26

인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

  • Upload
    others

  • View
    2

  • Download
    0

Embed Size (px)

Citation preview

Page 1: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

2014년 5월 4주 (5/23)

Page 2: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

인터넷 정책·산업 ·문화인터넷 정책·산업 ·문화

▪ 미국 연방통신위원회(FCC), 망 중립성 개정안 발표 2

▪ 미국 연방정부, 프라이버시 보호 강화 위한 빅데이터 정책 검토 결과 발표 4

▪ 미국 조달청(GSA), 신규 클라우드 서비스 인증 방침 공개 7

정보보호·개인정보보호정보보호·개인정보보호

▪ 유럽연합(EU), ‘EU 개인정보보호 지침’ 가이드라인 발표 10

▪ 유럽 사법재판소(ECJ), 온라인상 ‘잊혀질 권리’ 판결 13

▪ 미국 하원, 국방 클라우드 보안법 입법 추진 15

▪ 미국 국토안보부(DHS), 해양분야 사이버보안 강화 노력 17

▪ 체크포인트社, 2014년 시큐리티 보고서 발표 19

글로벌 방송통신글로벌 방송통신

▪ 영국 오프콤(Ofcom), 무선 주파수 관리 전략 발표 23

Page 3: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

1

Page 4: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

2

미국 연방통신위원회(FCC), 망 중립성 관련 새로운 정책 개정안 발표(`14.5.15)

