2018년 Vol.05 KISA Report · 2018-06-19 · 2018년 Vol.05 KISA Report 5 • 하지만 이제 스마트폰 관련 기술은 어느정도 성숙 단계에 접어들어가면서, 시장이

1

2018년 Vol05

KISA Report

2018년 Vol05 KISA Report

그림 4

이슈 amp 트랜드

bull 구글 IO 2018 인공지능의 대중화(최호섭 기자) ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 1

bull 구글 듀플렉스 기술이 제시하는 사회적 과제(한상기 테크프론티어 대표)

∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 7

bull 페이스북 F8 2018에서 꼭 챙겨봐야 할 5가지 발표(최필식 테크G 발행인)

∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 12

bull GDPR의 국내 영향력 분석(조수영 숙명여대 교수) ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 19

bull 블록체인의 이해와 바람직한 미래를 위한 제언(김승주 고려대 교수) ∙∙ 34

bull 북한의 보안과 남북 협력 방안(강진규 NK경제 대표) ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 45


1

구글 IO 2018 인공지능의 대중화

최호섭 기자 (workhschoigmailcom)

bull (現) 프리랜서 디지털 컬럼니스트

bull (現) 더 기어 객원기자

bull (現) 리디북스 lsquo샤오미rsquo 저자

bull (前) 블로터 기자

구글 IO의 의미

구글 IO(Inputoutput)는 구글이 여는 최대 규모의 개발자 컨퍼런스

bull 구글의 하드웨어와 소프트웨어 생태계에 관련된 개발자들을 대상으로 새로운 서비스와 기술들이

소개되는 자리로 개발자들의 축제로 성장하며 2008년 처음 시작해 올해 11번째를 맞이함

bull 구글은 지난 2016년부터 구글 IO를 통해 인공지능과 관련된 서비스들을 꾸준히 내놓고 있음

bull 구글이 개발자 컨퍼런스를 통해 선보인 것은 머신러닝에 기반을 둔 인공지능 기술이지만 그 기술

자체보다도 이 기술들이 인터넷 환경에서 어떻게 활용될 수 있는지에 대한 부분이 더 큰 의미를 가짐

bull 구글이 이제까지 십 수 년 동안 만들어 온 혹은 중간에 잠시 내려놓았던 서비스들이 머신러닝을

통해 새롭게 움직이고 의미를 갖는 부분들이 많으며 머신러닝은 음성 인식이나 이미지 검색을 비롯해

안드로이드까지 새롭지만 낯설지 않은 변화들로 구글 기반의 생태계에 새로운 의미를 부여하고 있음

최근 구글이 서비스에 대한 사회적 효과를 고민하고 있다는 점도 흥미로운 부분 중 하나

bull 이제는 단순한 기술을 넘어 인공지능에 대한 사회적 고민과 윤리적인 문제도 이야깃거리로 올리고

있는데 올해 역시 사람과 인공지능이 대화하는 방법과 그 의미에 대한 논란에 불을 지피며 기술에

대한 기대를 더 키웠음

bull 또한 스마트폰에 빠져드는 현대인의 일상에 변화를 주는 lsquo디지털 웰빙rsquo 등의 기술을 제시

포인트

bull 실리콘밸리의 테크 기업이라면 대부분 연례행사로 큼직한 개발자 컨퍼런스를 개최하고 있음

bull 구글 IO는 구글의 가장 큰 개발자 이벤트로 매년 5월경 개최하여 다음 한 해 혹은 몇 년 뒤의 비전을

제시 올해는 5월8일부터 5월10일까지 3일간 개최


2

bull 2018년 구글 IO의 주제는 AI for everyone(모두를 위한 AI)으로 인공지능의 대중화를 표방함

- 구글의 머신러닝 프레임워크 텐서플로의 고도화와 이를 처리하는 전용 프로세서 TPU(Tensor

Processor Unit) 30의 공개로 더 쉽고 강력한 인공지능 기술 구현의 가능성을 제시

bull 더 정교해진 인공지능의 대화 기술로 사람과 자연스럽게 전화 통화를 하고 원하는 것을 이루기 위해

사람과 미묘한 심리전을 하는 구글의 음성 인식과 문맥을 이해하는 기술은 일정 단계를 뛰어 넘었다고

볼 수 있음

bull 안드로이드는 새로운 기능보다 이용자의 습관 분석에 더 관심을 가지며 머신러닝을 통해 기기를

더 편하게 다룰 수 있도록 하고 사용 습관 분석과 개인화에 초점

모두를 위한 인공지능

구글의 관심사는 인공지능을 어디까지 활용할 수 있느냐에 달려 있음

bull 구글은 두 개의 큼직한 인공지능 관련 브랜드를 갖고 있는데 하나는 바둑을 비롯한 게임에 최적화된

lsquo알파고(AlphaGo)rsquo 다른 하나는 2015년 공개된 lsquo텐서플로(TensorFlow)rsquo로 구글 IO에 발표된 대부분의

내용들은 이 텐서플로를 기반으로 서비스를 고도화하는 데 있음

bull 텐서플로는 머신러닝을 구현하는 프레임워크로 구글은 이를 오픈소스로 개방하여 누구나 필요에

따라서 PC부터 스마트폰 데이터센터까지 적용할 수 있음

bull 비슷한 프레임워크들이 도전장을 던졌지만 구글은 오랫동안 내부에서 머신러닝 관련 기술을 갈고

닦았고 이를 구글의 여러 서비스에 접목하면서 완성도를 높여 왔음

bull 또한 구글은 텐서플로를 오픈소스로 공개하면서 생태계와 함께 성장할 수 있는 토대를 마련했고

지금은 사실상 독보적인 서비스로 자리를 잡았음

포인트

bull 구글은 일찍부터 머신러닝을 활용해 왔기 때문에 어디에 어떻게 활용되어야 할지를 잘 파악하고 있고

이번에도 다양한 활용 사례들이 소개되어 구글의 서비스가 인공지능을 통해서 어떻게 진화되고

있는지를 파악하는 것이 중요한 부분

bull 구글의 인공지능 대중화는 직접적인 서비스에서의 활용도 있지만 백그라운드에서 쓰이는 요소들도

포함되는데 특히 기존 서비스들에 머신러닝을 녹여서 이용자가 직접 신경 쓰지 않아도 인공지능

기반의 혜택을 누리는 것으로 개념을 확대

bull 텐서플로를 가속하는 FPGA(프로그램 가능한 소형 반도체) TPU 30 공개는 머신러닝 학습을 위한

데이터 전처리를 돕는 것으로 학습 효과를 크게 높여주고 구글의 클라우드 서비스인 구글

컴퓨트엔진(GCE)에서 클라우드 형태로 서비스됨


3

bull 진화한 사진과 구글 포토 사진을 찍으면 함께 찍은 사람의 얼굴을 구분해서 공유하는 것으로

머신러닝 기반의 사진 보정도 자동으로 이뤄지고 또한 카메라로 문서를 찍으면 이를 인식해 PDF

파일로 만들어주는 등 카메라 앱 자체가 실시간으로 사진의 맥락을 이해

정교해진 구글 어시스턴트

구글 어시스턴트는 구글의 음성 인식 서비스로 목소리를 자연어 기반으로 알아듣고 명령어의 문맥을

인식하는 것이 특징

bull 구글 홈을 비롯한 가정용 기기와 안드로이드 스마트폰 그리고 아이폰에서 작동

bull 2016년 구글 IO를 통해 처음으로 발표하였고 발표 2년여 만에 더 자연스러워진 음성 인식 기술을

만들어냈는데 단순히 명령어를 늘리는 것이 아니라 기기와 이질감 없이 자연스럽게 대화할 수 있도록

하는 것이 올해 구글 어시스턴트의 변화

포인트

bull 구글 어시스턴트에 영어 기준 6가지 새로운 목소리가 등장했는데 실제 사람들의 목소리를 녹음해서

디지타이즈(Digitize)함

bull 인공지능의 목소리에서 기계적 이질감을 없애고 더 사람처럼 말하도록 했으며 그 중 한 명은 RampB

싱어송 라이터 존 레전드의 실제 목소리를 녹음해 구글 어시스턴트에 활용

bull 구글 어시스턴트와 대화하는 이질감 최소화 매번 대화할 때마다 ldquoHey Googlerdquo로 시작해야 했지만

앞으로 콜사인(Call Sign)은 한 번만 부르면 문맥을 통해서 관련된 대화가 여러 번 가능

bull 구글 어시스턴트에 한 번에 여러 가지 명령어 제시 TV를 켜고 팝콘을 만들어줘rdquo라고 명령을 내리면

두 가지 업무를 동시에 처리 영어에서 lsquoandrsquo는 목적어를 지칭하는 명사를 연결하기도 하지만 두 개의

문장을 연결하기도 하는데 이를 정확히 구분해 냄

bull lsquo친절하게 말하기(Pretty please)rsquo로 행동을 유도 머신러닝 기반의 음성 인식 서비스의 골칫거리 중 하나가 윤리

- 사람들이 의도적으로 혹은 저도 모르게 인종차별 폭력 욕설 등의 말을 하게 되고 이는 다시 기계에

학습되는 것인데 기계와 폭력적인 대화를 하는 습관이 들면 일상에도 영향을 끼칠 수 있음

- 구글 어시스턴트에 친절하게 이야기하면 그에 상응하는 감사 메시지로 화답해 언어 습관에 대한

고민을 간단한 기술로 풀어냄

bull 구글 어시스턴트는 음성 뿐 아니라 디스플레이가 달린 기기에서는 화면을 함께 활용하여 구글의 지식

그래프 검색이나 기기 제어 화면도 함께 활용할 수 있음

- 스타벅스에 대해 물으면 화면에 메뉴를 함께 보여주고 온도 제어기에 명령을 내리면 조작 버튼을

함께 보여주기도 함


4

대화하는 인공지능 구글 듀플렉스

이번 구글 IO에서 사람들을 가장 놀라게 한 하이라이트는 구글 어시스턴트가 명령에 따라 사람과

대화를 나누는 lsquo구글 듀플렉스rsquo

bull 컨시어지 서비스처럼 음식점 미용실 등에 예약 명령을 내리면 구글 어시스턴트가 직접 전화를 걸어

대화하고 약속을 잡아주는 서비스로 구글의 인공지능 기반 음성 대화 기술의 절정을 보여주는

시연이었음

bull 구글 듀플렉스는 구글 어시스턴트가 사람과 대화하는 방법에 대해 완성도를 높였다는 의미와 동시에

구글이 사람의 목소리를 디지타이즈 하는 기술을 갖고 있다는 점을 두루 볼 수 있는 사례로 이 역시

기존에 없던 새로운 기술이 아니라 구글이 사람과 대화하는 기술을 조합해서 하나의 활용 사례를

만들어냈음

포인트

bull 전화를 대신 걸어주는 서비스로 이용자가 예를 들어 구글 어시스턴트에 12시에서 2시 사이에

미용실을 예약해달라고 말하면 구글 어시스턴트는 미용실에 직접 전화를 걸고 능숙하게 통화해서

약속 시간을 잡아주는 기술

bull 기계음이 아니라 정확히 사람 목소리를 디지타이즈해서 이질감이 전혀 없으며 상대방도 구글

어시스턴트를 인지하지 못할 정도로 자연스럽고 시간을 정할 때도 대화의 완급을 조절하는 등

이야기를 끌고 가는 부분은 놀라울 정도

bull 구글의 머신러닝 기반 대화 기술이 완성 단계에 이르렀음을 보여주는 것으로 목소리의 자연스러움은

물론이고 사람과 비슷하게 대화하는 방법도 학습되어 있는 등 음성 인식부터 대화 내용의 완벽한

이해가 뒷받침되어 있어 가능한 기술

bull 그러나 기계가 사람을 농락하는 등 윤리적인 문제를 제기하는 시선도 있고 대화 시작 전에 구글의

어시스턴트가 거는 전화라는 알림을 해야 한다는 지적도 나옴

bull 이처럼 기계와 사람이 대화하는 것은 점점 익숙해지지만 기계가 먼저 사람에게 전화를 걸고 대화를

시작한 뒤에 의사 결정을 내리는 과정에 대해 인간으로서 느끼는 심리적인 불편함이 있을 수 있음

안드로이드 P의 지향점 lsquo디지털 웰빙rsquo

스마트폰에 대한 시장의 관심이 예전 같지 않다는 반응이 많았음

bull 스마트폰이 처음 등장했을 때는 그것만으로도 큰 사건이었고 하드웨어나 소프트웨어적으로 기술이

완전하지 않았기 때문에 매년 급격한 진화가 이뤄졌음


5

bull 하지만 이제 스마트폰 관련 기술은 어느정도 성숙 단계에 접어들어가면서 시장이 원하는 것은 화려한

변화도 새로운 기능도 아니었음

bull 구글은 안드로이드의 새 버전인 코드명 lsquo안드로이드 Prsquo를 공개 모바일을 통한 디지털 공해와 사회적

반작용 효과들을 걱정하는 사회적 고민도 싹트고 있는 상황에서 구글은 이를 디지털 웰빙이라는

메시지로 풀어내며 사람을 돌아보기 시작했다는 의미를 부여할 수 있음

포인트

bull 안드로이드 P 발표 새 운영체제의 지향점 인텔리전스 단순함 디지털 웰빙

- 대시보드로 스마트폰 사용 습관을 분석하고 기존 설정 메뉴의 lsquo배터리rsquo 앱은 기기가 앱을 쓰는 시간을

측정했다면 안드로이드P의 대시보드는 이용자가 안드로이드 스마트폰을 어떤 방법으로 얼마나

사용하고 있는지를 분석

bull 필요에 따라 앱에 시간제한을 설정하는 lsquo앱 타이머rsquo 도입

- 방해 금지 모드 업데이트 심야 시간에 알람 메시지가 휴식을 방해하지 않도록 제한하고 밤에는

블루라이트를 없애는 모드

- 이외에도 화면을 흑백으로 표시해 시신경을 자극하지 않고 잠을 잘 이루도록 하는 등 되도록이면

쉬는 시간에 스마트폰을 분리하고 부득이하게 사용 할 때도 자극하지 않도록 하는 데 초점

bull 디지털 시대의 웰빙 고민은 스마트폰과 더불어 사는 방법에 대해 구글이 직접 나서서 안드로이드를

변화시키는 것 자체가 의미 있음

bull 안드로이드는 전체적으로 기존의 각진 디자인을 둥그렇게 변화

- 런처 화면부터 크롬을 비롯한 구글이 직접 만드는 앱들도 둥글둥글한 분위기로 전환하였고 최근

등장하는 기기들은 화면 네 귀퉁이를 둥그렇게 굴리는 디자인과도 연결

- 또한 직접적인 언급은 없었지만 디자인 가이드를 통해서 화면 위에 생기는 lsquo노치(notch)1rsquo 디자인에

대한 힌트를 드러내며 알림을 비롯한 정보들은 되도록 가운데를 비워두도록 설계하여 달라지는

하드웨어 환경을 운영체제에 도입하는 움직임으로 보임

인공지능으로 스마트폰 사용자 경험 개선 인텔리전스

인공지능으로 안드로이드 스마트폰의 문제를 해결하여 화면 밝기를 자동으로 조절하는 lsquo어댑티브

브라이트니스(Adaptive Brightness)rsquo는 주변 밝기 환경 외에도 이용자의 습관과 위치 정보 등 여러 가지

정보를 학습해서 적절한 밝기를 찾아줌

1 휴대폰의 상단에 음푹 파인 부분


6

bull 배터리 문제에 머신러닝 조합으로 앱이 백그라운드에서 데이터를 다시 불러오는 빈도를 조정하여

기기 사용 습관을 기반으로 안드로이드의 백그라운드 처리를 조정함

bull 개별 앱이 매번 기기를 깨우는 것이 아니라 머신러닝 기반의 제어 시스템이 주기적으로 기기를 깨울

때 한 번에 태스크를 몰아서 처리하고 기기가 60 가량 덜 깨어나면서 그만큼 배터리 이용 시간을

늘릴 수 있고 실제로도 대기 상태에서 배터리 효율이 상당히 높아졌다는 평가

bull 기기에 대한 피로를 줄이고 단순화하여 화면 아래를 차지하던 제어 버튼을 활용하여 손을 많이

움직이지 않아도 원하는 것들을 빠르게 처리할 수 있음

bull 상황에 따라 필요한 버튼들이 제어 버튼에 추가 기기를 옆으로 눕히면 화면 회전 고정을 풀고 가로

화면으로 바꿀 수 있는 버튼이 나타나 버튼 디자인을 더 단순하게 바꾸고 사용자 인터페이스가

콘텐츠를 방해하지 않게 됨

총평

bull 최근 구글 IO의 움직임은 세상에 없던 무엇인가를 만들어내는 것이 아니라 기존에 있던 서비스를

확장하여 이미 익숙한 서비스를 고도화하는데 머신러닝을 활용하는 것

bull 구글이 중요하게 여기는 것은 바로 이 인공지능 기술을 모든 사람들이 자유롭게 이용하는 데에 있고

정보의 격차를 줄일 방법으로 인공지능을 활용하는 것이 바로 최근 구글의 목표이기도 함

bull lsquo인공지능의 민주화rsquo는 비단 구글 만의 일은 아니고 현재 실리콘밸리를 비롯해 인공지능을 다루는

기업들의 목표이기도 함

bull 구글 IO의 하이라이트로 꼽히는 구글 듀플렉스는 사람과 자연스러운 대화를 나누면서 인공지능에

대한 불안감을 높이지만 인공지능에 대한 사회적인 논의가 적절하게 이뤄져야 한다는 화두를 던짐

bull 구글의 인공지능은 더 다양한 부분에 활용되기 시작했고 구글은 머신러닝 그 자체를 하나의 서비스로

제공하면서 동시에 스스로의 서비스를 진화하는 것으로 인공지능의 활용 방법을 고민

bull 구글의 안드로이드 스마트폰 전략은 사람에 대한 고민이 숨어 있는 상황 스마트폰의 과몰입은

우리나라 뿐 아니라 미국에서도 사회적인 고민거리로 어떻게 하면 효과적으로 스마트폰 사용 습관을

관리할 수 있는지에 대한 고민도 사회적인 화두가 되고 있음

bull 그 동안 스마트폰의 중요한 부분이 성능과 기능이었다면 이제는 우리의 삶을 어떻게 풍요롭게

만드는데 관심이 이동하고 있다고 볼 수 있음

bull 구글 IO는 이제 단순한 기술의 자랑이 아닌 기술과 사람이 어떻게 어우러져서 살아가야 하는지에

대한 고민으로 주제를 옮겨가고 있고 기술의 본질을 되짚어보는 단계로 접어들었다고 볼 수 있음


7

구글 듀플렉스 기술이 제시하는 사회적 과제

한상기 테크프론티어 대표 (stevehantechfrontierkr)

