 공격기법을 펼치고

있으며 OS의 영역을 넘어 컴퓨터의 정수(精髓)라 할 수 있는 CPU에 대한 취약점까지 찾아낸 현재의

시점에는 공격의 한계라는 것이 존재하지 않는다고 볼 수 있음

• 앞으로도 공격자들은 자신들의 입맛에 맞는 최적의 공격기법을 찾아 활용할 것이고, 컴퓨터를 활용

하는 모든 영역에서는 이 공격에 노출되는 것은 명백한 현실, 이를 늘 염두에 두고 개인, 기업 및

국가는 스스로가 사이버보안의 주체임을 잊지 말아야 함

• 기본적으로 사용하고 있는 백신 업데이트와 OS, 프로그램 등의 취약점 패치를 수행해야 하고

또한 정보보안 관련 언론 기사나 정보를 관심 있게 주시하며 안전한 IT 환경을 유지하도록

노력하는 것이 중요함

2018 Vol.07

46

2018년 Vol.01 – CES 2018편 2018년 Vol.02

이슈 & 트렌드

• 돌아보는 CES 2018: 진화하는 가전의 미래 (최호섭)

• 인공지능 기술의 대중화 시대를 예고한 CES 2018 (한상기)

• CES 2018을 통해 본 최신 뷰티케어 제품 동향 (윤대균)

• CES 2018이 제시하는 자율주행 및 스마트카의 미래 (정구민)

• 현실로 다가온 드론택시 시대 (이석원)

• CES 2018로 보는 올해의 VR 헤드셋 트렌드 (최필식)

ICT 동향

이슈 & 트렌드

• 2017년 실적 발표로 본 주요 소셜미디어 기업의 과제

(한상기)

• 자율주행을 위한 새로운 센서들의 등장 (정구민)

• 평창 동계올림픽과 네트워크의 의미 (최호섭)

• 와퍼가 말해주는 망중립성 논란 (이석원)

• 평창 동계올림픽의 숨겨진 승자. ‘인텔’ (최필식)

• 평창에서 다시 불붙은 동영상 플랫폼 경쟁

: NBC의 전략과 그 주변 상황들이 보여주는 것 (최홍규)

• 사용자 정보 유출 가능한 CPU 취약점(Meltdown

& Spectre) 발견

• Wi-Fi 얼라이언스, WPA3 표준 출시 계획 발표

• 2018년 비즈니스 사이버보안을 변화시킬 10가지 트렌드

• 중국 바이두, 인공지능(AI) 개발 조직 강화

• 러시아 미국 대통령 선거 개입 논란 확산

ICT 동향

• 산업제어시스템(ICS) 보안 취약성 경고

• 악성 크롬 확장프로그램을 이용한 세션 재생 공격 주의

• 美, 에너지부 산하 사이버 보안 담당 기관 설립

• 독일 정부, 인터넷망 현대화에 150억 달러 투입

• 우주탐험 ‘블록체인’ 기술 적용한다

2018년 Vol.03 2018년 Vol.04 RSA Conference 2018

이슈 & 트렌드

• 리테일 산업의 미래를 이끄는 인공지능 기술 (한상기)

• 유튜브는 위키피디아를 통해 음모론을 막을 수 있나 (최홍규)

• 브로드컴의 퀄컴 인수 불발, 그 배경과 시사점 (윤대균)

• MWC 2018 스마트카 주요 동향 (정구민)

• 게임‧증강현실‧자율주행…지도 비즈니스 뜬다 (이석원)

• MWC 2018, 스마트폰의 변화를 봐야 할 때가 왔다 (최필식)

• RSA 컨퍼런스 2018 이슈 및 트렌드 (김인섭)

• RSA 컨퍼런스 2018과 개인정보보호 트렌드 (김대환)

• RSA 컨퍼런스 2018의 엔드포인트 보안 트렌드 (권혁재)

• RSA 컨퍼런스 2018로 본 위협 인텔리전스와 SOC & AI (정일옥)

• RSA 컨퍼런스 전시회 글로벌 보안 트렌드 (홍동철)

• 하드웨어 보안 동향과 특징 (황수익)

ICT 동향

• 영국정부, 보안 위협으로부터 스마트 디바이스를

안전하게 사용하기 위한 지침 발표

• 5백만 대의 유명 안드로이드 스마트 기기에 악성

코드가 사전 설치된 것으로 밝혀져

• 국제 앰네스티 “트위터는 여성에게 유해한 환경”

• 블록체인 통한 불법자료 유통 위험성 대두

이슈 & 트렌드

• 구글 I/O 2018 : 인공지능의 대중화(최호섭)

• 구글 듀플렉스 기술이 제시하는 사회적 과제(한상기)

• 페이스북 F8 2018에서 꼭 챙겨봐야 할 5가지 발표(최필식)

• GDPR의 국내 영향력 분석(조수영)

• 블록체인의 이해와 바람직한 미래를 위한 제언(김승주)

• 북한의 보안과 남북 협력 방안(강진규)

2018년 Vol.05

2018 Vol.07

47

2018년 Vol.06

이슈 & 트렌드

• 사이버보험의 현황과 과제 (유진호)

• 2018 평창 동계올림픽 : 사이버보안 이렇게 준비했다 (신화수)

• 버그바운티 A to Z (양하영)

• WWDC2018 달라진 것, 새로워진 것 (최호섭)

• 개발자 측면에서 본 애플 WWDC2018 (김정)

2018 Vol.07

48

발 행 일 2018년 7월

발 행 한국인터넷진흥원

기획및편집 한국인터넷진흥원 미래정책연구실 미래정책팀

발 행 처 전라남도 나주시 진흥길 9 Tel 1544 - 5118

▶ 본지에 실린 내용은 필자의 개인적 견해이므로, 한국인터넷진흥원의 공식 견해와 다를 수 있습니다.

▶ KISA Report의 내용은 무단 전재를 금하며, 가공 · 인용할 경우 반드시 「한국인터넷진흥원, KISA Report」라고 출처를 밝혀주시기 바랍니다.