미국 연방통신위원회(FCC)는 전체 회의를 통해 ‘09년에 발표된 망 중립성 원칙의 개정안 발표

※ 미국 연방통신위원회(FCC) : 美 연방정부의 방송통신정책을 주관하는 독립행정위원회

- 본 개정안의 공식 명칭은 “Protecting and Promoting the Open Internet(FCC

14-61)” NPRM으로, 美 정부기관이 법률, 규칙 제정 시 입법을 예고하는

NPRM(The Notice of proposed rule making) 형식으로 발표

- 개정안 표결은 상임위원 5인 중 3인의 찬성으로 가결되었으며, 상임위원 중 위원장을

포함한 민주당(여당) 위원 3인은 찬성, 공화당(야당) 위원 2인은 반대표를 행사

FCC 정책 개정안 발표 회의, 위원장 Tom Wheeler와 상임위원

※ 출처 : Politico.com

본 개정안은 ➀ 회선 제공사업자들이 특정 콘텐츠 사업자들의 접속 속도를 느리게

하거나 접속을 차단하는 행위 금지, ➁ 프리미엄 요금을 지불하는 콘텐츠 사업자에게

빠른 회선 제공을 허용 등 2가지 변경 사항을 주요 내용으로 하고 있음

- 특히, 개정안 중 2번째 항목이 망 중립성(Net Neutrality) 원칙을 침해한다는 여론이

있으며, FCC의 “열린 인터넷(Open Internet)”을 침해할 것이란 우려 제기

※ 열린 인터넷(Open Internet) : 인터넷에서 자유로운 정보흐름을 제한해서는 안된다는 원칙

미국 연방통신위원회(FCC), 망 중립성 개정안 발표정책연구실 정책기획팀

Page 5: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

3

- 이번 개정안은 ‘14년 7월 15일(발표 후 2개월)까지 업체, 시민단체 등의 의견 수렴을

거치며, 이후 접수된 의견에 대해서는 9월 10일까지 FCC 홈페이지를 통해 답변 공개 예정

※ FCC는 연말까지는 최종 규제안을 확정한다는 계획

이번 개정안은 美 연방법원의 망 중립성 원칙 무효화 판결에 따른 것으로 판단

- 美 D.C. 순회 항소법원(the court of appeals for the d.c. circuit)은 통신사업자 Verizon이

FCC를 상대로 제기한 소송에서 FCC가 망 중립성 원칙에 기초하여 통신망 사업자를

규제할 권한이 없으며, 상업적으로 합당한(commercially reasonable) 방향으로 망 중립성을

개정하도록 요구

- 위 판결은 입법부가 망 사업자의 권한을 인정한 사례로 평가되며, FCC의 개정안

발표의 직접적인 원인으로 분석

향후, EU 의회의 망 중립성 법안과 함께 망 중립성에 관한 논란을 불러올 전망

- EU 의회의 망 중립성 법안(Net Neutrality Law)(‘14.4월)이 중립성을 명확히 규정한

것에 반해 FCC의 개정안은 망 사용자에 대한 추가 요금 부담을 규정하여 전통적인

망 중립성 개념을 침해할 소지가 있다는 우려 발생

※ 망 중립성 법안(Net Neutrality Law) : 통신사가 어떠한 인터넷 서비스에도 과금·차단·차별할

수 없으며, 시민의 자유로운 인터넷 접근성을 보장해야 한다는 내용을 담고 있음

1. FCC, "FCC Launches Broad Rulemaking to Protect and Promote the Open Internet", 2014.5.15

2. FCC, “Protecting and Promoting the Open Internet NPRM", 2014.5.15

3. Wall Street Journal, “After 'Net Neutrality' Proposal, Political Storm Brews”, 2014.5.18

4. United States Court of Appeals, “Verizon v. FCC”, 2014.1.14

5. 조선비즈, “美 FCC '망중립성' 퇴보안 가결…소비자·업계 반발”, 2014.5.16

Page 6: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

4

미국 백악관, 빅데이터 활용 증가에 따른 프라이버시 침해 가능성 연구

빅데이터 활용에 따른 프라이버시 침해 가능성이 커지자 오바마 대통령은 자국에서 추진

중인 빅데이터 정책 검토를 지시(‘14.1.23)

- 백악관의 수석 정책자문과 대통령과학기술자문위원회(The United States President's Council

of Advisors on Science and Technology, PCAST)는 전문가, 민간 기업 등과 실무팀 구성

- 이후 90일 간 해당 실무팀은 빅데이터 활성화 정책의 필요성 확인과 더불어 데이터 활용

증대에 따른 프라이버시 침해 가능성에 대한 정책 연구를 진행

백악관은 지금까지 진행된 빅데이터 정책 검토 결과가 담긴 연구 보고서를 오바마

대통령에게 제출(‘14.5.1)