bull (現) 테크프론티어 설립자 겸 대표

bull (現) 휴맥스 홀딩스 사외이사

bull (前) KAIST 문화기술대학원 교수

bull (前) 다음커뮤니케이션 전략 대표

5월 8일부터 11일까지 열린 구글의 개발자 컨퍼런스인 구글 IO에서는 해마다 구글의 다양한 신기술을

보여주고 있음

bull 올해 행사에서 보여준 기술 데모 중 가장 인상적인 것은 누가 뭐라고 해도 구글 듀플렉스(Google

Duplex)라고 부르는 인공지능 기반의 대화 봇 시스템이라 할 수 있음

bull 아직은 매우 제한적인 영역 다시 말해 미용실 예약이나 레스토랑 예약과 같은 특정한 형태의 예약을

대신해주는 디지털 비서의 역할을 보여주었음2

bull 구글 듀플렉스는 전화를 통해 실제 사람과 자연스럽게 대화를 나누며 예약하는 기술을 선보여 세상을

놀라게 했음

bull 이 기술이 실용화되면 수많은 사람들이 귀찮은 예약이나 취소 변경 등의 일을 부담 없이 구글의

가상 또는 디지털 비서를 통해서 하고자 할 것으로 보임

bull 순다 피차이(구글 CEO)는 미국에서도 60 정도의 사업장이 온라인 예약 시스템을 갖추고 있지 못한

상황으로 전화를 통한 이러한 예약 지원 서비스의 가능성을 제시

많은 전문가와 개발자가 놀라워한 것은 제한된 영역이지만 현재 보여준 수준이 그 동안 자연스러운

대화 기능을 구현하기 위해 해결하기 어려웠던 많은 문제를 해결하는 모습을 보였다는 것으로 사람들이

생각하는 것보다 이 문제를 해결하는 것은 쉽지 않음

bull 간단한 예약 문장에서도 문맥을 이해하며 불필요한 중간 말을 생략하고 중간에 상대방이 개입하거나

이중적인 의미를 갖는 대화가 많음

bull 때로는 배경의 소음이 커서 소리 품질이 나쁜 경우도 있고 간단한 의미도 매우 다양하게 표현하기도

하며 중간 중간에 말을 가로채거나 잠시 또는 오랜 시간 동안 묵음이 되는 경우도 상황에 따라 해석을

다르게 해야 하는 것임3

2 Quartz ldquoGooglersquos almost-human Duplex is designed to keep us in the virtual worldrdquo May 15 2018


8

그림 1 _ 같은 문장이더라도 4는 각각 시간과 사람 수를 의미

[출처] Google AI Blog

이번에 구글의 듀플렉스는 작지만 매우 다루기 힘들었던 여러 가지 문제에 대해 충분히 기술적으로

해결이 가능함을 보여줬다는 데 의미가 있음

bull 구글이 이번에 사용한 기술의 핵심은 텐서플로 확장(TensorFlow Extended TFX)을 사용한 순환

신경망(Recurrent Neural Network RNN)에 있음

bull 이를 익명의 전화 대화 데이터를 통해 학습했으며 구글의 자동 음성 인식(ASR) 기술과 오디오 특징

대화의 이력 대화의 다양한 매개 변수(예약을 원하는 서비스가 무엇인지 오늘 현재 시간 등) 등을

사용했다고 발표

bull 또한 각 과업에 대한 이해 모델을 따로 훈련시키면서 과업 전체의 공통 말뭉치(코퍼스)를 활용

그림 2 _ 구글 듀플렉스의 기본 구조


구글이 보여준 또 다른 기술 성과는 음성 합성 기술인데 거의 사람과 구별하기 어려울 정도의 음성

합성 수준을 보임

3 Google Blog ldquoGoogle Duplex An AI System for Accomplishing Real-World Tasks Over the Phonerdquo May 8 2018


9

bull 이는 기존에 연구 성과로 보여준 연결적 음성합성 TTS 엔진과 합성 TTS 엔진인 타코트론(Tacotron)

딥마인드가 개발한 웨이브넷(WaveNet)을 사용했고4 이 두 가지 기술을 결합한 타코트론2는 이미

2017년에 발표함5

bull 데모를 본 관중들이 매우 재미있어했던 부분은 lsquo흠rsquo lsquo어rsquo 처럼 사람들이 흔히 말을 준비하면서

사용하는 소리를 삽입한 부분으로 이는 시스템이 광범위한 소리 유닛을 통합하는 과정을 자연스럽게

느끼도록 일부러 넣어 처리한 방식임

bull 구글의 연구에 의하면 이런 방식을 사람들이 더 익숙해 하거나 자연스럽게 느낀다는 것인데 사실

이런 기능은 아마존의 알렉사나 애플의 시리에서도 중간 중간에 나타나는 기능임

bull 또한 사람들이 대화 중 발생하는 반응 지연에 갖는 기대가 어떤 상황이냐에 따라 다르다는 점 역시

중요한 부분으로 lsquo여보세요rsquo 하면 즉각적인 반응을 기대하기 때문에 더 빠르지만 복잡한 대화의

경우는 오히려 좀 더 지연이 있는 것이 더 자연스럽게 느낀다는 점도 활용

bull 마이크로소프트는 구글의 듀플렉스에 대한 대항마 차원에서 중국 위챗을 통해 서비스하는

lsquo샤오이스(Xiaoice)rsquo도 채팅 뿐 만 아니라 전화를 통해서 대화할 수 있다고 발표하였고 이미 5억 명의

친구를 갖고 있는 샤오이스는 올해 초부터 상호 대화가 가능한 버전으로 서비스하고 있다고 사티아

나델라가 밝힘6

bull 또한 마이크로소프트는 코타나의 대화 능력을 향상시키기 위해 lsquo시맨틱 머신즈(Symantic

Machines)rsquo라는 스타트업을 인수하기도 했음7

사람과 전화로 대화하는 인공지능 봇의 등장은 많은 개발자나 연구자들에게는 환영을 받았지만 이에

대한 우려의 목소리 역시 등장하고 있음

bull 대표적인 학자가 미국 노스캐롤라이나대학의 교수이며 하버드대학 버크만센터의 기술사회학자인

제이넵 투펙치(Zeynep Tufekci)로 그는 듀플렉스가 lsquo흠rsquo 이나 lsquo아helliprsquo 등으로 상대방에게 인간인 것과

같은 착각을 불러일으키는 것이 무섭다고 트위터에 기록함

bull 또한 그는 실리콘밸리는 윤리적으로 길을 잃고 통제가 안 되고 있으며 학습을 제대로 하지 못하고

있다고 비판한 바 있음

4 DeepMind ldquoWaveNet A Generative Model for Raw Audiordquo Sep 8 20165 Google Blog ldquoTacotron 2 Generating Human-like Speech from Textrdquo Dec 19 20176 The Economic Times ldquoMove over Google Duplex Microsoft also has an AI bot that makes phone calls to humansrdquo May 23 20187 TNW ldquoMicrosoft just bought an AI startup to improve Cortanarsquos conversational skillsrdquo May 21 2018


10

그림 3 _ 듀플렉스를 비판한 제이넵 투펙치 교수의 트윗

[출처] slow news

bull 구글 어시스트사의 CEO인 셰인 맥은 봇 윤리 문제가 이제 현실이 되었고 이에 대한 법적인 정책

이슈가 크며 앞으로 빠르게 큰 문제가 될 것이라고 예상8되어 이는 특히 상대방이 봇인지 아닌지를

밝혔는가 하는 문제부터 시작한다고 언급

bull 서비스나 세일즈를 담당하는 사람들에게는 밀려드는 봇 전화에 대응하기 위한 새로운 기술 레이어가

필요하며 이는 마치 캡차(Captcha 인간과 로봇을 구분해주는 보안 도구)를 통해 사람임을 확인하는

것과 같은 경우가 될 수 있음

bull 구글은 이런 비판에 빠르게 대응하고 있는데 일단 이런 기술의 경우 시스템에 목소리가 사람이

아님을 사전에 밝히는 기능을 내장할 것이라고 밝힘9

bull 이는 기술의 투명성이라는 입장에서 중요하며 지금은 조기 기술 데모라는 것을 이해해주기 바란다고 발표

bull 또 다른 비판으로는 과거 구글의 글래스나 페이스북의 M 어시스턴트처럼 지나치게 부풀려진 기술

데모에 불과할 것이라는 견해임10

bull 그러나 이번 듀플렉스는 갑자기 등장해 사람들에게 지나친 기대를 주는 것이 아니라 그 동안 구글

안에서 꾸준히 개발해온 다양한 인공지능 기술을 통합한 것이기 때문에 앞으로도 지속적으로 발전할

가능성이 높음

bull 또한 듀플렉스 같은 인공지능 챗봇으로 원하는 일정 조정이나 예약을 하는 사람들이 이를 남용하게

되는 경우에 대한 우려와 수시로 일정을 바꾸거나 lsquo노쇼rsquo를 하는 경우에도 이에 대한 심리적 부담감을

갖지 않을 우려가 있음

bull 그러나 반대로 직접적인 대화에 부담을 느끼는 성격이나 밀레니얼 세대(Millennials 정보기술(IT)에

익숙한 세대)에게는 매우 희망적인 기술이며 언어 문제가 있는 사람들에게는 커다란 축복이 될 수도

있다는 점은 긍정적인 효과로 보임

8 Mashable ldquoGoogle Assistantrsquos new ability to call people creates some serious ethical issuesrdquo May 11 20189 Voicebotai ldquoGoogle Duplex will Disclose That it is Google Assistant Callingrdquo May 11 201810 Wired ldquoGoogle Duplex might look cool but donrsquot believe the hyperdquo May 9 2018


11

구글이 보여주는 현재 기술은 매우 제한된 영역에서 이루어지는 데모지만 이를 기반으로 발전하게

될 대화형 컴퓨팅은 우리 일상 모든 영역에서 사용될 수 있음

bull 기계가 인간을 대신해서 얘기를 나눈다는 가까운 미래는 이런 기술이 악용될 수 있는 수많은 상황을

예상할 수 있음

bull 보이스 피싱부터 시작해 우리가 직접 얘기하기 싫어하는 많은 상황 예를 들어 이별을 통보하는

상황에서도 우리는 직접 대화를 피하고 대화용 인공지능 봇을 활용할 수 있음

bull 더구나 우리는 이런 음성 봇에 무언가를 지시할 경우에도 lsquo부탁한다rsquo 또는 lsquo고맙다rsquo고 말할 필요도

못 느낄 것이고 그들이 우리가 원하는 것을 그대로 실행하는 것에 익숙해지면 우리보다 하위의

존재로 생각할 것임11

bull 이는 토스터기나 현금 자동 입출기 또는 네비게이션 기기에 우리가 어떤 존중의 표현을 하지 않는

것과 같은 것으로 과거 노예를 부렸던 것과 같은 마음 상태가 될 가능성이 높고 디지털 비서에 대한

우리의 의사 소통 방식은 다른 사회적 대상과의 의사소통에도 영향을 줄 가능성이 있음

bull 상대방에 부담을 주거나 직접 얘기하기 싫은 대화를 지나치게 인공지능 봇에 의존하게 되는 사회는

우리가 다른 상대방에 대한 존중이나 배려 공감 능력을 점점 잃어버리게 되는 방향으로 변화될 수

있을 것임

bull 그러한 미래에서는 인간이 사회적 능력이 뛰어난 존재라고 말할 수 있을 지가 중요한 의문이 드는

시점임

11 The Verge ldquoShould you say lsquopleasersquo and lsquothank yoursquo to your Amazon Echo or Google Homerdquo Dec 10 2017


12

페이스북 F8 2018에서 꼭 챙겨봐야 할 5가지 발표

최필식 테크G 발행인 (chitsoltechgkr)

bull (現) IT 블로그 chitsolcom 운영자

bull (現) 테크G(wwwtechgkr) 운영자

bull (前) 월간 PC사랑 편집장

페이스북은 미국 산호세에서 5월 1일과 2일 양일간 개발자 컨퍼런스 F8을 개최

bull 개발자들이 8시간 동안 자신의 아이디어를 코드로 구체화하는 페이스북 해커톤에서 출발한 이

행사는 페이스북과 관련된 개발자 행사로 확대되어 2007년 이후 거의 매년 개최

bull 2009년 2012년 2013년에는 개발자 행사를 개최하지 않았지만 이 행사를 개최할 때마다 페이스북의

새로운 기능과 개선된 정책 미래 제품 소개로 많은 IT 업계의 주목을 끌고 있음

이번 F8 2018은 종전보다 특히 주목도가 높음

bull e메일을 기반으로 수집된 정보가 단순히 광고에 활용되는 것 뿐만 아니라 개인정보 유출에

악용되면서 페이스북 CEO 마크 주커버그는 미국과 EU의 청문회를 통해 해명해야 했음

bull 페이스북은 키노트에서 발표된 새 기능마다 개인 정보 보호에 대한 중요성을 꾸준히 강조하는 한편

이용자와 기업을 위한 다채로운 정책과 서비스를 다수 선보이면서 가장 많은 변화를 예고

히스토리 지우기(Clear History)

F8에서 마크 주커버그는 페이스북이 그동안 가짜 뉴스와 개인 정보 보호를 위해 해왔던 모든 기술적

작업들을 타임라인으로 정리해 보여주는 것과 동시에 현재 문제가 되고 있는 개인정보 침해 논란에

대한 새로운 기능을 내놓음

bull 대표적인 것이 이용자가 페이스북을 사용했던 기록을 지우는 것(Clear History)임

bull 페이스북의 광고와 분석 도구는 이용자가 페이스북을 사용한 기록을 기반으로 작동하고 있기 때문에

페이스북은 사용자 기록의 일부를 삭제하도록 하여 광고 및 분석 도구에 필요한 데이터를 제공하지

않도록 하는 방법을 추가

bull 히스토리 지우기 도구를 이용하면 이용자는 페이스북의 사용 기록은 물론 페이스북과 연동된 앱

인터넷 기록까지 모두 확인할 수 있음


13

bull 이러한 기록 중 이용자가 의심스럽거나 부당하다고 느끼는 사용 기록을 지울 수 있는 기능을 제공하고

또한 삭제된 기록은 해당 서비스를 이용자가 다시 활성화하기 전까지 수집을 금지

그림 1 _ 곧 공개될 페이스북 히스토리 지우기(Clear History) 이용자가 스스로 개인 정보를 관리할 수 있는 권한 보장

bull 이 기능이 추가됨으로써 각 개인에 대한 맞춤형 광고나 이벤트 각종 마케팅은 축소되겠지만

상대적으로 개인의 데이터가 악용될 사례도 함께 줄일 수 있게 됐음

히스토리 지우기의 핵심은 그동안 논란이 됐던 개인 데이터의 관리 권한의 이양에 있음

bull 지금까지 페이스북은 이용자의 데이터를 이용자가 마음대로 삭제하거나 관리할 수 없도록

제약했으나 이 기능을 적용한 이후 이용자의 페이스북 이용 기록 같은 데이터를 통제할 수 있는

일부 권한을 사용자가 넘겨받게 됐음

bull 페이스북에서 수집된 데이터를 사용한 개인 맞춤형 서비스의 제공은 줄어들 것으로 보임

- 다만 데이터의 오용 또는 남용하던 문제는 앞으로 페이스북 이용자가 데이터를 관리하는 정도에

따라서 방지할 수 있을 것으로 보임

bull 또한 동의 없이 무단 수집한 사용자의 정보를 기반으로 마케팅을 전개한 캠브리지

애널리티카(Cambridge Analytica) 사태의 재발을 막기 위한 대책을 내놓음 이를 통해 그동안 일시

중지했던 페이스북 앱에 대한 리뷰를 재개하기로 한 것

- 지금까지 페이스북 로그인을 기반으로 활용 가능한 소셜 앱들은 페이스북의 리뷰 없이 작동하면서

사용자 데이터를 빼낼 수 있었음

- 앞으로 페이스북이 앱 심의를 거친 이후 서비스를 할 경우 정보 제공 항목의 동의 부분이 지금보다

더 엄격해질 것으로 예상되며 이를 통해 페이스북 이용자의 안전과 개인 정보 보호의 균형을 맞출

것으로 보임


14

페이스데이트(FaceDate)