- 연구 보고서의 완성을 위해 백악관은 1차 연구 결과물(‘14.1)을 두고 각계 전문가들과

미국 내 3개 대학에서 컨퍼런스를 진행

※ 컨퍼런스는 메사추세츠 공대와 뉴욕 대학, 캘리포니아대 버클리캠퍼스에서 문답 형태로 진행

- 온라인상으로 수집된 시민 단체, 학계 등 각계 각층의 관련 의견 역시 최종 보고서에 반영

同 보고서는 현재 빅데이터가 사회 경제적으로 많은 이점을 제공하고 있다는 측면을 강조

- 환자 데이터를 분석해 질병 발생 가능성을 사전에 예측하거나, 센서 데이터의 수집을

통해 제조 장비의 이상 징후를 파악하는 등 긍정적인 빅데이터 활용 사례를 설명

- 또한, 미국의 공공의료보험제도를 관장하는 CMS(Center for Medicare&Medicaid Service)가

보험료 납부 패턴을 분석해 부당 지급액을 적발하는 등 정부운영 효율성 제고에도 빅데이터가

활용된다고 강조

더불어 빅데이터 활용 증가로 인해 미국 국민들의 프라이버시 침해 불안감 역시 커지고

있음을 지적

- 데이터 수집 범위 및 규모가 확대됨에 따라 사용자 스스로 개인 정보를 제어하기

어려워진 것이 가장 큰 원인

- 실제 백악관이 실시한 설문 조사에 따르면, 응답자의 90% 이상이 데이터 활용에 대한

적절한 관리 감독 및 투명한 활용에 대해 우려감을 표시

- 따라서 빅데이터 활용 촉진과 동시에 프라이버시 보호를 위한 정부 차원의 규제가 필요하다고 언급

미국 연방정부, 프라이버시 보호 강화 위한 빅데이터 정책 검토 결과 발표정책연구실 정책기획팀

Page 7: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

5

백악관, 빅데이터 프라이버시 보호를 위해 관련 제도 개선 촉구

보고서는 빅데이터 활용 증가에 따른 프라이버시 보호 규제의 일환으로 2012년 오바마 행정부가

제안한 ‘소비자 프라이버시 권리 장전(Consumer Privacy Bill of Rights)’의 통과를 촉구

※ 기업들이 온라인 추적으로 수집한 데이터를 이용해 특정 소비자를 식별하지 말아야 한다는 것이

소비자 프라이버시 권리 장전의 주요 골자

2011년 제안된 ‘사이버보안 입법 제안(Cybersecurity legislative proposal)’의 이행 역시

프라이버시 보호를 위한 방안으로 제시

- 해당 제안은 소비자와 기업의 데이터 침해사고 대응능력 향상을 위해 주정부 별로

상이한 데이터 침해 대응조치를 간소화 및 표준화해야 한다는 내용

이 외에도 백악관은 보고서를 통해 ‘전자 커뮤니케이션에 관한 프라이버시법(Electronic

Communications and Privacy Act, ECPA)’의 개정을 제안

- 6개월 이상 저장된 웹콘텐츠나 이메일 메시지를 수색하기 위해선 법원의 영장이

있어야한다는 조항을 포함시킴으로써, 사생활이 담긴 데이터에 대한 무분별한 접근을 차단

- 특히 보고서는 2010년부터 본 법안의 개정이 지속적으로 요구되어 왔으나 실현되지

못했다며, 정부 차원의 대응을 요구

이번 연구보고서 결과에 대해 업계 관계자 및 시민 단체들은 긍정적인 의견을 표명

- 소프트웨어 기업 연합체인 BSA(Business Software Alliance) 회장은 해당 보고서가

빅데이터 산업 발전에 걸림돌인 프라이버시 보호 문제를 해결하기 위한 최선의

방법들을 제시하고 있다고 평가

- 소비자보호단체 컨슈머 왓치독(Consumer Watchdog) 이사는 이번 보고서가 프라이버시

보호를 위한 미국 행정부의 실질적 움직임을 이끌어 낼 수 있기를 기대한다고 언급

한편, 이번 보고서 발표 이후 미국 정부의 빅데이터 활용 및 이에 따른 프라이버시

보호를 위한 움직임이 가속화될 것으로 예상

- 상무부(Department of Commerce) 장관은 이번 보고서가 빅데이터의 장점을

극대화하면서 데이터 활용 증가에 따른 위험을 최소화할 수 있는 방안 마련을

위한 첫 걸음에 불과하다고 강조

Page 8: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

6

1. Bloomberg, "Big Data Report to Obama Urges Reforms On Breach Notice, ECPA, Consumer Rights",

2014.5.5

2. GigaOM, "White House big data report: 68 fine pages, but no mention of spying", 2014.5.1

3. Mashable, "White House Calls for Big Data Reforms to Protect Privacy",2014.5.2

4. The White House Blog, "Findings of the Big Data and Privacy Working Group Review", 2014.5.1

Page 9: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

7

미국 조달청, 보안 규제 기준 개정에 따른 클라우드 서비스 인증 조건 변경

최근 미국 조달청(General Services Administration, GSA)이 6월 새롭게 발표될 보안

규제 기준에 따른 클라우드 서비스 사업자용 가이드라인 공개(14.4.22)