페이스북은 지금까지 수많은 방법을 통해 가입자와 알 만한 사람을 추천하고 친구로 등록해 왔고 또한

이번 F8에서 유대를 강화하고 관심 있는 활동을 지원하기 위한 그룹 기능을 강화

bull 알 만한 지인의 관계를 맺는 것이 아니라 전혀 다른 방법으로 이성 친구를 만들 수 있는 데이트 기능을

올 연말 공개하기로 발표

bull 페이스데이트라는 이 기능은 데이트 프로필을 작성한 사람들을 대상으로 공통의 관심사를 가진

페이스북 이용자를 연결시켜 주는 서비스임

bull 페이스북 이용자가 데이트 기능을 원치 않으면 데이트 추천은 나타나지 않고 데이트 프로필을

기반으로 관련성 높은 항목을 일치시켜 친구를 추천

그림 2 _ 올 연말 선보일 페이스데이트(Face Date) 데이트 프로파일과 페이스북의 활동을 분석해 인연을 추천

bull 데이트 프로필은 단순한 입력만으로 완성되는 것이 아니며 데이트의 환경 설정은 물론 상호 관심사에

대한 공통점을 찾을 때까지 페이스북 활동을 분석한 뒤 만들어짐

- 관심 있는 도시나 그룹의 이벤트 안에서 다른 데이트 상대의 프로필을 보고 여러 장의 사진이나

그 밖의 방법으로 서로 공통된 관심사가 있는지 확인

bull 페이스데이트는 매우 빠른 연결을 목적으로 하는 게 아니라 페이스북을 통한 의미 있는 만남이 목적

페이스데이트를 통해 관심사를 확인한 두 대상은 메신저가 아닌 e메일 형태의 전용 커뮤니케이션

도구를 통해 비공개 대화를 주고받을 수 있음

bull 페이스데이트가 이성을 연결시켜주는 서비스로서 얼마나 환영받을 수 있을지는 알 수 없으나

페이스북을 위한 안전장치가 무엇인지 더 흥미로운 부분

bull 수많은 이성이 페이스북을 통해 만나 결혼까지 하는 것이 현실이지만 페이스데이트처럼 페이스북의

기능을 통해 만나는 경우 피해를 입으면 곧바로 페이스북을 비난할 가능성이 높음


15

메신저 기능 강화

페이스북은 페이스북 메신저와 함께 왓츠앱을 갖고 있는데 이 두 개의 메시징 서비스에 대한 기능을

강화 할 예정

bull 메신저는 메시징을 할 때 더 빠르고 깨끗하게 보일 수 있도록 정비

bull 페이스북은 메신저에 많은 기능을 추가한 터라 메신저를 쓰지 않는 이용자도 상대적으로 증가 이를

의식해 카메라와 게임 탭을 메신저에서 제거해 덩치를 줄였고 OLED 스마트폰 사용자를 위한 블랙

테마도 추가

bull 또한 개인의 대화보다 고객과 기업의 의사소통을 원활하게 하기 위하여 메신저에 번역 기능을 추가

- 나와 다른 언어를 쓰고 있는 상대의 문장을 이용자가 알 수 있는 언어로 번역

- 일단 영어와 스페인어의 채팅 스레드에 대한 번역부터 지원하고 그 이외의 언어에 대한 지원은 차츰

늘려갈 계획

bull 채팅 같은 서비스로 도움을 원하는 고객들이 페이스북의 메신저로 기업의 담당자와 연결해 좀 더

쉽게 문제를 해결할 수 있도록 만들려는 것임

bull 페이스북은 이러한 메시징 번역 기능이 더 많은 사업자들을 페이스북 플랫폼으로 끌어들일 수 있는

현실적 기능이라고 보고 있음

- 어차피 새로운 서비스를 개발하는 데 드는 비용을 감당하기 어려운 기업에게 이 기능은 유용할

것이라는 판단

- 이미 페이스북을 통해 기업과 고객들은 해마다 30만 개의 채팅방에서 80억 건 이상의 메시지를

주고받는 것으로 알려져 있음

bull 페이스북은 스마트폰이나 헤드셋을 이용해 실제 세계에 겹쳐진 디지털 이미지를 볼 수 있게 하는

증강현실(AR) 서비스도 메신저에 추가 이는 개인 사용자도 있지만 기업의 서비스를 강화하기 위한

목적이 강함

그림 3 _ 기업을 위한 기능을 강화한 페이스북 메신저


16

bull 메신저에서 기업의 담당자와 채팅을 하는 고객들은 AR 기능을 이용해 그 기업의 서비스를 현실에서

간접적으로 경험할 수 있음

- 자동차 제조사의 고객 담당과 메신저로 채팅을 하면서 그 업체의 자동차를 현실의 공간으로 띄운

뒤 차량의 구석구석을 탐색해 보는 것도 어렵지 않음

bull 이처럼 페이스북은 사용자의 의사소통을 위한 용도로 개발했던 메신저를 기업의 서비스를 사용자에게

전달하기 위한 채널로 확장 중

bull 이용자가 메신저를 쓸 때 느끼는 불편은 걷어 내는 한편 기업이 필요로 하는 기능을 쉽게 수행할

수 있는 기능을 추가 고객과 쉬운 접점을 찾으려는 기업을 위한 서비스 플랫폼으로써 메신저의

역할을 강화함

bull 반면 인스타그램과 왓츠앱은 개인 이용자를 위한 기능을 보강

- 인스타그램과 왓츠앱 모두 그룹 비디오 채팅을 강화해 팔로워와 개인의 의사소통을 강화했고

인스타그램에서 사용할 수 있는 AR 필터를 팔로워 뿐 아니라 모든 이용자가 적용해 스토리에 올릴

수 있게 했음

bull 또한 왓츠앱은 개인 정보를 거의 수집하지 않고 종단간 암호화 및 서버에 데이터를 남겨 두지 않는

등 보안을 강조해 사적 대화의 보호에 민감한 사용자들을 안심시키는 한편 곧 스티커 기능을 적용할 예정

VR 메모리

많은 사용자들이 페이스북에 추억이나 기념 또는 정보가 될 만한 다양한 사진이나 동영상을 업로드

하지만 거의 모든 사진은 평면이기 때문에 입체적으로 볼 수 있는 방법은 사실상 없음

bull 페이스북은 타임라인에 올린 2D 사진이나 동영상을 입체적인 공간을 경험하게 해주는 VR 메모리를

F8에서 실험적으로 선보임

- 소셜 VR의 일환으로 개발한 이 기술은 평면의 사진이나 동영상을 찍은 공간을 재구성하는 것임

- 페이스북의 기계 학습 알고리즘이 포인트 클라우드 재구성을 통해 사진과 관련 있는 3차원 공간으로 변환

- 평면 사진이나 영상이 갖고 있는 제한적인 정보를 기계 학습으로 분석하고 주변을 재구성한 뒤 그

위에 실제 사진이나 영상을 배치해 실제 그곳으로 돌아간 것 같은 착각을 일으킴


17

그림 4 _ 기존에 촬영된 사진을 기반으로 가상 공간을 재구성한 VR 메모리

bull 다만 이 기술에 의해 재구성된 환경은 아주 선명하지 않고 다소 몽환적인 느낌이 들도록 점으로 구성

bull 인공지능도 실제 공간을 똑같이 만들 수 없는데다 유추한 정보를 실사로 렌더링하면 처리해야 할

데이터가 늘어나 현실에서 빠른 이동과 재구성이 어려워짐

bull 이에 수많은 점을 앞뒤로 촘촘히 배치해 공간을 구성하고 VR을 통해 각 공간을 이동하면서 다른

장소의 사진이나 동영상을 볼 수 있도록 했음

bull VR 메모리는 평평한 이미지에서 깊이를 추측하는데 이는 최근 컴퓨터 비전 기술의 비약적 발전을

보여주기는 하지만 아직은 초기 단계로 실제 서비스까지는 더 기다려야 할 것으로 보임

가상현실

페이스북은 가상현실의 대중화에 상당히 애쓰고 있는 기업으로 가상현실 헤드셋 스타트업이던

오큘러스(Oculus)를 2014년 25조원에 인수한 뒤 페이스북에서 형성된 관계를 가상현실에서 실제와

같은 사회적 관계를 구현하는 데 활용할 준비를 해왔음

bull 이번 F8 2018에서 페이스북은 좀 더 쉽게 가상현실에서 페이스북 이용자가 함께 즐기기 위해서 가장

큰 걸림돌이 되고 있는 헤드셋의 가격을 대폭 낮춘 저가 헤드셋을 공개하고 곧바로 판매에 들어감

- 스마트폰을 꽂을 필요도 없이 충전만 하면 쓸 수 있는 독립형 헤드셋을 23만 8000원(32GB 기준

관부가세 포함)에 발표 및 판매


18

그림 5 _ 가상 현실 플랫폼 오큘러스 TV _ 마치 거실에 모여 TV를 보는 듯한 착각을 일으킴

bull 샤오미를 통해 생산되고 있는 이 헤드셋은 기어 VR에 적용했던 오큘러스 모바일 플랫폼을 싣고 있기

때문에 이미 1000개에 이르는 응용 프로그램을 활용할 수 있음

bull 또한 기존보다 더 높은 디스플레이 해상도를 채택해 스크린 도어 효과라 부르는 격자무늬(픽셀과

픽셀 사이가 벌어져 보이는 현상)가 거의 사라짐

bull 페이스북은 저가 헤드셋의 판매에 그치지 않고 이 헤드셋을 함께 즐기는 새로운 서비스 플랫폼을

공개

- 오큘러스 TV(Oculus TV) 오큘러스 룸(Oculus Room) 오큘러스 베뉴(Oculus Venue) 등 3개의

플랫폼은 멀리 떨어진 페이스북 사용자가 한 공간에서 다양한 콘텐츠를 즐길 수 있도록 다양한

서비스와 연결

오큘러스 TV 거실 앞에서 TV를 보는 것처럼 가상현실 공간에서 TV를 보는 플랫폼 이용자는

가상공간에 최대 180인치 크기의 화면에서 오큘러스 TV나 영화 콘텐츠를 띄울 수 있고 컨트롤러를

마치 TV 리모컨처럼 다루며 채널을 바꿀 수도 있음 ESPN과 넷플릭스 훌루 쇼타임 레드불 TV

플루토가 오큘러스 TV에 참여하고 여름부터는 친구를 초대하는 기능도 추가

오큘러스 룸 놀이 공간으로 페이스북의 인기 동영상을 함께 보거나 친구들과 익숙한 보드 게임을

즐길 수 있음 보드 게임은 페이스북이 제공하지 않고 제휴를 맺은 하스브로의 보글 모노폴리

트리비알 퍼수트 등 잘 알려진 보드 게임들로 채워짐

오큘러스 베뉴 생중계 서비스로 실제 콘서트 장이나 스포츠가 열리는 경기장에 있는 것처럼 가상

공간 안에서 중계되는 영상을 감상할 수 있음 나홀로 감상이 아니라 여러 사람이 함께 현장에 있는

것처럼 이야기를 나누고 응원할 수 있음 기존 중계 서비스를 결합한 플랫폼이기 때문에 AEG

라이온스게이트 MLB닷컴 NBA 넥스트VR 등 이미 VR 중계 서비스를 하거나 준비 중인 서비스가 참여


19

GDPR의 국내 영향력 분석

조수영 숙명여자대학교 법과대학 교수 (dreambudsookmyungackr)

bull (現) 행정안전부방송통신위원회KISA EU의 GDPR 가이드북 집필진

bull (現) 교육학술정보원 교육학술 서비스분야 개인정보비식별조치 적정성 평가위원

bull (現) 행정자치부한국인터넷진흥원 공공기관 개인정보보호 관리수준 진단위원회 위원

bull (現) 한국정보화진흥원 공공데이터분야 자문

EU lsquoGeneral Data Protection Regulation(일반 개인정보보호법 GDPR)rsquo의 개요

EU의 lsquoGeneral Data Protection Regulation(일반 개인정보보호법 이하 ldquoGDPRrdquo이라 함)rsquo은 2016년 4월

14일 EU 의회에서 승인되었고 2016년 5월 4일에 유럽 연합 공식 저널에 게재(공포)되어 게재 20일

후인 2016년 5월 24일 발효 2년간의 유예기간을 거쳐 2018년 5월 25일부터 시행되고 있는 EU 내

개인 정보(personal data)의 처리와 이전에 관한 사항 등을 규정한 EU 규칙

그림 1 _ EU GDPR의 법 체계

EU의 1차 법원(sources)

법원

(法源)

bull 유럽연합조약(The Treaty on European Union TEU)

bull 유럽연합기능조약(The Treaty on the Functioning of the European Union TFEU) - (제16조제1항) 개인정보보호권(right to the protection of personal data) 명시 - (제16조제2항) 유럽의회와 이사회는 개인정보보호 규정을 제정하여야 함을 명시

bull 유럽연합기본권장헌장(The Chart of Fundamental Rights of The EU) - (제8조제1항) 개인정보보호권(right to the protection of personal data) 명시 - (제8조제2항) 목적 명확 동의 원칙 열람middot정정권 명시 - (제8조제3항) 독립적 기관에 이한 통제 필요 명시

2차 법원(sources)

Regulation

(규칙)bull 회원국에 직접 적용(EU 회원국의 정부나 민간 활동을 규제)

Directive

(지침)

bull 회원국이 준수하여야 할 최소한의 요건 bull 회원국은 지침에 따라 국내법을 제정middot개정(회원국 사정에 따라 더 엄격하게 규정 가능)

Decision

(결정)적용 대상을 특정 국가 기업 개인에게 한정

[출처] 우리기업을 위한 lsquo유럽 일반 개인정보보호법(GDPR)rsquo 가이드북 33쪽

General Data Protection Regulation

Data Protection Directive 9546EC(폐기)


20

EU GDPR의 제정 목적

bull 자연인에 관한 기본권과 자유(특히 개인정보보호에 대한 권리) 보호(제1조제2항)

bull EU 내에서의 개인정보의 자유로운 이동 보장(제1조제3항)

기존 지침인 EU Directive 9546EC와 현재의 개인정보보호법인 EU GDPR 비교

bull EU Directive 9546EC 1995년 10월 24일 채택 및 2018년 5월 24일까지 시행(현재 폐지됨)

bull EU GDPR 2018년 5월 25일부터 시행 中

표 1 _ EU Direccive 9546EC과 EU GDPR 비교

구분 EU Directive 9546EC EU GDPR

EU 회원국의 기속 정도

EU Directive 9546EC은 회원국이 준수하여야할 최소한의 요건

EU Directive 9546EC을 반영한 회원국의 별도 입법 제정시행 필요

시행과 동시에 직접적으로 회원국 기속(별도의 입법절차 불필요)

회원국에 통일된 법적 규제 가능

구성 전문 72항 총7장34개의 본문조항 전문 173개항 총 11장99개의 본문조항

개인정보범위

개인 데이터는 식별되거나 식별 가능한 자연인 (데이터 주체)과 관련된 모든 정보를 의미

식별 가능한 사람이란 식별 번호나 신체적 생리적 정신적 경제적 문화적 또는 사회적 정체성과 관련된 하나 이상의 요인을 참조하여 직접 또는 간접적으로 식별 될 수 있는 사람

개인 데이터는 식별되거나 식별 가능한 자연인(데이터 주체)과 관련된 모든 정보를 의미

GDPR은 판례 및 개별법 등을 통해 표명되어 온 개인정보의 개념을 조문에 포함함으로써 적용 대상을 보다 구체적으로 명시

예) IP 주소 쿠키(cookie) ID RFID(무선 인식)태그 등을 개인정보(온라인식별자)에 포함(전문 제30항) 위치정보(제4조제1항) 유전정보와 생체 인식정보 등 포함

가명정보 적용대상 x개인과의 연결성이 있는 가명 처리된 정보를 개인정보로 명시 GDPR의 적용대상 해당(전문 제26항)

기업의 책임

개인정보의 최소처리처리목적 통지개인정보보호책임자(DPO) 지정의무 x개인정보 처리활동의 기록의무 x개인정보영향평가 x

기업의 책임 강화개인정보보호책임자(DPO) 지정개인정보 처리활동의 기록의무(필요시)개인정보영향평가 실시의무(필요시)개인정보 침해 72시간 내 신고의무민감정보의 처리제한(정보주체의 명백한 동의 등 추가적 안전조치 확보)

아동 개인정보 동의 원칙의 확립 등 추가

정보주체의 권리 삭제권 열람청구권 등처리제한권(신설)정보이동권(신설)삭제권(강화)프로파일링을 포함한 자동화된 결정 제한권(강화)

과징금 등 처벌 회원국별 자체 법규에 따른 처벌

모든 회원국에 통일된 기준부과 및 과징금 처벌일반적 위반사항 전세계 매출액 2 또는 1천만 유로 중 더 큰 금액

심각한 위반 전세계 매출액 4 또는 2천만 유로 중 더 큰 금액의 과징금이 부과


GDPR은

전문 총 173개

본문 총 11장 99개

조항으로 구성

21

GDPR의 구성체계

전문(Recital) 173항 본문의 해석 기초가 됨(기본적인 권리로서의 개인정보보호지침 9546EC의 대체 이유 국경간 흐름 등 설명)

본문11장(Chapter)

99개 조항(Article)

제1장 일반 규정(general Provisions)

제2장 원칙(Principles)

제3장 정보주체의 권리(Rights of the Data Subject)

제4장 컨트롤러와 프로세서(Controller and Processor)

제5장 제3국 및 국제기구로의 개인정보 이전(Transfer of Personal Data to Third Countries or International Organizations)

제6장 독립적인 감독기구(Independent Supervisory Authorities)

제7장 협력과 일관성(Cooperation and Consistency)

제8장 구제책 책임 벌칙(Remedies Liability and Penalties)

제9장 특정 정보 처리 상황에 관한 규정(Provisions Relating to Specific Data Processing Situations)

제10장 위임 입법 및 이행 입법(Delegated Acts and Implementing Acts)

제11장 최종 규정(Final Provisions)