- 조달청 산하의 연방위험승인관리프로그램(FedRAMP) 관리국은 국립표준기술연구소(NIST)의

SP 800-53 보안 규제 기준의 제4차 개정 사항을 반영하기 위한 보안 규제 기준 및

문서 템플릿 업데이트 작업을 진행 중

※연방위험승인관리프로그램(Federal Risk and Authorization Management Program) : 클라우드 제품

및 서비스의 보안 평가 절차를 표준화함으로써 연방 정부기관들의 클라우드 컴퓨팅

가속화를 목적으로 도입된 미국 조달청의 공공분야 클라우드 보안인증 프로그램

※SP 800-53: 연방정보보안관리법(Federal Information Security Management Act, FISMA)에서

정의한 표준에 따른 연방정부 정보시스템 관리 가이드라인으로 2005년 최초로 도입

- 조달청은 클라우드 서비스 사업자들을 인증 평가 절차 진행 단계에 따라

개시(Initiation), 진행 중(In Process), 지속적 모니터링(Continuous Monitoring) 등의

세 단계로 분류

조달청은 보안 규제 기준의 변경 사항의 조속한 적용을 위한 지침을 각 분류에 따라

클라우드 사업자들의 서비스 인증 조건으로 새롭게 마련

- 개시 단계에 속하는 클라우드 서비스 사업자들의 경우 조달청으로부터 서비스에 대한 공식

인증을 받기 전 신규 규제 기준을 적용하고 제4차 SP 800-53 개정안을 시범적으로 도입해야

한다고 명시

- 2014년 6월 1일 이전 FedRAMP의 인증 평가 절차에 돌입한 클라우드

서비스 사업자들은 제3차 SP 800-53에 기반한 현행 보안 규제 기준에 따라 인증

심사를 받게 된다고 규정

- 인증 절차에 돌입한 클라우드 서비스 사업자들은 정식 인증일로부터 1년 이내에

신규 보안 기준을 적용 및 관련 서류를 제출해야 함

※ 다만, 이미 FedRAMP의 승인을 받은 상태로 ‘14년 6월 1일 이전에 1년간의 지속적

모니터링 및 평가 기간이 완료되는 사업자의 경우, 최종 평가일로부터 1년 이내에 신규

보안 기준을 적용

미국 조달청(GSA), 신규 클라우드 서비스 인증 방침 공개 정책연구실 정책기획팀

Page 10: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

8

클라우드 보안 및 관련 리스크 관리 기준 강화

제4차 SP 800-53 개정안에 따라 업데이트된 신규 FedRAMP 보안 규제 기준은

대대적인 변경 사항을 포함할 것으로 예상

- 특히 연방 정부의 클라우드 보안 및 관련 리스크 관리에 있어 보다 엄격한 기준이

적용될 것으로 전망

- 제4차 SP 800-53이 연간 평가에 대한 규제 항목의 개수를 대폭 증대시킴에 따라

FedRAMP 보안 규제 기준도 이를 반영해 클라우드 서비스 사업자의 보안 위협

관리와 관련된 규제를 강화할 계획

FedRAMP 관리국은 현재 조달청이 수행 중인 신규 보안 규제 기준 시범 적용을

완료하는 대로 이를 업데이트된 문서 템플릿과 함께 정식으로 발간할 계획

- 관리국은 국토안보부(Department of Homeland Security, DHS), 국방부(Department of

Defense, DoD), 국방정보체계국(Defense Information Systems Agency, DISA) 등

유관기관과 협력 관계를 구축하고 보안 규제 기준 업데이트에 대비해 왔다고 언급

FedRAMP의 규제 기준 강화에 따라 클라우드 서비스 사업자들 역시 이에 대응하기

위한 대대적 보안 체계 점검 및 추가적 투자의 필요성이 증가할 것

- FedRAMP 인증을 취득한 최초의 클라우드 서비스 사업자 오노토믹 리소스(Autonomic

Resources)의 CEO 존 키즈는 급변하는 IT 산업 환경에서 클라우드 사업자들이

보다 나은 솔루션을 제공하기 위해 이러한 규제 강화책이 필요하다는 긍정적인 입장

1. Cloud.Cio.Gov, "NIST SP 800-53 Rev 4 FedRAMP Transition Plan," 2014.4

2. Nextgov, "GSA Has a New Plan for Cloud Providers Navigating Changing Security Standards", 2014.4.22

3. NextGov, "Is Your Agency Ready for the Cloud Security Deadline in June? ", 2014.4.14

Page 11: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

9

Page 12: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

10

개요

EU의 개인정보보호 정책 자문조직 ‘Article 29 Working Party(WP29)’는 ‘EU 개인정보보호지침(EU

Data Protection Directive)’ 제7조에서 규정한 ’정당한 이익(Legitimate Interest)’에 관한

가이드라인을 발표(2014.4.9)

- 제7조는 정당한 이익이 있을 시 데이터 관리자들의 개인정보 이용을 허용 하도록 규정

- WP29는 제7조 관련 ‘정당한 이익’의 해석과 운용을 놓고 서로 다른 의견과 판단이

제기되는 것을 방지하기 위해 가이드라인을 마련

※ 가이드라인은 도입 및 개괄, 일반 현황과 정책 이슈, 각 항목의 법률적인 분석, 결론, 권고

사항, 첨부 문서 등으로 구성

- 가이드라인은 개인의 프라이버시 보호와 데이터 관리자의 정당한 이익 간 균형성

테스트를 이행하기 위한 절차로 구성

※ 균형성 테스트는 개인정보 처리에 관한 3개의 시나리오와 총 26개의 예시로 구성되어 있으며,

데이터 관리자가 정당한 이익을 위해 개인정보를 처리하는 것이 필요하다는 것을 입증해야

한다고 명시

주요 내용

데이터 관리자(정부, 기업, NGO 등)가 개인정보를 다룰 때 최소한 아래 6개 항목 중

하나 이상을 충족했을 경우 적법성을 확보한 것으로 판단

- (a) 데이터 주체인 개인의 분명한 동의 (b) 데이터 주체와의 계약 실행 (c)

데이터 관리자에게 부과되는 법적인 의무의 준수 (d) 데이터 주체의 핵심적인

이익의 보호 (e) 공공의 이익을 위해 필요한 업무의 실행 (f) 데이터 관리자의

‘정당한 이익’