기존 Directive가 총 7장 34개 조항으로 구성된 것에 비해 조문 수가 크게 증가함

GDPR의 주요내용

bull 개인정보의 적용대상 확대 위치 데이터 온라인 식별자 및 유전자 데이터 등도 개인을 식별할 수

있다면 개인정보에 포함(기존 판례 및 개별법 등을 통해 표명되어 온 개인정보의 개념을 조문에

명시적 포함)

bull 개인정보의 적용범위 확대 지리적 적용범위의 확대로 정보주체의 국적과 상관없이 컨트롤러(개인정보

처리의 목적과 수단을 결정하는 주체)와 프로세서의 개인정보를 처리하는 활동정도에 GDPR 적용

- EU 역내 프로세서나 컨트롤러가 EU에 사업장(자회사뿐만 아니라 지사를 포함)을 운영하며

개인정보 처리를 하는 경우( 실제 개인정보의 EU 역내의 처리여부와는 관계없음)

- EU 역외 EU 역내에 사업장을 가지고 있지 않더라도 다음에 해당하는 경우에는 적용( EU 역외에

거주하는 EU시민의 개인정보 처리는 해당되지 아니함)

EU 내에 있는 정보주체에게 재화나 서비스를 제공하는 경우( 정보주체가 실제로 재화 또는

서비스에 비용을 지불하였는지 여부와는 관계없음)

EU 내에 있는 정보주체에 대하여 EU 내에서의 활동을 모니터링하는 경우


22

bull one-stop-shop 메커니즘 컨트롤러와 프로세서는 여러 국가에 흩어져 있는 정보주체의 개인정보

처리에 대하여 하나의 감독기구(선임 감독기구)만을 대상으로 대응이 가능함(제56조 전문 제127항)

bull EU 역외 기업의 EU 내 대리인(representative) 지정 GDPR의 역외 적용을 받는 컨트롤러나 프로세서는

서면으로 EU내에 대리인 지정의무 ( 단 개인정보의 처리성격 범위 목적 등을 고려하여 그 처리가

간헐적이거나 대규모의 민감정보의 처리에 해당하지 않거나 범죄경력에 관한 개인정보의 처리를 포함

하지 않아 정보주체인 자연인의 권리와 자유에 위험을 줄 것 같지 않은 경우나 컨트롤러가 공공당국

이나 기관인 경우 대리인 지정 의무에서 제외될 수 있음)

bull 개인정보보호책임자(DPO Data Protection Officer)의 지정 컨트롤러프로세서의 개인정보 처리활동

전반에 관해 자문 역할을 하는 전문가로 조직의 관리 체계 구축임직원 교육감독기구와의 의사소통

등의 역할을 수행함 다음의 경우에 컨트롤러프로세서는 DPO를 필수로 지정하여야 함

- 기업의 핵심 활동이 대규모 민감정보 처리를 포함하는 경우

- 기업의 핵심 활동이 개인에 대한 대규모의 정기적이고 체계적인 모니터링을 포함하는 경우

- 정부부처 및 관련기관의 경우(법원 제외)

bull 개인정보영향평가(DPIA)의 시행 DPIA는 개인정보에 대한 위험을 측정 분석 평가하여 개인정보보호

대책을 사전에 수립하는 프로세스로 개인정보의 처리가 새로운 기술을 사용하고 그 처리 유형이

정보주체의 권리 middot 자유에 높은 위험(high risk)을 야기할 가능성이 있는 경우 lsquo데이터보호영향평가

(Data protection Impact Assessment)rsquo의 실시를 의무화하고 있음(제35조) 또한 인식된 위험에 대한

경감 대책 및 보호 조치를 검토한 결과 충분한 위험을 낮출 수 없다고 예상되는 경우 취급을 시작하기

전에 감독기관과 협의를 하여야 함(제36조)

- GDPR는 다음의 경우 등에 DPIA를 실시 할 것을 요구하고 있음

프로파일링 등의 자동화 처리에 근거한 개인적 측면에 대한 체계적이며 광범위한 평가(해당 평가에

근거한 결정이 해당 개인에게 법적 효력을 미치거나 이와 유사하게 개인에게 중대한 영향을 미치는 경우)

ldquo특별한 범주의 개인 데이터(인종 정치 병력 등)rdquo의 대규모 처리 또는 범죄경력 및 범죄 행위에

관련된 개인정보의 처리

대규모로 행해지는 공공장소에서의 모니터링

- 고위험의 처리 활동이 개시되기 전( 위험변화 있을 때 또는 3년마다 업데이트 필요)

- 처리 작업이 자연인의 권리와 자유에 높은 위험을 초래할 경우 이 EU 규정을 더욱 엄격하게 준수하기 위해

컨트롤러는 DPIA를 실시하고 특히 그 위험의 기원 성격 특수성 중대성을 평가하는 책임을 가져야 함


23

그림 2 _ 개인정보 처리 시 높은 위험의 판단 기준

[출처] 우리 기업을 위한 유럽 일반 개인정보보호법(GDPR) 가이드북 136~139면 참조

bull 개인정보처리활동기록의무 기업의 종업원 수 250명 이상의 기업에 한하여 개인정보 처리 활동을

의무적으로 문서화하고 보유하도록 규정(자세한 사항은 lt표2gt참조)

표 2 _ 개인정보 처리 활동의 기록 내용

컨트롤러와 그 대리인의 경우 프로세서와 그 대리인의 경우

① 컨트롤러와 공동 컨트롤러 컨트롤러의 대리인 및 DPO의

이름과 연락처

① 프로세서(들)와 프로세서가 대행하는 각 컨트롤러 및

컨프롤러middot프로세서의 대리인 DPO의 이름과 연락처

② 처리의 목적 ② 각 컨트롤러를 대신하여 수행되는 처리의 범주

③ 정보주체의 범주 및 개인정보 범주에 대한 설명

④ (해당되는 경우) 제3국 또는 국제기구로의 개인정보

이전의 경우 이전 방식에 대한 적절한 보호조치

③ (해당되는 경우) 제3국 또는 국제기구로의 개인정보


⑤ (가능한 경우) 보유기간(the envisaged time limits for

erasure of the different categories of data)

⑥ (가능한 경우) 제32조의 제1항에 언급된 기술적middot관리적

보호 조치에 대한 일방적인 설명

④ (가능한 경우) 제32조의 제1항에 언급된 기술적middot관리적


[출처] 우리 기업을 위한 유럽 일반 개인정보보호법(GDPR) 가이드북 114면


24

bull 개인정보보호적용설계(Data protection by design and by default) 처리수단의 결정 시점과 처리

당시 시점에서 개인정보보호의 원칙을 적용하는 데 의의가 있음(제25조) 컨트롤러는 최신기술

실행비용 개인정보 처리의 성격과 범위 상황 목적 개인정보 처리로 인해 개인의 권리와 자유에

대하여 발생할 수 있는 변경 가능성 중대성 및 위험성을 고려하여 적절한 기술적middot관리적 조치를 취해야 하고

이러한 조치는 개인정보 처리의 최소화 정보주체의 권리 보장(통제권 등) 가명처리 등이 해당됨(전문 제78항)

bull 민감데이터와 아동 개인정보의 보다 강한 보호조치 민감정보와 아동에 대한 개인정보의 처리시

보다 강한 보호조치를 준수토록 함

- 민감정보 인종middot민족 정치적 견해 종교적middot철학적 신념 노동조합의 가입 여부를 나타내는 개인정보의

처리와 유전자 정보개인을 고유하게 식별할 수 있는 생체정보건강 정보 성생활middot성적 취향에 관한

정보를 처리는 금지되며 정보주체의 명시적 동의가 있는 경우 처리 가능

- 아동정보 만 16세 미만의 아동에 대한 온라인 서비스 제공시 lsquo아동의 친권을 보유한 자rsquo의 동의

필요(회원국 별로 만 13세 미만까지 별도 규정 가능)

bull 정보주체의 권리 강화 처리제한권(신설)정보이동권(신설) 삭제권(강화)프로파일링을 포함한 자동

화된 결정 제한권(강화)

bull 개인정보침해사고 신고통지의무 기업은 GDPR에 따라 침해사고 발생 시 감독기구에 신고(72시간

내 신고 72시간 초과 시 지체이유 및 통지)하고 정보주체에게 통지해야 하는 개인정보 침해 유형을

파악하고 신고통지시기 방법 내용 등에 관한 내부절차를 사전에 마련하여야 함

bull 과징금 GDPR에 규정된 과징금 액수는 최대 한도의 과징금을 말하며 구체적 위반 사항별 과징금

액수는 위반의 성격 중대성 의도성 태만 여부 피해경감 노력 등 11가지 기준에 따라 실제 부과될

과징금 금액 산정(자세한 사항은 우리 기업을 위한 유럽 일반 개인정보보호법(GDPR) 가이드북참조)

그림 3 _ GDPR에서의 법위반시 과징금

위 과징금은 최대 한도의 부과 금액을 말하여 실제 부과 금액은 위반 내용 피해경감 노력 등을 종합 검토하여 결정됨

구분 과징금 내용

일반적 위반사항전 세계 매출액 2 또는 1천만 유로(약 125억원) 중 높은 금액

- 대리인 미지정 위반 유출 통지 위반 개인정보처리활동 기록 위반 등

중요한 위반 사항 전 세계 매출액 4 또는 2천만 유로(약 250억원) 중 높은 금액

- 국외 이전 규정 위반 개인정보 처리 기본 원칙 위반 정보 주체의 권리 보장 의무 위반 등


25

EU의 GDPR의 시행에 따른 국내 법제의 변화 EU 개인정보보호 적정성 평가와 연계

개인정보 처리의 가명처리 방식 도입 가능성

bull EU의 GPDR은 가명처리(pseudonymisation)는 재식별이 가능하기 때문에 개인정보로 분류되며 익명

정보는 개인정보로 보지 않음

가명화는 식별 가능한 데이터를 가역적이고 일관된 값으로 대체하는 방법이며 익명화

(anonymisation)는 식별 가능한 데이터의 파기를 의미함 데이터의 익명처리 여부는 ⅰ) 연결가능성

ⅱ) 추론가능성 ⅲ) Singling out 여부를 모두 평가하여 결정하며 익명정보(예 통계목적 또는

연구목적 등을 위한 익명정보의 처리)는 GDPR의 적용을 받지 아니함(GDPR 전문 제26항)

bull 가명처리(pseudonymisation)는 개인정보의 처리 시 위험성을 감소시키는 조치 중 하나로 EU의 GPDR은

개인정보의 처리 시 가명처리(pseudonymisation)를 활용할 경우 컨트롤러에 대한 요구사항이 완화되는

등의 인센티브 기대 가능

12 적정성 승인을 위해서는 실체적 판단 기준으로 lsquoGDPR의 7원칙 준수와 더불어 민감정보처리제한 직접 마케팅처리제한 개인에 대한 자동화된 의사결정 제한(현재 이 부분 미흡)의 준수여부rsquo가 있으며 절차적 판단기준으로 lsquo보호원칙 준수를 위한 절차적 체계마련 및 정보주체 권리행사 지원보호절차 마련 보호원칙 미준수시 피해구제절차 마련rsquo 등이 있음

EU의 적정성 평가 개인정보의 역외 이전과 관련해 EU의 GDPR의 요구수준12으로 개인정보가

보호되고 있는지를 평가하는 제도

bull EU의 집행위원회로부터 적정성 승인(adequacy decision)을 받은 국가(일명 whitelist)는 부가적인

안전조치 없이 EU회원국으로부터 개인정보의 이전이 가능함

bull 현재 우리나라 기업은 개인정보의 EU 역외 이전을 위해서는 아래와 같은 조치 중 하나를 취해야 함(GDPR

제44조 제45조)

- 구속력 있는 기업 규칙(Binding Corporate Rules BCRs)

- 표준 개인정보보호 조항에 의거한 개인정보 이전 계약(Standard Data Protection Clauses)

- 승인된 행동규약(code of conduct) 및 인증제도(certification)

- 정보주체가 명시적으로 동의한 경우

- 중요한 공익상의 이유 등

bull 현재 정보통신망법을 중심으로 부분 적정성 평가가 진행 중(「정보통신망법」을 중심으로 법 변화가 이뤄질

가능성이 있지만 향후 「개인정보보호법」에 규정된 영향평가제도와 개인정보책임자의 자질 및 지위의 변화

정보주체의 권리보장 방안 등을 고려할 때 일반법인 「개인정보보호법」의 변화 가능성 내재)


26

- 예 1) 전문 제29항 가명처리에 의한 일반적인 분석을 허용하되 특정 정보주체의 개인정보와 연결되는

추가적 정보의 별도 보관을 위한 기술적관리적 조치를 취할 때 ldquo가명처리rdquo를 통한 인센티브 고려

가능 규정

- 예 2) GDPR 제25조의 ldquoData protection by design and by default(개인정보보호적용설계)rdquo 개인정보의

처리방법 결정 시점 및 처리 당시 시점에서 ldquo가명처리rdquo를 포함한 안전조치를 취하도록 규정

bull 우리나라의 현행 lsquo개인정보보호법rsquo은 개인정보의 가명처리에 대한 명시적 규정을 두고 있지 아니함

- 다만 lsquo개인정보의 목적 외 이용middot제공 제한rsquo을 규정한 lsquo개인정보보호법rsquo 제18조 제2항은 lsquo개인정보

처리자에게 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 특정 요건

(민간 같은 법 제18조제2항 1~4호 공공기관 같은 법 제18조제2항1~9호)에 부합할 경우 개인정보를

목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있음을 규정

- 이 중 같은 법 제18조제2항4호의 경우 ldquo통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서

특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우rdquo에는 목적외 이용 및 제3자 제공이

가능하도록 규정하고 있음

- 이 규정이 ldquo개인을 알아볼 수 없는 형태rdquo로 제공이 된다는 점에서 비식별화(de-identification)를 거친

정보에 대해 가명정보의 처리로 볼 것인지 익명정보의 처리로 볼 것인지에 대한 논란이 있음

예) 빅데이터의 원활한 처리 등을 위해 정부 6개 부처 합동으로 2016 6 30 ｢개인정보 비식별 조치

가이드라인｣을 발표하여 이 가이드라인에 따른 적정성 평가를 받은 정보의 경우 그 처리가 가능

하도록 하는 절차를 마련하였으나 재식별의 가능성으로 인해 2017년 11월 시민단체들이 개인

정보 비식별 전문기관과 20개 기업을 검찰에 고발한 바 있음

- 이 규정을 가명정보의 처리 가능성에 대한 근거로 볼 경우 EU의 GDPR과 비교할 때 처리 목적의

허용범위가 GDPR보다 좁다할 것이며 가명정보의 처리에 관한 개인정보처리자에 대한 인센티브

규정도 존재하지 아니함

- 또한 이 규정을 익명정보의 처리 가능성에 대한 근거로 볼 경우 GDPR은 익명정보에 대한 GDPR의

개인정보보호원칙이 적용되지 않음을 명시하고 있어 해당 법 규정의 해석에 혼란이 발생할 수 있음

bull EU의 GDPR이 GDPR을 준수한 기업에게 정보의 자유로운 이동을 보장한다는 점에서 제4차 산업혁명

시대에 대처하기 위한 방안으로 현행 법제에 EU의 GDPR에 규정된 개인정보 처리의 가명처리 방식

도입 가능성 농후 일본의 개인정보보호법은 lsquo익명가공정보13(제2조 제9호)rsquo의 개념을 도입해 빅데

이터처리에 활용될 수 있도록 하는 조처를 하고 있음

13 이 법에서 lsquo익명가공정보rsquo란 다음 각 호의 개인정보 구분에 따라 해당 각 호에 정하는 조치를 취해 특정 개인을 식별할 수 없도록 개인정보를 가공해서 얻은 개인에 관한 정보로 해당 개인정보를 복원할 수 없도록 한 것을 말함


27

정보주체의 권리보장 방안 확대 가능성

bull EU의 GDPR이 자연인에 관한 기본권과 자유(특히 개인정보 보호에 대한 권리) 보호(제1조제2항)를 제정 목적

으로 규정할 만큼 신기술의 개발에 따른 정보주체의 자유와 권리 보장을 위한 방안을 강화해 운영하고 있음

bull 우리나라의 현행 lsquo개인정보보호법rsquo과 EU의 GDPR에서의 정보주체 권리 보장 방안을 비교하면 lt표3gt과 같음

표 3 _ EU의 GDPR과 현행 개인정보보호법상의 정보주체 권리보장 비교

bull lt표3gt에서 GDPR의 정보주체의 권리보장을 위한 lsquo정정권(right of rectification)삭제권(잊힐 권리 right

of erasure right to be forgotten)처리에 대한 제한권(right to restriction of processing)rsquo의 경우

개인정보를 제공 받은 각 수령인에게 통지의무가 있음(제19조) 단 통지가 불가능하다고 입증되거나

과도한 노력을 수반하는 경우에는 예외

EU의 GDPR 현행 개인정보보호법 비고

정보를 제공받을 권리(right to be informed)

명시적 규정 없음(개별법조문에 흩어져 있는

방식으로 일부 존재)

- GDPR의 정보를 제공받을 권리는 추가적인 정보 취득 시 추가정보 제공의무 有

- (해당되는 경우) 언제라도 동의를 철회할 수 있는 권리 프로파일링 등 자동화된 결정의 존재 및 결정방식등과 그 중요성 및 영향 고지의무 감독기구 등에 불만을 신청할 수 있는 권리 등 존재

정보주체의 열람권(right of access by the data subject)

개인정보의 열람권(법 제35조)

- GDPR의 열람권은 컨트롤러에게 잠재적 요청에 대비라는 목적(유일한 목적)으로 개인정보 보관할 수 없도록 하고 있으며 컨트롤러는 열람 요구에 대해 처리중인 개인 데이터의 사본을 무상 제공할 의무 有

정정권(right of rectification)

개인정보의 정정middot삭제(법 제36조)

- GDPR의 삭제권이 현행 개인정보의 삭제권보다 삭제거부사유가 넓음

- 표현 및 정보의 자유에 관한 권리행사 공적 업무 수행 등 법적 의무 이행 공익을 위한 보건목적공공기록보관 과학 및 역사적 연구 또는 통계목적 법적 청구권행사나 방어 등에서 폭넓게 보장됨

삭제권(잊힐 권리 right of erasure

right to be forgotten)

처리에 대한 제한권 (right to restriction of processing)

개인정보의 처리정지권 (법 제37조)

- 정보주체가 자신의 정보에 대해 개인정보처리자에게 해당정보의 정확성에 대해 이의 제기하거나 처리가 불법적이지만 해당 개인정보에 삭제를 원하는 대신 이용제한을 요청한 경우 개인정보의 처리가 더 이상 필요하지는 않지만 정보주체의 법적 청구권 행사나 방어를 위해 그 정보를 요구하는 경우 등 개인정보처리자의 처리를 제한 할 수 있도록 하는 권리로 우리나라의 처리정지권보다 폭넓은 권리

- 처리 제한을 해제하는 경우 그 사실을 정보주체에 고지 필요

데이터 이동권(right to data portability)

규정 없음

- GDPR상의 데이터 이동권은 처리가 자동화된 수단에 의해 수행되는 것을 전제로 정보주체에게 선택권이 있어 정보주체가 주도적으로 자신의 정보를 제3자에게 제공해 줄 것을 요청할 수 있다는 점에서 차이가 있음

반대권(right to object) 규정 없음- GDPR상의 반대권은 정보주체가 자신의 ldquo특수한 상황rdquo에

근거하여 개인정보의 처리에 반대할 수 있는 권리로 정보주체의 권리보장 영역이 현행법에 비해 넓음

프로파일링을 포함한 자동화된 의사결정 관련 권리

(right to related to automated decision making and profiling)

규정 없음

- GDPR상의 프로파일링을 포함한 자동화된 개인정보의 처리가 정보주체 자신에게 법적 효력 또는 이와 유사한 효력을 초래하여 자신에게 중대한 영향을 끼치게 되는 경우 그러한 의사결정의 적용을 배제할 수 있는 권리


28

bull lt표3gt에서 파악할 수 있는 바와 같이 현행 개인정보보호법제는 lsquo데이터 이동권(right to data

portability)반대권(right to object)프로파일링을 포함한 자동화된 의사결정 관련 권리(right to

related to automated decision making and profiling)rsquo에 관한 규정이 없으며 정보를 제공받을 권리

(right to be informed)도 명시적 규정이 존재하지 아니함

bull EU의 GDPR은 lt그림3gt의 개인정보처리 원칙이 보장되는 범위 내에서 적법성(동의계약이행법적

의무준수 등)을 갖추고 정보주체의 권리가 보장될 수 있도록 하여야 한다는 점은 우리나라의 현행법

제와 비교해 유사점이 있으나 lt표3gt에서 파악할 수 있는 바와 같이 정보주체의 권리보장 영역의

확대 필요(정보주체의 권리보장은 제4차 산업혁명 시대에 대응하며 발생할 수 있는 정보주체의 권

리 침해를 예방하고 원활한 정보의 유통을 제고하는 효과를 가져다 줄 수 있다는 점에서 GDPR에서의

정보주체 권리보장 방안의 도입 필요)

그림 3 _ EU의 GDPR 개인정보처리 7원칙

개인정보를 처리할 때 준수하여야 하는 7가지 기본 원칙

1 적법성공정성투명성의 원칙정보주체의 개인정보는 적법하고 공정하며 투명한 방식으로 처리되어야 하며 투명성은 개인정보를 처리하는 일련의 행위에서 정보주체에게 이해하기 용이하고 접근하기 쉬운 공개된 방식으로 처리 행위를 입증하는 것을 뜻함

2 목적 제한의 원칙구체적middot명시적이며 적법한 목적을 위하여 개인정보를 수집하여야 하며 해당 목적과 부합하지 않는 방식의 추가 처리는 허용되지 않음

3 개인정보처리의 최소화 원칙개인정보의 처리는 적절하며 관련성이 있고 그 처리 목적을 위하여 필요한 범위로 한정되어야 함

4 정확성의 원칙개인정보의 처리는 정확하여야 하며 필요 시 처리되는 정보는 최신으로 유지되어야 하며 처리 목적에 비추어 부정확한 정보의 즉각적인 삭제 또는 정정을 보장하기 위한 모든 합리적 조치가 취해져야 함

5 보유 기간 제한의 원칙개인정보는 처리 목적상 필요한 경우에 한하여 정보주체를 식별할 수 있는 형태로 보유되어야 하며 정보주체를 식별할 수 있는 개인정보는 처리 목적상 필요한 경우에 한하여 보유되어야 함

6 무결성과 기밀성의 원칙개인정보는 적절한 기술적middot관리적 조치를 통하여 권한 없는 처리 불법적 처리 및 우발적 손middot망실 파괴 또는 손상에 대비한 보호 등 적절한 보안을 보장하는 방식으로 처리되어야 함

7 책임성의 원칙컨트롤러는 위의 원칙을 준수할 책임을 지며 이를 입증할 수 있어야 함

공정성투명성의 원칙(1원칙)과 보유기간 제한의 원칙(5원칙)은 우리나라 법제에는 원칙규정(개인정보보호법 제3조)에는

없지만 개별규정에서 구현되어 있음

[출처] 우리 기업을 위한 lsquo유럽 일반 개인정보보호법(GDPR) 가이드북 42~44쪽 참조


29

개인정보보호책임자의 역량과 책임의 범위 변화 가능성

bull EU의 GDPR은 DPO의 지정 시 DPO의 자질과 역량에 초점을 둔 반면 우리나라의 개인정보보호법은

책임을 질수 있는 일정지위를 갖춘 자여야 함

표 4 _ GDPR의 DPO와 현행 개인정보보호법의 CPO 비교

bull 현재 우리나라의 CPO는 책임성에 방점을 두다보니 직원의 인사 등과 연계되어 개인정보업무가 기피

대상으로 전락하고 있으며 CPO가 관심이 부족할 경우 제대로 된 개인정보법제의 준수가 이뤄지지

않을 가능성 농후한 것이 현실

bull EU의 GDPR에서와 같이 개인정보보호책임자의 업무독립성 제고와 최고 경영진의 직접 보고 권한 부여

및 책임의 범위에 대한 조정 등 개인정보보호책임자의 지위와 역량 및 책임의 범위 등에 대한 변화 가능

개인정보영향평가의 적용 대상과 범위의 확대 가능성

bull PIA(Privacy Impact Assessment)의 경우 우리나라법제가 2011년도부터 도입한 제도로 EU의 GDPR보

다 앞서 시행되었다는 특징 및 그에 따른 노하우 습득 등 장점 존재

bull 다만 EU의 GDPR은 공공과 민간의 구분 없이 일정한 요건을 갖춘 경우 DPIA(Data Protection Impact

Assessment) 실시를 의무로 규정한 반면 우리나라의 개인정보보호법은 공공기관은 의무사항이나 민간은

권고수준으로 이원화된 운영체계

구분 EU의 GDPR 현행 개인정보보호법

자격요건 GDPR 및 법률 등에 대한 전문지식과 개인정보처리작업이해 정보기술 및 보안 이해 기업(조직)에 대한 지식과 감독당국 및 이해관계자와의 소통의 기술이 필요

3급 또는 4급 등 일정한 지위의 공무원 또는 사업주 대표자 임원 등으로 책임을 질수 있는 일정지위를 갖춘 자

지정범위 내부 직원이거나 외부인이 될 수 있음 내부 직원이어야 함 외부인 x

업무범위

컨트롤러나 프로세서 데이터처리를 수행하는 해당 직원에게 GDPR과 EU 또는 회원국의 개인정보보호 규정에 따른 의무에 대하여 고지하고 조언 GDPR과 EU 또는 회원국의 개인정보보호 규정에 대한 컨트롤러 또는 프로세서의 정책준수 여부를 모니터링(직원 교육과 감시 활동포함)요청 시 DPIA 자문제공과 평가이행상황 감시 감독기구와의 협력사전협의 등 처리에 관련된 사항에 대한 감독기구의 연락처 역할 수행 적절한 경우에는 기타 사안에 대한 자문 제공

개인정보 보호 계획의 수립 및 시행 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 개인정보 처리와 관련한 불만의 처리 및 피해 구제개인정보 유출 및 오용middot남용 방지를 위한 내부통제시스템의 구축 개인정보 보호 교육 계획의 수립 및 시행개인정보파일의 보호 및 관리middot감독그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무

독립성- DPO는 기업으로부터 업무상 지시를 받지 않음- 최고 경영진에게 직접 보고할 수 있는 권한이 보장되어야 함

- 지위 독립성에 관한 명시적 규정 없음(단 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 됨)

- 최고 경영진에게 직접 보고 권한에 관한 규정 없음

법위반시 책임여부

미준수에 따른 DPO개인의 책임 없음(컨트롤러의 책임) 책임의 주체에 CPO 포함


30

bull 적용 의무 대상의 민간영역으로의 확대 향후 EU의 적정성 평가를 위해 일정한 요건에 해당한 민간

개인정보처리자의 경우 영향평가수행의무 부과 필요

bull 적용 범위의 양적질적 기준 강화 lt표5gt에서 확인할 수 있는 바와 같이 영향평가의 적용범위가

우리나라 개인정보보호법에 비해 EU의 GDPR이 질적양적 기준에서 보다 세분화되어 있으며 그

적용범위가 넓다는 점에서 우리나라 개인정보보호법도 그 적용범위를 세분화하고 넓힐 필요성 증대

그림 4 _ PIA의 일반적인 운영 구조

현행 국내 PIA법제는 예비PIA제도 및 PIA 보고서 공개 제도 부재

예비PIA는 위험도 분석이 목적이므로 평가범위는 양적 질적 범위 모두 포함

개인정보보호프레임워크와

평가를 바탕으로 시스템 설계

사양을 검토하고 기술적으로

개인정보보호 문제 해결 도모

개인정보보호프레임워크를

바탕으로 시스템의 데이터 흐름

분석 및 평가 시트 등을 이용해

개인정보영향 분석 실시

법률middot지침middot규칙middot계약상 의무 기존의

정책 등을 바탕으로 개인정보보호의

적정성 및 PIA 필요성 검토

이행단계영향평가 수행 단계

영향평가사 전문적 단계

예비PIA PIA

개인정보파일 또는 대상 시스템이 PIA

실시를 필요로 하는지 여부를 판단하는

예비PIA 실시

개인정보파일 또는 대상 시스템의 운용

등에 따른 개인의 프라이버시 보호에

대한 영향 및 부작용을 완화 또는

방지하는 방법을 결정하는 프로세스

표 5 _국내 PIA와 GDPR의 DPIA 비교

구분 GDPR의 DPIA 개인정보보호법의 PIA

대상 공공기관과 민간 등 컨트롤러(프로세서의 협조) 의무 공공기관 권고 민간 개인정보처리자

대상

데이터 처리 대상에 대한 높은 위험도를 초래하는 새로운 처리 활동이 제안된 경우(특히 신기술이 사용될 경우) 아래의 요건에 해당할 때 영향평가를 실시토록 의무화 - 정보주체의 체계적이며 광범위한 평가 또는 평점(예 직장

에서의 업무수행 건강 행동 등)- 자동화된 의사 결정(예 자동거부)- 정기적이고 체계적인 모니터링(특히 은밀한 모니터링 예

1 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일 구축 middot 운용 또는 변경하려는 개인정보파일에 5만명 이상의 정보주체에 관한 개인정보가 포함된 경우

2 다른 개인정보파일과 연계하려는 경우 해당 공공기관 내부 또는 외부에서 구축 middot 운용하고 있는 다른 개인정보파일과 연계한 결과 50만명 이상의 정보주체에 관한 개인정보가 포함된 경우


31

bull ldquoprivacy by designrdquo을 위한 PIA의 실효성 확보방안 구현으로 변화 GDPR 제25조의 ldquoData protection

by design and by default(개인정보보호적용설계)rdquo에 따라 사전에 영향평가를 실시토록 하고 있다는

점에서 우리나라의 영향평가도 ldquoprivacy by designrdquo의 구현을 통한 PIA의 실효성 확보를 위한 방향

(예 예비PIA 도입 등)으로 변화 예상

bull PIA보고서의 공개로 전환 우리나라의 현행법에는 없지만 개인정보의 투명성 제고와 정보주체로부터의

신뢰성 제고를 위해 PIA의 결과보고서의 일부나 전부에 대한 공개로의 전환 가능

기업의 책임성 강화를 통한 개인정보 처리 문화 변화 개인정보관리체계 향상 및 보안체계 향상

표 6 _ GDPR의 시행에 따른 기업의 SWAT 분석

모바일 앱을 통한 위치추적 고객보상 프로그램 행동양식에 따른 광고 웨어러블 디바이스를 통한 건강 신체 및 의료 개인정보의 모니터링 등)

- 민감한 개인데이터처리 또는 범죄경력 및 범죄행위에 관한 처리- 대규모로 행해지는 공공장소에서의 모니터링- 대규모의 처리(예행동양식에 따른 맞춤형 광고를 위한 검색엔진의 개인정보처리 전화 또는 인터넷 서비스 제공업체의 콘텐츠 트래픽 위치 등 개인정보 처리)

- 별도의 데이터 세트를 결합하거나 매칭하는 것 - 취약한 개인에게 영향을 미치는 처리- 처리 자체가 정보주체의 서비스 이용 또는 계약을 방해하는 경우- 시험되지 않은 기술을 사용한 처리(사용 또는 적용)- 국경 간 데이터 전송

3 일반적인 개인정보 파일 구축 middot 운용 또는 변경하려는 개인정보파일에 100만명 이상의 정보주체에 관한 개인정보가 포함된 경우

4 영향평가를 받은 후 개인정보 검색 체계 등 개인정보파일의 운용 체계를 변경하려는 경우 해당 개인정보파일 중 변경된 부분

PIA보고서 공개

공개토록 함(의무는 아님) 공개 규정 없음

강점(Strength) 약점(Weakness) 기회(Opportunity) 위협 (Threat)

EU의 GDPR은 현행 개인정보

보호법제와 큰 틀에서는 비슷한

보호법제를 가지고 있음

현행 개인정보보호법제를 준수

하였다면 적법절차의 원칙

목적 제한의 원칙 등 법 제3조에

근거한 적절한 조치를 하고 있

으므로 GDPR의 차이점을

구별해 별도 대응조치를 하면 됨

향후 EU의 적정성 승인을 받게

되면 우리나라의 개인정보보호

법제의 준수만으로도 유럽진출

및 개인정보처리 가능

현행 개인정보보법이 공공

기관을 대상으로 한 의무규정이

많고 개인정보의 수준진단 평가를

통해 개인정보보호법제의 준수

토록한 반면 민간은 권고사항이

많아 GDPR의 준수사항에 맞추

려면 새로 시도하는 정책이 많음

적법성검토 7가지 처리원칙

준수 조직체계 구성 기록관리

투명성이 보장된 능동적 동의

절차 준수 DPIA의 실시 GDPR의

준수 입증기록 보관 문서관리

(보존 이력관리 등) 정보주체의

권리보장(강화 또는 신설) 등은

별도의 대비가 필요함

적법투명공정한 개인정보의

처리와 정보주체의 권리보장

PIA의 실시 등을 통해 정보

주체의 신뢰성 제고 효과

정보주체의 신뢰성을 높이고

효과적인 개인정보의 이동이

보장된다는 점에서 빅데이터

IOT 등 신기술 개발에 주력할

기업에게는 다양한 개인정보

처리의 기회제고 효과

기존의 개인정보처리에 대한

효율성 제고 및 PIA의 실시에

따른 체계적이고 효과적인 개인

정보 처리로 예산낭비 방지 효과

기업의 이미지 제고 효과

EU 역외 이전에 따른 준비를

위한 고비용 부담

높은 과징금에 따른 위협존재

GPDR의 회원국별 opening

조항의 존재로 보다 구체적

사항에 대한 준수 시(예 미성

년자 연령 DPO이 지정 시 세부

기준 등) 그 적용 범위와 내용에

대한 불확실성 내재

정보주체가 감독기구 등에 불만을

신청할 수 있는 권리 등의 존

재로 이의제기 등 대상 가능성에

대한 불안 가중 GDPR시행

하루만에 구글 페북 인스타그램

등 피소 이의제기 건수 1300건

이상 접수 등의 뉴스 보도 有


32

민간분야(기업)의 개인정보 관리 체계 변화 가능성

bull EU의 GPDR은 현행 개인정보보호법제에서와 유사한 개인정보보호 관리체계형성 및 유지를 요구하고

있음(예 내부관리계획의 수립시행 경영진의 참여 및 DPO의 지정 위탁계약서의 작성관리 및 내외부

조직 등 조직체계 형성 등)

bull 기업은 국내 법제와 비교해 차이점을 구별하고 이에 따른 개인정보처리에 보다 능동적이고 체계적이며

효과적으로 대응할 수 있는 관리체계를 구축할 필요성 有

bull 지침과 절차 등의 정책관리와 개인정보취급자의 교육 및 훈련 컨트롤러에 대한 위탁관리 침해사고

예방 및 사고 발생 시 절차 마련 등을 통한 개인정보취급자의 관리적 조치 마련을 통한 기업의 책임성

제고 효과 기대

민간분야(기업)의 공정하고 적법하며 효율적인 개인정보 처리절차 마련에 기여

bull EU의 역외 이전은 EU의 집행위원회로부터 적정성 승인을 받기 전까지 ⅰ)구속력 있는 기업 규칙

(Binding Corporate Rules BCRs) ⅱ)표준 개인정보보호 조항에 의거한 개인정보 이전 계약(Standard

Data Protection Clauses) ⅲ) 승인된 행동규약(code of conduct) 및 인증제도(certification) ⅳ) 정보