특히 이번 가이드라인의 핵심내용으로는 (f)의 ‘정당한 이익‘에 관한 구체적인 지침으로 개인의

프라이버시 권리와 데이터 관리자의 이익을 상호 측정할 수 있는 ‘균형성 테스트(balancing test)’가 있음

- ‘정당한 이익’은 EU와 회원국 법률에 합당하고, 균형성 테스트를 충분히 거쳐야 이행

가능하며 이행 시 데이터 처리자의 투명성과 책임성에 대해 강조

유럽연합 ‘EU 개인정보보호 지침‘ 가이드라인 발표

개인정보보호단 개인정보보호기획팀 이혜진

Page 13: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

11

균형성을 고려해야 할 대표 사례

미디어와 예술분야를 포함, 정보와 표현의 자유

전통적인 의미의 다이렉트 마케팅, 그리고 다른 형태의 마케팅 또는 광고

자선모금, 정치적 캠페인 등 비상업적인 메시지

채권 추심 등 법적인 권리의 행사

사기, 서비스 오용, 자금 세탁 등 방지

내부 고발

물리적인 보안, IT 및 네트워크 보안

역사, 과학, 통계적인 목적의 데이터 처리

마케팅 리서치 등 연구 목적을 위한 데이터 처리

- 균형성 테스트 시 핵심 고려 사항은 다음과 같음

ㆍ1) 데이터 관리자의 정당한 이익의 평가 2) 데이터 주체에게 주는 영향 3) 법률적 균형

4) 데이터 주체에게 주는 부정적 영향 방지를 위한 데이터 관리자의 추가적인

구제수단 확보 [특히 데이터 주체가 아동이거나 사회적으로 보호받아야 할 사람인

경우(망명자, 환자, 노인 등) 부정적인 영향을 미치지 않도록 유의]

- 균형성 테스트를 실천하기 위한 구체적인 단계

균형성 테스트 단계

1단계 제7조(a)~(f)의 법적인 적용 여부

2단계 이익의 정당성 또는 비정당성 여부 판단

3단계 이익의 관철을 위해 데이터 처리 절차가 필요한 지 여부 판단

4단계데이터 관리자의 이익이 데이터 주체의 기본권에 의해 거부되는 지

여부 판단

5단계 추가적인 구제수단의 제공 여부

6단계 컴플라이언스의 시현과 투명성의 확보

7단계 데이터 주체의 거부권 행사 여부

Page 14: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

12

결론 및 권고 사항

WP29는 데이터 관리자의 개인정보 관리 및 처리시 제7조 (a)의 동의 절차 등 6개의 기준을 충족토록

하고 있으며, 특히 제7조 (f)의 ‘정당한 이익’을 충족하기 위해 균형성 테스트 실시를

권고하고 있음

- 균형성 테스트는 ‘정당한 이익’의 성격, 정보주체에게 주는 영향, 데이터 처리 절차,

추가적인 구제수단 등 다양한 요인을 고려해야 한다고 명시

- ‘정당한 이익’은 제7조의 다른 항목과 함께 다양한 차원에서 검토되어야 함을 강조

- 또한 데이터 주체의 프라이버시 보호를 위해 거부권 행사 방법도 포함할 것을 권고

WP29는 이번 가이드라인을 통해 EU 회원국들이 ‘정당한 이익’과 균형성 테스트의 개념을

공유해야 한다고 강조

- 본 가이드라인이 EU 데이터보호법(EU General Data Protection Regulation)에 반영되고

데이터 관리자의 책임에도 반영되어야 한다고 밝힘

1. EC, “Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of

Directive 95/46/EC”, 2014.4.9

2. Huntonprivacyblog, “Working Party Issues Guidance on the Legitimate Interests Ground in the EU

Data Protection Directive.” 2014.4.17

Page 15: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

13

소송의 개요와 경과

2010년 스페인 변호사 ‘마리오 코스테하 곤잘레스’는 1998년 스페인 유력지 ‘라 뱅가르디아(la

Vanguardia)’에 게재된 자신의 기사와 구글 검색 링크가 프라이버시 권리를 침해한다며

소송 제기

- 곤잘레스는 채무 내역 및 재산 강제매각이 해결됐는데도 관련 내용의 기사가 구글

검색결과로 노출된다며 스페인 개인정보보호원(AEPD)에 구글과 신문사를 신고

※ 스페인 개인정보보호원(Spanish Data Protection Agency) : 스페인의 개인정보보호 감독기구

- 개인정보보호원은 구글 측에 해당 링크 삭제를 지시했으나, 구글 측은 불복하며 스페인

고등법원에 해당조치 무효화 소송 제기

- 이후, 스페인 법원은 본 사안의 법률적인 판단을 유럽 사법재판소(ECJ)에 의뢰하면서

잊혀질 권리가 글로벌 이슈로 부상

※ 유럽 사법재판소(European Court of Justice) : 유럽연합에 설치된 재판소로 유럽연합 내 최고 재판소

- 유럽 사법재판소는 ‘유럽 개인정보보호 지침(1995)’ 규정에 의거 구글에 관련 링크를

삭제하라고 판결(2014.5.13)하며 ‘잊혀질 권리(right to be forgotten)’를 처음으로 적용

유럽 사법재판소 판결의 주요 내용과 의미

유럽 사법재판소 주요 판결 내용

1) 구글 검색엔진을 이용하는 사람은 ‘잊혀질 권리’를 가짐

2) 이용자가 부적절하거나 시효가 경과된 개인정보의 삭제를 요청할시 구글은 이에 응해야 함

3) 합법적인 정보에 대한 삭제를 요청해도 공익에 비해 사익이 크다면 삭제해야 함

주요 쟁점에 대한 해석

1) ’정보관리자(data controller)’ 조항의 적용 여부 : 구글이 데이터 수집·검색을 위한

자동화 툴을 활용한다는 점에서 ‘처리(processing)’ 업무를 수행하는 ‘정보관리자’ 에

해당한다고 해석

※ 닐로 자스키닌 유럽 사법재판소 수석법률보좌관은 ① 구글은 지침 상의 정보관리자가 아님 ②

잊혀질 권리를 보편적으로 수용할 수 없음 ③ 데이터가 부정확하거나 비방 또는 범죄 정보를 담고

있는 경우에만 삭제 요구 가능 등의 주장(13년 6월)을 했으나 이번 판결은 그의 의견을 뒤집은 것

유럽 사법재판소(ECJ), 온라인상 ‘잊혀질 권리’ 판결 개인정보보호단 개인정보보호기획팀

Page 16: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

14

2) 구글 ‘관할 범위(territorial scope)’ 문제 : 구글 본사와 서버가 EU 외부에 있다고

하더라도, 자회사인 ‘구글 스페인’의 사무소는 EU지침 상의 ’시설(establishment)’ 에 해당

3) 인터넷 이용자의 ‘정당한 이익(legitimate interest)’과 프라이버시의 균형 문제 : 인터넷

이용자의 정보에 대한 접근권(Right to Access)을 인정하면서도, 본 사안은 일반 이용자의

정당한 이익보다 개인의 프라이버시권이 더 중요하다고 판단

유럽 사법재판소 판결과 관련된 논란 및 영향

이번 유럽 사법재판소 판결은 표현의 자유와 프라이버시 권리 간에 뜨거운 논쟁을 촉발하고 있음

판결에 대한 각 계의 의견

“유럽 개인정보 보호의 확실한 승리다. 이번 판결은 현재의 개인정보 보호 관련 법 규정을 ‘디지털 석기시대’에서 ‘현대 컴퓨팅 세계로 옮겨온 것으로 평가한다” - 비비안 레딩 EU Justice Commissioner

“뉴스 소소의 변경없이 진실한 내용을 삭제하는 것은 표현의 자유를 훼손하는것이다. 검색엔진의 역할과 책임성을 오해한 퇴행적인 판결이다. 지난해 닐로 자스키닌 유럽 사법재판소 수석법률보좌관이 내놓은 주장과도 정면으로 배치된다” - Index on Censorship

“엄청난 규모의 사적인 검열의 문이 열린 것이다. 정치인이나 무언가를 숨기려는 사람에 의해 악용될 가능성이 높다”- 미 컴퓨터·커뮤니케이션산업협회

“개인의 프라이버시를 보호하고 개인정보보호감독기구의 중요성을 강조한 판결이다. 이번 판결을 보다 심도 있게 연구해 구체적인 실행방안을 마련할 것이다” - 영국 개인정보 보호 감독기구 ICO

향후, 유사한 소송이 발생할 가능성이 높아지는 등 정보 삭제 요청이 쇄도할 것으로 예상

- 정치인의 스캔들 관련 기사 삭제, 범죄자의 범죄 기록 삭제 등 불법적인 삭제 요청이

많아 이번 판결의 의미가 훼손될 가능성이 제기되며, 이번 판결이 실제 작동하지 않을

것이란 전망도 대두

※ 스페인 정보보호위원회(Spanish data protection agency)는 현재 곤잘레스와 유사한 사례가 220개

접수되어 있다고 밝힘

1. BBC, EU court backs 'right to be forgotten' in Google case, 2014.5.3

2. CVRIA, ECJ Judgement in Case C-131/12(Press Release), 2014.5.13

3. X Index, Index blasts EU court ruling on “right to be forgotten”, 2014.5.13

4. Steve Doughty, “ Europe grants the 'right to be forgotten online': EU court will force Google to remove

people's personal data from search results on request”, 2014.5.13

Page 17: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

15

미국 국방부, 민간 클라우드 솔루션 도입 활성화를 위한 국방 클라우드 보안법 입법 추진

미국 하원, 클라우드 컴퓨팅 사업자들이 국방부(Department of Defense, DoD)에 보다

편리하게 클라우드 솔루션을 납품 할 수 있게 하는 기준 마련을 위한 국방 클라우드 보안

법안 발의(‘14.4.25)