주체가 명시적으로 동의한 경우 등이 아니면 그 처리가 제한된다는 점에서 정보주체의 명시적 동의를

받기 위한 절차의 마련(단 같은 방식으로 철회도 가능토록 하는 절차 마련 필요) 및 EU의 개인정보처리

7원칙의 준수 등을 위한 적법한 개인정보의 처리 및 안전성 확보조치 필요

기업의 책임성의 원칙 준수에 따른 기록 관리 필요성 증대

bull 입증책임이 컨트롤러와 프로세서에게 있다는 점에서 기업의 책임성 원칙에 근거한 처리활동 기록보관

및 GDPR준수에 관한 입증기록 보관 처리단계별 문서관리(보존 파기이력 등의 관리) 등의 조치사항

이행 필요

GDPR의 시행과 맞물린 국내 법정책의 변화로 빅데이터middotAI 블록체인 등 신기술 도입을 준비하는 기업에

대한 개인정보 처리의 기회 증대 가능

新산업군 형성 가능성

bull DPO 업무와 대리인의 업무를 대행해주는 전문 업체의 출현 예상

bull 책임성 보장을 위한 문서관리만을 위탁받는 업체 시장의 활성화 예상

bull 위험도 분석 등의 전문업체 및 안전성 확보를 위한 보안 전문 대행업체 시장의 활성화 예상

bull 전문 개인정보보호 컨설팅 업체 출현 및 이에 따른 전문 보험 상품 출시 가능

bull 인증제도 관련 산업 활성화 예상


33

정보주체의 참여 확대 및 자유와 권리 보장 강화에 기여

정보주체의 참여 확대를 통한 프라이버시 통제권 강화

bull EU의 GDPR에서의 정보주체 권리보장을 위한 lsquo데이터 이동권(right to data portability)반대권(right

to object)프로파일링을 포함한 자동화된 의사결정 관련 권리(right to related to automated

decision making and profiling) 정보를 제공받을 권리(right to be informed)rsquo에 관한 규정의 준수로

정보주체의 신기술에 따른 개인정보의 처리과정에의 참여 기회 확대에 기여

신기술의 개발의 활성화와 침해예방을 위한 정보주체의 자유와 권리 보장 강화에 기여

bull EU의 GDPR의 시행이 자연인에 관한 기본권과 자유(특히 개인정보 보호에 대한 권리) 보호(제1조제2항)

와 법 준수 시 EU 내에서의 개인정보의 자유로운 이동을 보장(제1조제3항)한다는 점에서 신기술의

개발에 따른 개인정보의 침해 위험을 감소시키고 필요한 경우 정보주체가 그 처리에 개입할 수 있도록

함으로써 궁극적으로 정보주체의 자유와 권리 보장에 기여

- 예 1) 명시적 동의를 받을 때 동의가 유효하기 위해서는 ⅰ) 자유(자유는 정보주체의 진정한 선택과

통제를 의미함)롭고 ⅱ) 구체적이고 ⅲ) 정보에 근거한 ⅳ) 분명한 의사표시가 있어야 함

- 예 2) 아동에게 제공하는 정보를 간결하고 투명하며 쉬운 언어로 작성해야 하며 동의를 받을 때

낮은 위험은 이메일을 통해 부모로서의 책임이 존재하는지 검증하면 되며 높은 위험은 보다 많은

증거요구를 통해 아동의 자유와 권리보장에 기여


34

블록체인의 이해와 바람직한 미래를 위한 제언

김승주 고려대학교 정보보호대학원 교수 (skimkoreaackr)

bull (現) 육군사관학교 초빙교수

bull (現) 한국카카오은행 정보보호 부문 자문교수

bull (現) (사)화이트해커연합 HARU 및 SECUINSIDE 설립자 및 이사

암호화폐 lsquo비트코인rsquo의 등장

bull 인터넷에서 물건을 구매할 경우 일반적으로 신용카드를 이용하고 있고 이 경우 우리가 어디서 무엇을

샀는지에 대한 내역이 고스란히 드러나게 돼 사생활 침해를 야기할 수 있음

bull 이러한 문제를 인식한 암호학자 데이비드 차움(David Chaum)은 1982년 ldquoBlind Signatures for

Untraceable Paymentsrdquo라는 논문을 통해 사이버 공간에서 현금처럼 사용할 수 있는 추적이 불가능한

암호화폐를 최초로 제안

그림 1 _ Blind Signatures for Untraceable Payments 논문

bull 그로부터 26년 후 사토시 나카모토(Satoshi Nakamoto)는 lsquo비트코인(Bitcoin)rsquo이라 불리는 신뢰

기관이 없는 탈(脫)중앙화 된 암호화폐를 발표

bull 2008년 미국발 금융위기를 겪은 사토시 나카모토는 자연스레 금융기관의 비대화권력화에 대해

반감을 갖게 되었으며 이로 인해 중앙의 은행 없이도 동작할 수 있는 탈중앙화 된 암호화폐 시스템을 개발


35

bull 일반적인 경우 사용자들의 모든 거래 정보는 금융사의 중앙 서버에 저장되고 관리되나 은행

없이 동작하는 비트코인의 경우 중앙에 서버가 없기 때문에 이를 대신할 매커니즘으로서

lsquo블록체인(blockchain)rsquo이라는 기술을 활용

비트코인의 기반기술 lsquo블록체인rsquo

bull 디지털이라는 속성상 암호화폐는 귀금속이나 실물화폐에 비해 불법 복제가 용이해 중복 사용

(double-spending)에 매우 취약하여 1000원 어치의 전자화폐를 가진 사람이 이를 복사해 2000원

또는 그 이상으로 만들어 사용하기가 쉬워 이를 해결하고자 데이비드 차움은 은행이 중복 사용을 감시토록 함

그림 2 _ 암호화폐의 동작 절차

① (인출 단계) 사용자는 은행에 일정 금액을 지불하고 그에 상응하는 암호화폐(일종의 싸이월드 lsquo도토리rsquo)를 발급

② (지불 단계) 사용자는 상점이나 전자상거래 사이트를 방문해 암호화폐로 물건을 구입

③~④ (예금 및 중복사용 감시 단계) 상점은 은행을 방문해 이 암호화폐를 다시 실물화폐로 환전하거나 예금하는데

이때 은행은 암호화폐에 적힌 일련번호를 확인해 이미 지급된 적이 있는지 여부를 따짐

bull 그러나 은행이 없는 블록체인에서는 비트코인을 이용하는 모든 사용자가 은행을 대신해 매시간 일어

나는 거래 내역을 관찰하고 이를 기록해 서로 공유14

bull 이때 만일 공유된 정보 중 서로 상충되는 거래 내역이 발견되면 구성원 대다수가 옳다고 동의한 것이

정당한 거래로 인정받고 또한 이렇게 공유된 정보는 모든 구성원들의 PC에 저장되기 때문에 투명하게

관리되며 사후에 이를 위∙변조하거나 삭제하려면 구성원 모두의 동의가 있어야 함

14 비트코인의 경우 10분 단위로 관찰한 거래 기록들을 파일로 만들어 공유함


36

bull 5명의 비트코인 사용자 A B C D E가 있다고 가정

① 사용자 A가 10분간 사용된 비트코인의 일련번호들을 모두 파일에15 기록해 다른 사용자들과

공유했다고 하자 이를 받은 B C D E는 수신한 파일에 기록돼 있는 사용 내역이 옳은지 검증한

후 옳다고 판단되면 이를 10분간 발생한 정당한 거래 장부로 인정하고 각자의 PC에 저장

그림 3 _ 블록체인의 동작 과정(15)

② 또 다시 10분이 지나 이번에는 사용자 B가 자신이 기록한 비트코인 이용 내역을 최초로 파일로

만들어 다른 사용자들과 공유 모두가 이를 옳다고 인정하면 B가 공유한 파일은 앞서 A가 공유했던

파일과 연결하고 이때 사용되는 것이 lsquo해시 함수(hash function)rsquo16라고 하는 암호기술인데 이를

이용해 두 개의 파일을 연결하고17 나면 파일에 기록된 정보들을 수정하거나 삭제하는 것은

불가능해짐 또한 연결된 두 개의 파일은 은행의 서버가 아닌 모든 구성원들의 PC에 저장되기 때문에

lsquo투명성(transparency)rsquo18과 lsquo가용성(availability)rsquo19이 보장

15 이를 일컬어 lsquo블록(block)rsquo이라고 하며 최초의 블록은 lsquo제네시스 블록(Genesis Block)rsquo이라고 불림16 임의의 길이를 갖는 데이터를 입력하여 고정된 길이의 압축된 해시값을 출력하는 함수 불가역적(不可逆的)인 특성이 있기

때문에 해시값에서 원문을 복원해 낼 수는 없고 또한 같은 해시값을 가진 다른 데이터를 찾아내는 것도 극히 어려움17 이를 일컬어 lsquo블록체인(blockchain)rsquo이라고 함 18 모든 파일에 대하여 모든 사용자가 동일한 방법으로 접근할 수 있는 것19 정보에 대해 24시간 365일 장애없이 접근 가능한 것


37


③ 다시 10분이 지난후 이번에는 거의 같은 시각에 사용자 C와 D가 각각 파일을 만들어 다른

사용자들과 공유함 C가 만들어 공유한 파일에는 10분간 9건의 비트코인 거래가 발생했다고 기록돼

있는 반면 D가 공유한 파일에는 10분간 총 10건의 거래가 발생했다고 되어 있음 즉 둘 중 하나에는

발생한 거래가 누락돼 있거나 실제로 발생하지 않은 거래가 발생했다고 허위로 기록돼 있는 것 일단

이 두 개의 파일 모두 앞서 B가 공유했던 파일에 연결돼 개인의 PC에 저장


④ 또 다시 10분이 지남 이번에는 사용자 E가 최초로 비트코인 사용 내역을 파일로 만들어 다른

이용자들과 공유 이때 E는 자신이 공유한 파일을 앞서 C가 만든 파일 뒤에 연결할지 아니면 D가

만든 파일과 연결할지 결정해야 함 이 예제에서는 사용자 E가 D가 만들었던 파일을 옳은 것으로

인정해 그 뒤에 자신의 파일을 연결하기로 했다고 가정


38


⑤ 10분이라는 시간이 반복해서 흐른다면 한참의 시간이 지난 후 파일들 즉 lsquo블록체인rsquo은 다음과 같은

형태를 띠게 됨 여기서 빨간색으로 둘러싸인 가장 긴 줄에 연결된 파일들이 구성원 대다수가 옳다고

인정한 비트코인 사용 내역들이며 중간에 연결이 중단된 보라색 파일들은 사장(死藏)된 즉 유효하지

않은 이용 내역이 됨

그림 7 _ 블록체인의 동작 과정 (55)

채굴이란 무엇인가

bull 인터넷상에서 이러한 lsquo자발적 합의(consensus)rsquo를 이루는 것은 쉽지 않으며 가짜 계정을 이용한 여론

조작에 취약 즉 불순한 의도를 가진 사용자가 허위로 여러 개의 ID를 만들어 틀린 블록을 옳다고

할 경우 제대로 된 중복 사용 감시가 어려워20 그림에서 해커는 혼자서 다수의 빨간색 블록들을 만든

20 lsquo드루킹rsquo 일당이 여러 개의 허위개정을 이용해 댓글을 조작한 경우를 생각할 것으로 이를 전문적인 용어로 lsquoSybil attacksrsquo이라고 함


39

후 이를 보라색 블록 뒤에 연결시키고 이러면 가장 긴 줄이 바뀌게 됨으로써 기존에 유효하지 않다고

판정됐던 비트코인 사용 내역들이 옳다고 인정받게 됨

그림 8 _ Sybil Attacks

bull 사토시 나카모토는 이러한 문제를 해결하기 위해 사용자들이 블록을 만들어 공유하고자 할 때마다

반드시 캡차(CAPTCHA)와 같은 복잡한 암호퍼즐을 풀도록 설계21 즉 가짜 계정을 만든 사람이

허위로 여러 사람인 것처럼 위장하기 위해서는 그만큼 여러 개의 암호퍼즐을 빠른 시간 안에 혼자서

풀어내야하므로 여론 조작이 어렵도록 한 것

bull 이렇게 해서 만들어진 블록의 실제 모습은 다음과 같은데 그림에서 각 블록은 고유의 일련번호를

갖고 있으며 직전 블록과 해쉬 함수를 통해 연결하고 또한 모든 블록은 10분간 발생한 비트코인

사용 내역 정보를 담고 있으며 맨 마지막에 암호퍼즐을 풀었다는 증거를 담고 있음

그림 9 _ 블록체인의 실제 모습

21 이를 일컬어 lsquo작업증명(Proof of Work)rsquo이라고 함


40

bull 두 번째 문제는 사용자들의 자발적인 참여를 유도하는 일이 생각만큼 쉽지 않다는 것인데 사토시는

이를 위해 옳은 블록을 제일 처음 만든 사람에게 일종의 보상으로서 비트코인을 제공22 ldquo비트코인과

블록체인은 기술적으로 분리할 수 없다rdquo는 말은 바로 여기서 기인한 것

bull 그러나 블록을 만들 때마다 계속해서 보상으로 비트코인을 지급할 경우 인플레이션(inflation

물가상승)에 빠질 수 있고 이러한 문제를 막기 위해 비트코인은 약 4년마다 보상액이 절반으로

떨어지도록 설계 즉 2009년 초기 보상액이 50 비트코인이었던 것이 2013년에는 25 비트코인

2016년에는 125 비트코인으로 계속해서 줄어듬

bull 이렇듯 끊임없이 반으로 줄어들게 되면 2140년경 약 2100만 개의 비트코인이 모두 생성되고 난

후부터는 더 이상 보상을 줄 수 없게 되고 사토시 나카모토는 이 경우 신용카드의 수수료를 떼어주듯

비트코인 사용 수수료를 통해 보상금을 충당할 수 있도록 함23

2세대 블록체인 lsquo이더리움rsquo

bull 흔히 2세대 블록체인이라 불리는 lsquo이더리움(Ethereum)rsquo은 2013년 당시 19세의 러시아 출신

캐나다인인 비탈릭 부테린(Vitalik Buterin)이 개발 그는 2013년 이더리움의 설계도에 해당하는

백서(white paper)를24 발간하고 2015년 이더리움을 일반에 공개25

bull 이더리움의 특징을 단 한마디로 표현하자면 월드 컴퓨터(The World Computer)로 비트코인이

블록체인에 암호화폐의 거래 내역만 저장하는 반면 이더리움은 블록체인 상에서 프로그램 코드가26

돌아가도록 만들어 바로 이러한 이유로 비트코인을 lsquo황금rsquo에 이더리움을 lsquo석유rsquo에 비유

bull 드루킹 일당이 고성능 서버를 구입해 댓글 조작을 위한 매크로 프로그램을 돌린다고 가정하는 경우

서버를 구매하려면 비용도 비용이거니와 이를 제대로 설치∙운영하는 일 또한 만만치 않으나

이더리움을 이용하면 간단

bull 우선 이더리움 블록체인 상에 매크로 프로그램을 등록(저장) 이 매크로 프로그램에는 일종의

현상금이 걸려 있어 이 프로그램을 대신 실행시켜 주는 이에게 보상으로 이더(Ether)라는 암호화폐를

지급할 수 있도록 되어 있고 일단 블록체인 상에 프로그램이 등록되면 원저작자라 해도 이를

수정하는 것은 원천적으로 불가능하며 등록된 프로그램은 모든 사용자에게 투명하게 공개

22 이를 일컬어 lsquo채굴(mining)rsquo이라고 함 23 ACM CCS 2016에서 Miles Carlsten 등은 이럴 경우 채굴에 대한 동기 부여가 약해져 비트코인 생태계가 불안정해 진다는

연구결과를 발표하기도 함 24 백서 제목은 차세대 스마트 계약 amp 분산 응용 애플리케이션 플랫폼(A Next-Generation Smart Contract and Decentralized

Application Platform)25 특히 2014년 겨울 비탈릭 부테린은 lt포브스gt와 lt타임gt이 공동 주관하는 월드 테크놀로지 어워드에서 마크 저커버그(Mark

Elliot Zuckerberg) 페이스북 창업자를 제치고 IT 소프트웨어 부문 수상자로 선정돼 전 세계에 파란을 일으키기도 함26 이 프로그램 코드를 일컬어 lsquo스마트 계약(Smart Contract)rsquo이라고 함


41

bull 이제 이더리움 사용자들 중 원하는 사람은 누구나 이 매크로 프로그램을 대신 실행시켜주고 이에

대한 보상을 받을 수 있으며 드루킹 일당은 더 이상 고성능 서버 때문에 고생하지 않아도 됨

그림 10 _ 이더리움과 스마트 계약

bull 대중에게 멀고 어렵게만 느껴졌던 블록체인 및 스마트 계약을 실생활에서 이용하는 방법을 훌륭하게

보여준 첫 사례가 바로 액시엄 젠(Axiom Zen) 회사의 lsquo크립토키티(CryptoKitties)rsquo라는 게임

- 2017년 11월에 출시돼 이더리움 네트워크를 마비시킬 정도로 선풍적 인기를 끌었던 크립토키티는

디지털 고양이를 수집하거나 교환할 수 있는 펫(pet) 수집middot육성 게임의 일종

- 암호화폐를 이용해 각자 고유한 유전자를 갖고 있는 고양이들을 사서 수집하고 서로 다른 종과

교배해 새로운 유전자를 지닌 종을 탄생시키면 됨

- 마음에 들지 않으면 팔고 원하는 고양이가 있다면 구매하여 블록체인 기술을 사용하므로 한 번 구매하면

각 고양이들은 게임 회사가 망하더라도 영원히 내 것이 되며 또 불법 복제나 위middot변조도 불가능

그림 11 _ 액시엄 젠(Axiom Zen)의 크립토키티(CryptoKitties)

bull 이러한 특징으로 인해 크립토키티 출시 이후 1만 달러 이상의 고양이가 100마리 이상 거래됐고 경제

규모는 4000천만 달러에 달하며 심지어 몇몇 이용자들은 10만 달러 이상의 고양이를 거래하기도 함(2018년

4월 기준)


42

블록체인 기술의 명(明)과 암(暗)

bull 당초 비트코인을 위한 기반기술로 고안된 블록체인은 시간이 흐르면서 보다 더 다양한 분야에서 활용

블록체인이 갖는 lsquo구성원간 합의를 통한 탈중앙화rsquo lsquo투명성rsquo lsquo위∙변조 불가rsquo lsquo가용성rsquo 등의 특징은

중개수수료가 최소화 된 직거래 시스템을 가능케 함으로써 lsquo라주즈(LaZooz)rsquo lsquo슬로킷(Slockit)rsquo

lsquo오픈바자(OpenBazaar)rsquo lsquo스팀잇(Steemit)rsquo과 같은 새로운 서비스를 탄생시킴

bull 블록체인판 우버로 불리는 이스라엘의 라주즈는 차량의 상태가 블록체인에 저장되고 검색되며

승객은 이 회사에서 만든 암호화폐 주즈로 대가를 지불

- 라주즈는 중개수수료가 없으며 요금도 암호화폐로 결제하기 때문에 이체middot카드 수수료도 발생하지 않음

- 이외에 독일 스타트업 슬로킷은 에어비앤비의 사업모델에 블록체인 기술을 적용해 사업화했으며

캐나다의 쇼핑몰 오픈바자는 블록체인 기술을 이용해 중개인이 없는 아마존을 만듬

bull 암호화폐와 블록체인이 장밋빛 미래만을 갖고 있는 것은 아니고 거래소 해킹 문제는 논외로 하더라도

합의를 통한 탈중앙화는 확장성 문제를 야기하며 극대화된 투명성 및 위∙변조 불가능성은

개인정보보호 문제를 불러일으킴

bull 실제로 100명간의 합의보다는 100만 명 간의 합의가 어려운 것은 당연 최근 연구결과에서도 볼 수

있듯이 블록체인 상에 나의 프라이버시를 침해할 수도 있는 글이나 영상이 올려질 경우 이를

삭제하기란 매우 어려움

bull 또한 여론조작을 막기 위해 적용한 작업증명 등의 기술은 과다한 전력 소모 문제를 발생시켜

고성능의 전용 장비로 무장한 전문 채굴꾼 다른 사람의 PC를 이용해 몰래 비트코인을 채굴하는

봇넷(botnet) 등의 등장은 일반 사용자들의 자발적 참여를 저해하는 요인으로 이외에도 불완전한

익명성 보안이 취약한 오픈소스 등은 비트코인 활성화의 걸림돌로 작용

그림 12 _ 고성능의 전용 장비로 무장한 전문 채굴꾼


43

bull 이러한 문제를 해결하기 위해 lsquo프라이빗 블록체인(Private Blockchain)rsquo 또는 lsquo컨소시엄

블록체인(Consortium Blockchain)rsquo lsquo오프 체인(Off-Chain)rsquo 기법과 같은 것들이 대안으로 제시되고

있으나 이들은 모두 확장성을 위해 탈중앙화를 일정 부분 희생시켰거나 블록체인의 가용성을

희생시킨 것

블록체인의 바람직한 미래를 위한 제언

필자가 과거 블록체인과 관련한 글을 SNS에 올려 화제가 된 적이 있는데 내용은 다음과 같음

bull ldquo최고의 자장면 레시피(블록체인 기술)를 가진 사토시 나카모토는 고객을 모으기 위해 쿠폰(비트코인)을 발급했다 처음에는

쿠폰이 욕심나서 간 손님들이 자장면의 맛에 감탄해 단골이 되고 그러다 보니 그 손님은 점점 더 많은 쿠폰을 얻게 되며

중국집도 잘되는 선순환 구조를 이루게 되었다 사토시의 중국집이 이른바 lsquo대박rsquo이 나자 다른 음식점들도 자극을 받지 않을

수 없었다 저마다 자기만의 레시피(더 좋은 블록체인 기술) 개발을 위해 매진했고 이를 팔기 위해 새로운 쿠폰(다른 종류의

암호화폐)을 만들었다 그런데 갑자기 쿠폰이 엄청난 돈이 된다는 소문이 돌기 시작하면서 사람들은 쿠폰을 사재기하기

시작했다 이 쿠폰이 어느 중국집 것인지 또 자장면 맛이 어떤지는 관심이 없었다 광기에 빠진 사람들은 자장면을 사먹고

쿠폰을 모으기보다 쿠폰에 프리미엄을 얹어 사고파는 데만 혈안이 돼있었으며 덩달아 특별한 레시피가 없는 음식점들까지

쿠폰을 마구 찍어내기 시작했다 뒤늦게 사태의 심각성을 안 정부가 쿠폰을 규제하겠다고 나서자 좋은 레시피를 보유한

음식점이 아닌 쿠폰 거래소 대표들이 lsquo쿠폰과 자장면은 불가분의 관계라서 쿠폰을 규제하면 자장면 레시피 개발이 어렵다rsquo고

토로하고 있다rdquo

블록체인의 핵심은 보상이라는 개념을 통해 구성원들의 자발적 참여를 유도하는데 있어 이에

기술적으로 보상과 블록체인은 불가분의 관계이며 블록체인으로부터 lsquo보상rsquo이라는 개념을 분리시킬

경우 안전성 및 안정성을 헤칠 수 있다는 연구결과도 발표된 바 있음 그렇다고 무분별하게 모든

암호화폐를 허용하는 것은 곤란하고 이에 바람직한 블록체인의 미래를 위해 필자는 다음 세 가지를

주문코자 함

bull 첫째 블록체인은 lsquo줄기세포rsquo와 같아서 매우 유망하지만 해결해야 할 난제들 또한 많으므로 유행에

편승해 블록체인 만능주의를 외치는 것은 곤란하며 정부는 블록체인 응용기술보다는 이 난제를

해결하는 연구에 보다 더 집중해야 함

bull 둘째 우리가 어떤 암호화폐의 가치를 평가할 때는 해당 화폐가 기반으로 하고 있는 블록체인의

기술적 가치와 그것을 기반으로 한 사업 모델의 시장성을 종합적으로 평가해야 함 그러므로 관련

업체는 본인들의 암호화폐가 좋다며 몇 장짜리 백서에 주장만 늘어놓으려 하지 말고 그것이

기반으로 하고 있는 블록체인의 기술적 가치와 사업 모델의 미래 가치에 대해 전문 컨퍼런스나 관련

전문가들을 통해 객관적 검증을 받아야 함


44

bull 셋째 협회 또는 시민단체는 이것이 미래 유망 기술이라며 업체의 이익을 무조건 대변하려고만 들지

말고 시장에 올바른 정보가 스며들도록 각종 장단점 분석 정보 외국 동향 정보 등을 객관적

전문가적 시선으로 분석해 시민들의 눈높이로 설명하려고 노력해야함

bull 블록체인은 분명 화려한 꽃을 피울 수도 있는 씨앗이나 그렇다고 해서 그것이 사람들의 눈물을 먹고

자라서는 곤란하고 앞으로 우리 모두가 보다 긴 호흡과 안목으로 미래가치를 객관적으로 평가하며

장기적인 관점에서 얼마나 진보할 수 있는지 지켜봐야 함

ldquo블록체인은 잠재력이 있는 아기다 그러나 욕심이 과하면 아기를 망친다rdquo

그림 13 _ 암호화폐의 가치

Reference

1 김승주 [기조발제] 블록체인 기술의 이해와 활용사례 정보통신정책연구원 4차 산업혁명과 블록체인 컨퍼런스

httpamhoinblogme221228494392

2 김승주 [62강] 블록체인 신세계인가 신기루인가 JTBC 차이나는 클라스

3 김승주 ldquoVirtual Currency Myth and Realityrdquo 네이버 httpamhoinblogme221211828474


45

북한의 보안과 남북 협력 방안강진규 NK경제 대표 (maddognkeconomycom)

bull (現) NK경제 대표

bull (前) 머니투데이방송 테크엠 기자

bull (前) 디지털타임스 기자

bull 동국대 북한학과 석사과정

북한 보안 개요

2000년대 초반부터 김정일 전 국방위원장이 정보화를 강조하면서 북한에서는 보안 기술에 대한 연구

개발도 함께 이뤄지면서 북한의 보안은 보안 솔루션 및 기술 개발과 솔루션 국산화를 통한 보안이라는

두 가지 측면에서 바라볼 수 있고 최근에는 양자암호 통신 등 신기술 개발에 매진 중

bull 북한은 조선콤퓨터쎈터(KCC)를 통해 2001년부터 리눅스 기반의 붉은별 운영체제(OS)를 개발하고

이는 서버용과 PC용 두 가지로 만들어지고 있는데 최근 40 버전까지 나왔음

bull 유럽의 IT 동향 분석업체 스탯카운터의 분석에 따르면 2017년 5월부터 2018년 5월까지 1년 간 북한

데스크톱 OS 사용 추이는 윈도 OS가 9527에 달함 이는 북한에서 붉은별 OS가 일반적으로 널리

사용되고 있지 않다는 것을 뜻하는 것으로 전문가들은 보안을 요구하는 중요한 PC나 서버에 붉은별

OS를 적용하고 있는 것으로 추정

bull 실제로 북한 대외선전매체 사이트 서광은 2017년 28차 전국정보기술성과전시회를 소개하는 영상에서

붉은별 40이 나왔고 여기서 북한은 보안을 위해 철벽 40과 성돌 10을 적용함(철벽 40은 네트워크

보안 솔루션으로 추정되며 성돌 10은 서버보안 솔루션으로 보임)