- 미국 하원 니키 트송가(Niki Tsongas)와 데렉 킬머(Derek Kilmer) 의원은 ‘국방

클라우드 보안법(Defense Cloud Security Act)’을 통해 클라우드 스토리지 및

서비스에 대한 명확한 보안 기준을 마련할 방침

※ 현재 국방부는 이미 다수의 민간 사업자로부터 클라우드 솔루션을 납품받고 있지만, 복잡한 보안

기준 탓에 대다수 사업자들이 국방부와의 거래에 나서지 못하고 있는 상황

- 이번 법안은 국방부가 실제 환경에 적합한 클라우드 보안 기준을 마련하고,

사업자가 이를 준수할 수 있도록 유도하는데 목적이 있음

민간 사업자가 제공할 수 있는 IT 혁신 자원을 정부기관이 수용함으로써 관련 시장 활성화와

국가 예산의 효율적 활용 효과 기대

- 트송가와 킬머 의원은 ‘국방 클라우드 보안법’으로 국방부에 납품되는 클라우드

솔루션이 갖춰야 할 보안 기준이 명확해짐에 따라 더 많은 민간 사업자들이 기회를

얻게 될 것이라고 밝힘

국방부 최고정보책임자(CIO) 역할 강조 등 클라우드 보안 관리 효율성 증대 노력

이번 법안은 국방부의 민간 클라우드 도입과 관련해 자체적인 내부 역량 조사 및

민간·공공 영역에서의 클라우드 도입 사례 분석 등을 통한 명확한 방향성 수립 요구

- 연방 정부기관들의 클라우드 도입 사례, 민간 클라우드 사업자들의 클라우드 솔루션

제공 사례 등에 대해 종합 분석을 통한 성공 사례 도출

- 국방부 및 기타 정부기관의 클라우드 도입 실태 파악을 통한 국방부의 클라우드

도입 가능 역량 확인

- 국방부가 클라우드 솔루션 도입 시 취할 수 있는 기회요인 평가

또한, 국방부 최고정보책임자(CIO)의 역할을 강조, 클라우드 보안 기준 수립 및 민간

클라우드 도입 시 리스크 관리 등의 역할을 부여

미국 하원, 국방 클라우드 보안법 입법 추진정책연구실 정책기획팀

Page 18: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

16

- 국방부 소유의 정보를 관리하게 되는 모든 클라우드 서비스가 준수해야 할 보안 기준 결정

- 기존 민간 클라우드 서비스 및 타 연방기관의 클라우드 서비스가 보안 기준을

준수하고 있는지 평가

한편, 국방부는 기존 국방부의 정보보호 인증 절차(DoD Information Assurance Certification

and Acceditation Process) 대신 국립표준기술연구소(National Institute of Standards and Technology,

NIST)의 클라우드 보안 인증 프로그램(Federal Risk and Authorization Management

Program, FedRAMP)을 도입하기로 결정(‘14.3.12)

※ 클라우드 보안 인증 프로그램(FedRAMP) : 미국 연방정부내 클라우드 제품 및 서비스에 대한

보안 평가, 권한 등을 표준화한 프로그램

- 퍼듀 대학교(Purdue University)의 유진 스패포드(Eugene Spafford) 컴퓨터공학

교수는 국방부가 FedRMP를 도입할 경우, 연방정부 전반에 걸쳐 리스크 관리

시스템의 표준화가 이뤄져 효율성이 증대될 것으로 전망

1. GovInfo Security, "Bill Pushes Cloud Computing for DoD", 2014.4.28

2. Nextgov, "LAWMAKERS WANT PENTAGON TO CLARIFY CLOUD SECURITY STANDARDS", 2014.4.25

Page 19: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

17

개요

미국 국토안보부(Department of Homeland Security, DHS), 미국 주요기반시설 사이버 보안

강화를 위한 오바마 대통령의 행정명령(Executive Order 13636) 공표(‘13.2.12)이후, 미국 해양경비대(Coast

Guard)와 함께 해양분야 관련 사이버보안 강화를 위한 노력 지속

※ 해양경비대(Coast Guard) : 미국 해안경비 및 이와 관련한 사이버보안 업무를 전담하는 조직

주요 내용

미국 국토안보부(DHS)은 2015년내에 사이버보안 강화 및 업무 효율성 향상을 목표로

하는 정책 발표(‘14.5.2)