그림 1 _ 붉은별 40 소개 화면


46

bull 북한에서는 다양한 백신 소프트웨어(SW)를 개발하고 있으며 일부는 붉은별 OS에 탑재 중으로

김일성종합대학이 개발한 백신 프로그램 클락새가 붉은별 OS에 탑재된 대표적인 백신 SW임

bull 또 평양광명정보기술사는 2002년부터 실리왁찐이라는 백신 SW를 개발하고 있으며 2015년 3월에는

조선중앙TV가 김책공대에서 백신 SW(콤퓨터비루스왁찐) 참빗을 개발했다고 소개

- 참빗은 수 백 만종의 악성코드 치료기능을 갖추고 있으며 10여종의 압축파일에 대한 검사도

지원한다고 함

- 참빗은 조기경보기라는 기능을 통해 새로운 악성코드 정보를 수집

그림 2 _ 클락새 참빗 백신 SW를 판매하고 있는 내나라전자백화점

bull 2017년 5월 27일 북한 노동신문은 평양계명기술개발소가 신기라는 이름의 백신 SW를 개발하고

있으며 스마트폰용 보안 프로그램 백신 배포 SW 등을 개발하고 있다고 보도

- 신기는 스마트폰용 백신으로 추정

- 노동신문은 이 개발소가 북한 국가컴퓨터망에서의 신기 백신 즉시 배포체계를 업그레이드 해 호평을

받았으며 12건의 각종 응용 프로그램도 개발했다고 설명

bull 평양계명기술개발소를 이끌고 있는 것은 주현덕 소장으로 알려짐

- 2001년 조총련 기관지 조선신보가 주현덕이라는 인물에 대해 보도한 바 있음

- 주현덕은 김책공업종합대학 출신으로 장기 프로그램과 인공지능 연구를 진행 중이었고 주현덕을

중심으로 북한이 인공지능 기술을 백신 SW에 적용하고 있을 가능성도 있음


47

북한은 통신 네트워크 기술 자체 개발에 심혈을 기울이고 있고 이는 보안을 강화하기 위한 조치로

해석되는데 김일성종합대학 2017년 63권 4호에 DoS 공격 방지와 접근 조종을 실현한 개선된 IKEv2

규약 설계 라는 논문이 수록됐음

bull 이 논문에 따르면 김정은 노동당 위원장은 정보통신 부문에서는 첨단암호기술을 개발 이용하여

통신하부 구조의 보안준위를 높임으로써 적들의 해킹과 도청을 철저히 막으며 통신의 안전성과

신뢰성을 확고히 담보해야 한다 고 지시

bull 2017년 5월 북한 대외선전매체 ldquo조선의 오늘rdquo은 체신성이 2층 교환기 즉 레이어2(L2) 스위치를

국산화했다고 보도하였고 또한 정보통신연구소가 DVB―T2 변조기를 제작했으며 함경북도체신관리국이

디지털빛준위측정기와 케이블 접속함을 평안남도체신관리국이 광섬유케이블용접기와 방송증폭기 등을

국산화했다고 밝힘

bull 2016년 9월 북한은 레이어3 스위치를 자체 개발했다고 주장 2015년 김일성종합대학은

수자식중심교환기(소프트교환기)를 자체 개발해 전국적으로 설치했으며 구내 IP전화교환기의

경우 2016년 80여개 기관이 도입했다고 설명

그림 3 _ 북한이 개발한 네트워크 장비

북한의 보안 기술 연구

북한은 생체인증 기술에도 관심을 나타내고 있는데 생체인증 중 안면인식 지문인식 음성인식 등

다방면에 연구를 하고 있고 스마트폰에 지문인식 기술을 적용하는 등 실용화도 추진하고 있음

bull 북한 대외선전매체 ldquo조선의 오늘rdquo은 아리랑정보기술교류사에서 아리랑171을 개발했다고 보도

bull 아리랑171에는 지문인식기술이 탑재되어 있으며 앞선 제품인 아리랑161 평양2419 등 스마트폰에도

지문인식 기술이 적용된 바 있음


48

그림 3 _ 북한 스마트폰에 적용된 지문인식 기술

bull 북한 선전매체 ldquo서광rdquo은 2017년 9월 27일 김일성종합대학 연구원들이 해외 보안업체와 협력해

얼굴인식 기술을 개발해 FIDO 인증을 받았다고 보도

- ldquo서광rdquo은 북한 연구원들이 개발한 얼굴인식 엔진으로 글로벌 얼굴인식평가 및 표준규격 제정기관인

NIST(National Institute of Standard and Technology)가 주관하는 얼굴인식 평가대회에 참가했다고 설명

북한의 논문을 보면 북한이 네트워크 보안 데이터베이스(DB) 보안 USB 보안 등 다방면으로 연구 개발을

하고 있음을 알 수 있음

bull 김일성종합대학학보 2017년 63권 4호에 DoS 공격 방지와 접근 조종을 실현한 개선된 IKEv2 규약

설계라는 논문은 서비스 거부(DoS) 공격을 막기 위한 기술을 개발하는 내용

bull 김일성종합대학학보 2017년 63권 2호에 PKCS11통표에서 외부열쇠 반입 때 열쇠 검증의 한 가지

방법에는 보안기술 중 하나인 암호토큰 표준 PKCS11의 취약점을 연구해 공격 방식과 방어 방안을

연구하는 내용이 담김

bull 김일성종합대학학보 2016년 62권 12호에는 IKEIKEv2를 지원하는 IPSec보안규약에서 필승 암호모듈

이용의 한 가지 방법 이라는 연구 내용이 수록 이는 북한이 자체 개발한 암호모듈과 공개

보안프로그램과 결합해 사용하는 방법

bull 김일성종합대학학보 2016년 62권 10호에 이동모호추론에 기초한 DoS공격검출의 한 가지 방법이라는

논문이 게재되었고 이 논문은 DoS을 탐지하는 기술을 개발하는 목적

bull 김일성종합대학학보 2016년 62권 3호에는 콤퓨터보안USB열쇠장치를 결합한 개선된 IKE열쇠

교환규약을 실현하기 위한 한 가지 방법이 담겼고 여기서 북한은 USB를 열쇠처럼 이용해 자료를

송수신하는 기술을 개발했다고 주장

bull 김일성종합대학학보 2016년 제62권 제3호에 수록된 웨브봉사에서 자료기지암호화를 위한 한 가지

방법은 웹 데이터베이스(DB) 암호화에 관한 방안이 수록됐음


49

북한은 보안 신기술 개발에 주력하고 있으며 특히 양자암호 통신에 관심이 많은 상황임

bull 북한 선전매체 ldquo서광rdquo은 2017년 1월 북한 김일성종합대학 연구원들이 해킹과 도청이 불가능한

양자암호통신 기술을 개발했다고 보도

bull 또한 연구원들은 양자암호통신기로 문서 화상 자료 등을 전송하는 실험을 했다고 하고 또한 북한은

양자암호통신 기술을 적용한 장비를 생산할 것이라고 주장

bull 김일성종합대학학보 2017년 63권 9호에 오유27있는 학습문제에 기초한 한 가지 격자암호체계에 대한

연구라는 논문도 수록됐음

- 논문은 양자컴퓨터가 정보처리에 널리 이용되면 RSA 암호나 타원곡선 암호와 같이 현재 널리

이용되고 있는 암호체계는 더 이상 쓸 수 없게 된다며 이에 양자컴퓨터로도 풀 수 없는 새로운

암호에 대한 연구를 진행한다고 설명하고 이에 북한은 격자암호 체계를 대안으로 제시

- 또한 선행연구에서 격자암호 체계를 구성했지만 결함이 있었다고 지적해 이전부터 격자암호에 대한

연구가 진행돼 왔음을 시사

남북 보안 분야 협력 방안

북한은 보안기술 개발에 있어서 자체적으로 많은 연구와 개발을 진행해왔으며 백신 SW 네트워크 보안 등

전통적인 보안 분야뿐 아니라 생체인증 양자암호 통신 등 새로운 분야에도 관심이 많음

bull 여러 해킹 사건과 사이버공격 배후로 북한이 지목되고 있지만 북한도 자신들이 해킹이나 사이버공격을

당하는 것을 우려하고 있다고 해석할 수 있음

bull 북한은 자체적으로 기술력을 키워 온 만큼 공동 연구나 북한 기술을 활용한 제품 개발을 추진할 수

있을 것으로 전망하지만 보안이 워낙 민감한 분야이기 때문에 북한이 협력에 소극적일 가능성이 높음

bull 또한 북한 보안 기술을 한국 기업의 제품에 적용하거나 공동 제품을 출시하는 것에 대해 거부감이

클 수 있어 이에 학술 연구를 우선하고 투명하고 신뢰성 있는 연구 개발 체계를 우선 수립하는 것이 중요

bull 북한은 보안을 민감하게 보고 있어 김정은 위원장이 직접 자체 통신 네트워크 암호기술 개발을

독려하고 있는 실정 이는 해외 장비와 기술 사용에 대한 거부감으로 해석할 수 있어 북한이 보안

분야에서 한국 기술을 받아들이는 방식의 협력이 쉽지 않을 것으로 예상

bull 북한도 보안 연구를 하고 있는 상황에서 한국이 북한에 일방적으로 보안 기술이나 제품을 제공하는

것을 거부할 가능성도 있음

27 오류라는 의미의 북한 단어


50

bull 김일성종합대학 김책공업대학 등 연구기관들은 보안 원천기술 방어기술 등 다양한 분야에 연구를

진행하고 있음 DB 보안 방안이나 DoS 공격 방어 대응 등으로 이러한 기관들과 한국의 대학 등이

공동 연구를 추진할 경우 거부감을 줄일 수 있으며 이를 통해 북한의 보안 기술 수준을 정확히 파악할 수 있음

bull 보안기술 국제 표준화도 남북이 협력할 수 있는 분야임 표준화는 남북한 뿐 아니라 전 세계 국가들이

협력해야 하는 사안으로 남북 상호간 거부감이 적을 것으로 예상되어 남북이 협력해 표준화를

논의하고 이를 국제 표준에 반영할 수 있도록 공동이 노력하는 방안을 고려할 수 있음

bull 학술연구를 비롯해 향후 남북 기업의 공동 보안 기술연구와 제품을 추진할 경우 신뢰성 문제가 가장

큰 문제로 대두될 가능성이 높은데 북한 보안 기술이 들어간 제품을 믿고 사용할 수 있을지 거부감이

클 수 있고 이는 미국 유럽 등에 제품을 수출할 때 걸림돌이 될 수 있는 부분 이를 해결하기 위해

양측 입장에서 오픈소스 방식으로 투명하게 연구를 진행하는 것이 필요함

bull 휴전선에서 남북한이 상호 비방을 중지한 것처럼 사이버 공간에서도 상호 비방과 공격을 중지하는

방안을 추진할 수도 있지만 이는 정치적 문제로 볼 수도 있어 장기적인 안목에서 접근이 필요할

것으로 예상

bull 보안은 남북 IT 협력에 있어서 가장 협력이 어려운 영역 중 하나라는 현실을 인식하고 단계적 접근

방안을 마련하는 것이 필요함 우선 학술 연구 국제 표준 협력 보안 교육 보안 인력 교류 등을

늘려가면서 상호간 신뢰를 쌓는 것이 중요하고 이후 상용 보안 기술 제품 개발 등 고도화 단계로

나아가야 할 것으로 보임


51

2018년 Vol01 ndash CES 2018편 2018년 Vol02

이슈 amp 트렌드

bull 돌아보는 CES 2018 진화하는 가전의 미래 (최호섭)

bull 인공지능 기술의 대중화 시대를 예고한 CES 2018 (한상기)

bull CES 2018을 통해 본 최신 뷰티케어 제품 동향 (윤대균)

bull CES 2018이 제시하는 자율주행 및 스마트카의 미래 (정구민)

bull 현실로 다가온 드론택시 시대 (이석원)

bull CES 2018로 보는 올해의 VR 헤드셋 트렌드 (최필식)


bull 2017년 실적 발표로 본 주요 소셜미디어 기업의 과제

(한상기)

bull 자율주행을 위한 새로운 센서들의 등장 (정구민)

bull 평창 동계올림픽과 네트워크의 의미 (최호섭)

bull 와퍼가 말해주는 망중립성 논란 (이석원)

bull 평창 동계올림픽의 숨겨진 승자 lsquo인텔rsquo (최필식)

bull 평창에서 다시 불붙은 동영상 플랫폼 경쟁

NBC의 전략과 그 주변 상황들이 보여주는 것 (최홍규)

ICT 동향

bull 사용자 정보 유출 가능한 CPU 취약점(Meltdown

amp Spectre) 발견

bull Wi-Fi 얼라이언스 WPA3 표준 출시 계획 발표

bull 2018년 비즈니스 사이버보안을 변화시킬 10가지 트렌드

bull 중국 바이두 인공지능(AI) 개발 조직 강화

bull 러시아 미국 대통령 선거 개입 논란 확산

ICT 동향

bull 산업제어시스템(ICS) 보안 취약성 경고

bull 악성 크롬 확장프로그램을 이용한 세션 재생 공격 주의

bull 美 에너지부 산하 사이버 보안 담당 기관 설립

bull 독일 정부 인터넷망 현대화에 150억 달러 투입

bull 우주탐험 lsquo블록체인rsquo 기술 적용한다

2018년 Vol03 2018년 Vol04 RSA Conference 2018


bull 리테일 산업의 미래를 이끄는 인공지능 기술 (한상기)

bull 유튜브는 위키피디아를 통해 음모론을 막을 수 있나 (최홍규)

bull 브로드컴의 퀄컴 인수 불발 그 배경과 시사점 (윤대균)

bull MWC 2018 스마트카 주요 동향 (정구민)

bull 게임증강현실자율주행hellip지도 비즈니스 뜬다 (이석원)

bull MWC 2018 스마트폰의 변화를 봐야 할 때가 왔다 (최필식)

bull RSA 컨퍼런스 2018 이슈 및 트렌드 (김인섭)

bull RSA 컨퍼런스 2018과 개인정보보호 트렌드 (김대환)

bull RSA 컨퍼런스 2018의 엔드포인트 보안 트렌드 (권혁재)

bull RSA 컨퍼런스 2018로 본 위협 인텔리전스와 SOC amp AI (정일옥)

bull RSA 컨퍼런스 전시회 글로벌 보안 트렌드 (홍동철)

bull 하드웨어 보안 동향과 특징 (황수익)

ICT 동향

bull 영국정부 보안 위협으로부터 스마트 디바이스를

안전하게 사용하기 위한 지침 발표

bull 5백만 대의 유명 안드로이드 스마트 기기에 악성

코드가 사전 설치된 것으로 밝혀져

bull 국제 앰네스티 ldquo트위터는 여성에게 유해한 환경rdquo

bull 블록체인 통한 불법자료 유통 위험성 대두


발 행 일 2018년 5월

발 행 한국인터넷진흥원

기 획 및 편 집 한국인터넷진흥원 미래정책연구실 미래정책팀

발 행 처 (58324) 전라남도 나주시 진흥길 9 Tel 1544 - 5118

문 의 kisareportkisaorkr Tel 061 - 820 - 1425

본지에 실린 내용은 필자의 개인적 견해이므로 한국인터넷진흥원(KISA)의 공식 견해와 다를 수 있습니다

KISA Report의 내용은 무단 전재를 금하며 가공 middot 인용할 경우 반드시 「한국인터넷진흥원 KISA Report」라고 출처를 밝혀주시기 바랍니다


그림 4

이슈 amp 트랜드

bull 구글 IO 2018 인공지능의 대중화(최호섭 기자) ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 1

bull 구글 듀플렉스 기술이 제시하는 사회적 과제(한상기 테크프론티어 대표)

∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 7

bull 페이스북 F8 2018에서 꼭 챙겨봐야 할 5가지 발표(최필식 테크G 발행인)

∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 12

bull GDPR의 국내 영향력 분석(조수영 숙명여대 교수) ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 19

bull 블록체인의 이해와 바람직한 미래를 위한 제언(김승주 고려대 교수) ∙∙ 34

bull 북한의 보안과 남북 협력 방안(강진규 NK경제 대표) ∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙∙ 45


1







구글 IO의 의미















포인트





2






볼 수 있음














포인트











3











포인트




















4






시연이었음




만들어냈음

포인트



















5






포인트
























6











총평



















7








보여주고 있음






놀라게 했음















8

















9



























10


[출처] slow news














가능성이 높음









11















있을 것임


시점임



12



























13




















것으로 보임


14























15



강화 할 예정




테마도 추가




늘려갈 계획






것이라는 판단





목적이 강함



16









역할을 강화함




수 있게 했음



VR 메모리










17









가상현실









18







공개



서비스와 연결













19














법원

(法源)





Regulation


Directive

(지침)


Decision






20















개인정보범위







기업의 책임









GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








1







구글 IO의 의미















포인트





2






볼 수 있음














포인트











3











포인트




















4






시연이었음




만들어냈음

포인트



















5






포인트
























6











총평



















7








보여주고 있음






놀라게 했음















8

















9



























10


[출처] slow news














가능성이 높음









11















있을 것임


시점임



12



























13




















것으로 보임


14























15



강화 할 예정




테마도 추가




늘려갈 계획






것이라는 판단





목적이 강함



16









역할을 강화함




수 있게 했음



VR 메모리










17









가상현실









18







공개



서비스와 연결













19














법원

(法源)





Regulation


Directive

(지침)


Decision






20















개인정보범위







기업의 책임









GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








2






볼 수 있음














포인트











3











포인트




















4






시연이었음




만들어냈음

포인트



















5






포인트
























6











총평



















7








보여주고 있음






놀라게 했음















8

















9



























10


[출처] slow news














가능성이 높음









11















있을 것임


시점임



12



























13




















것으로 보임


14























15



강화 할 예정




테마도 추가




늘려갈 계획






것이라는 판단





목적이 강함



16









역할을 강화함




수 있게 했음



VR 메모리










17









가상현실









18







공개



서비스와 연결













19














법원

(法源)





Regulation


Directive

(지침)


Decision






20















개인정보범위







기업의 책임









GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








3











포인트




















4






시연이었음




만들어냈음

포인트



















5






포인트
























6











총평



















7








보여주고 있음






놀라게 했음















8

















9



























10


[출처] slow news














가능성이 높음









11















있을 것임


시점임



12



























13




















것으로 보임


14























15



강화 할 예정




테마도 추가




늘려갈 계획






것이라는 판단





목적이 강함



16









역할을 강화함




수 있게 했음



VR 메모리










17









가상현실









18







공개



서비스와 연결













19














법원

(法源)





Regulation


Directive

(지침)


Decision






20















개인정보범위







기업의 책임









GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








4






시연이었음




만들어냈음

포인트



















5






포인트
























6











총평



















7








보여주고 있음






놀라게 했음















8

















9



























10


[출처] slow news














가능성이 높음









11















있을 것임


시점임



12



























13




















것으로 보임


14























15



강화 할 예정




테마도 추가




늘려갈 계획






것이라는 판단





목적이 강함



16









역할을 강화함




수 있게 했음



VR 메모리










17









가상현실









18







공개



서비스와 연결













19














법원

(法源)





Regulation


Directive

(지침)


Decision






20















개인정보범위







기업의 책임









GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








5






포인트
























6











총평



















7








보여주고 있음






놀라게 했음















8

















9



























10


[출처] slow news














가능성이 높음









11















있을 것임


시점임



12



























13




















것으로 보임


14























15



강화 할 예정




테마도 추가




늘려갈 계획






것이라는 판단





목적이 강함



16









역할을 강화함




수 있게 했음



VR 메모리










17









가상현실









18







공개



서비스와 연결













19














법원

(法源)





Regulation


Directive

(지침)


Decision






20















개인정보범위







기업의 책임









GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








6











총평



















7








보여주고 있음






놀라게 했음















8

















9



























10


[출처] slow news














가능성이 높음









11















있을 것임


시점임



12



























13




















것으로 보임


14























15



강화 할 예정




테마도 추가




늘려갈 계획






것이라는 판단





목적이 강함



16









역할을 강화함




수 있게 했음



VR 메모리










17









가상현실









18







공개



서비스와 연결













19














법원

(法源)





Regulation


Directive

(지침)


Decision






20















개인정보범위







기업의 책임









GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








7








보여주고 있음






놀라게 했음















8

















9



























10


[출처] slow news














가능성이 높음









11















있을 것임


시점임



12



























13




















것으로 보임


14























15



강화 할 예정




테마도 추가




늘려갈 계획






것이라는 판단





목적이 강함



16









역할을 강화함




수 있게 했음



VR 메모리










17









가상현실









18







공개



서비스와 연결













19














법원

(法源)





Regulation


Directive

(지침)


Decision






20















개인정보범위







기업의 책임









GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








8

















9



























10


[출처] slow news














가능성이 높음









11















있을 것임


시점임



12



























13




















것으로 보임


14























15



강화 할 예정




테마도 추가




늘려갈 계획






것이라는 판단





목적이 강함



16









역할을 강화함




수 있게 했음



VR 메모리










17









가상현실









18







공개



서비스와 연결













19














법원

(法源)





Regulation


Directive

(지침)


Decision






20















개인정보범위







기업의 책임









GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








9



























10


[출처] slow news














가능성이 높음









11















있을 것임


시점임



12



























13




















것으로 보임


14























15



강화 할 예정




테마도 추가




늘려갈 계획






것이라는 판단





목적이 강함



16









역할을 강화함




수 있게 했음



VR 메모리










17









가상현실









18







공개



서비스와 연결













19














법원

(法源)





Regulation


Directive

(지침)


Decision






20















개인정보범위







기업의 책임









GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








10


[출처] slow news














가능성이 높음









11















있을 것임


시점임



12



























13




















것으로 보임


14























15



강화 할 예정




테마도 추가




늘려갈 계획






것이라는 판단





목적이 강함



16









역할을 강화함




수 있게 했음



VR 메모리










17









가상현실









18







공개



서비스와 연결













19














법원

(法源)





Regulation


Directive

(지침)


Decision






20















개인정보범위







기업의 책임









GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








11















있을 것임


시점임



12



























13




















것으로 보임


14























15



강화 할 예정




테마도 추가




늘려갈 계획






것이라는 판단





목적이 강함



16









역할을 강화함




수 있게 했음



VR 메모리










17









가상현실









18







공개



서비스와 연결













19














법원

(法源)





Regulation


Directive

(지침)


Decision






20















개인정보범위







기업의 책임









GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








12



























13




















것으로 보임


14























15



강화 할 예정




테마도 추가




늘려갈 계획






것이라는 판단





목적이 강함



16









역할을 강화함




수 있게 했음



VR 메모리










17









가상현실









18







공개



서비스와 연결













19














법원

(法源)





Regulation


Directive

(지침)


Decision






20















개인정보범위







기업의 책임









GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








13




















것으로 보임


14























15



강화 할 예정




테마도 추가




늘려갈 계획






것이라는 판단





목적이 강함



16









역할을 강화함




수 있게 했음



VR 메모리










17









가상현실









18







공개



서비스와 연결













19














법원

(法源)





Regulation


Directive

(지침)


Decision






20















개인정보범위







기업의 책임









GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








14























15



강화 할 예정




테마도 추가




늘려갈 계획






것이라는 판단





목적이 강함



16









역할을 강화함




수 있게 했음



VR 메모리










17









가상현실









18







공개



서비스와 연결













19














법원

(法源)





Regulation


Directive

(지침)


Decision






20















개인정보범위







기업의 책임









GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








15



강화 할 예정




테마도 추가




늘려갈 계획






것이라는 판단





목적이 강함



16









역할을 강화함




수 있게 했음



VR 메모리










17









가상현실









18







공개



서비스와 연결













19














법원

(法源)





Regulation


Directive

(지침)


Decision






20















개인정보범위







기업의 책임









GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








16









역할을 강화함




수 있게 했음



VR 메모리










17









가상현실









18







공개



서비스와 연결













19














법원

(法源)





Regulation


Directive

(지침)


Decision






20















개인정보범위







기업의 책임









GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








17









가상현실









18







공개



서비스와 연결













19














법원

(法源)





Regulation


Directive

(지침)


Decision






20















개인정보범위







기업의 책임









GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








18







공개



서비스와 연결













19














법원

(法源)





Regulation


Directive

(지침)


Decision






20















개인정보범위







기업의 책임









GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








19














법원

(法源)





Regulation


Directive

(지침)


Decision






20















개인정보범위







기업의 책임









GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








20















개인정보범위







기업의 책임









GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








GDPR은

전문 총 173개


조항으로 구성

21




















명시적 포함)











22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








22






























23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








23








이름과 연락처

















24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








24





























25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








25


















제44조 제45조)










26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








26



가능 규정




























27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








27






























규정 없음






규정 없음



28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








28
























29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








29




















업무범위









30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








30






















예비PIA PIA



예비PIA 실시








대상






31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








31














PIA보고서 공개































































32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








32




















이행 필요










33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








33


















34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








34


















35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








35




















36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








36















37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








37













38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








38













39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








39














40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








40






























41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








41















4월 기준)


42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








42























43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








43




희생시킨 것

















주문코자 함










44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








44









Reference






45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








45





















46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








46






지원한다고 함













47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








47






















48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








48
























49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








49





























50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








50













것으로 예상






51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








51











(한상기)







ICT 동향


amp Spectre) 발견





ICT 동향




















ICT 동향








발 행 일 2018년 5월








발 행 일 2018년 5월







Documents

2018년 Vol.05 KISA Report · 2018-06-19 · 2018년 Vol.05 KISA Report 5 • 하지만 이제 스마트폰 관련 기술은 어느정도 성숙 단계에 접어들어가면서, 시장이