- 국토안보부 및 각 산하기관의 기관 간 제휴를 통한 사령탑 구축, 신규 R&D 프로젝트

착수, 내부 인력의 모바일 단말 관리 등의 정책을 통해 사이버보안 강화를 도모할 예정

최근 국토안보부는 해안경비대(Coast Guard)와 공동으로 워싱턴 D.C.에 사이버 커맨드 센터(Command

Center)를 설립하고 내부 사이버보안 관련 업무를 해당 기관으로 이전 추진

- 사이버 커맨드 센터는 ‘14년 7월부터 정식으로 운영될 예정이며, .gov, .mil의 도메인

주소를 보유한 미국 연방 정부기관 및 국방 시설 간의 사이버보안 업무 공유 및

조율 절차 개선에 주력할 예정

또한, 해양경비대(Coast Guard)의 해양분야 사이버보안 강화를 위한 사이버 전략 발표 예정

- 同 전략은 해양경비대 네트워크 보안 강화, 해양관련 주요 기반시설 보안, 해상운송시스템(Marine

Transportation System) 등 사이버 시스템 역할 강화 등 3가지의 목표를 가지고 있음

한편, 최근 해안경비대의 연간 예산이 대폭 삭감됨에 따라 사이버보안 정책 수행이

우려되고 있는 상황

- 해안경비대 로버트 데이(Robert Day) 소장에 따르면, 최근 제시된 해안경비대의

2016년(회계연도 기준) 예산이 크게 감소하여, 향후 사이버 전략 수행에 재정적

어려움이 예상된다고 밝힘

※ 현재 해안경비대는 IT 인프라 개선 및 사이버보안 강화에 활용 될 예산을 배정하지 않아

운영 예산으로 충당 중

- 다만, 해안경비대가 이를 만회하기 위해 내부적으로 1,000만~1,500만 달러(약 103억~154억 원)

사이버보안 예산을 확보하기 위해 노력 중이라고 밝힘

미국 국토안보부(DHS), 해양분야 사이버보안 강화 노력정책연구실 정책기획팀

Page 20: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

18

1. Information Week, "Homeland Security Targets Cybersecurity Upgrades". 2014.5.2

2. Reuters, "Homeland Security struggles to tempt, retain cyber talent", 2014.4.26

Page 21: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

19

개요

글로벌 보안기업 체크포인트社 2013년 주요 보안 관련 이슈 및 현재 악성코드

트렌드의 내용을 담고 있는 ‘2014 시큐리티 보고서(Security Report)’ 발표

※ 체크포인트社 : 이스라엘 인터넷 보안 전문업체

주요 내용

(악성코드 감염현황) 122개국에 설치된 9,000개 이상의 자사 보안제품을 통해 모니터링 한

결과, 전 세계에 걸쳐 악성코드 활동이 전년대비 크게 증가하고 있음

- 기업의 약 33%가 알 수없는 악성 코드에 최소한 한번 이상 감염되었으며 ,

감염된 파일의 35%는 PDF, 33%는 EXE, 27%는 아카이브 등의 파일로 확인되었음

(기업들의 데이터 유출 증가 추세) 일 년간 데이터 유출 사건이 발생한 기업이 전체

기업의 88%를 차지, 2012년에 사고 발생 기업이 전체의 34%인 것에 비해 2배 이상

증가한 수치

- 금융 기업의 33%가 자사의 신용카드 정보가 유출되었으며, 건강 및 보험 관련

기업의 25%는 중요 의료정보 유출

(봇넷 감염률 증가 및 기업 내 취약한 프로그램 사용으로 보안 위협 증가) 기업 내부

PC 조사를 진행하는 동안 악성 봇의 77%가 치료 및 삭제되지 않고, 4주 넘게

활동하는 것이 포착되었고, 이 봇들은 C&C 서버와 매 3분마다 통신하는 것으로 확인

- 토렌트, P2P 파일공유 프로그램 등 취약한 프로그램 사용률이 2012년 61%에서

2013년에는 75%로 급증했는데, 이는 심각한 보안 위협을 초래하는 원인이 됨

(기업 내부에 존재하는 다양한 보안 위협) 24시간마다 기업 내 단말기가 악성코드에

감염된 웹사이트를 방문하고 있으며, 9분마다 보안이 취약한 토렌트 등의

프로그램을 사용, 249분마다 정보 유출이 진행

- 윈도우 보안업데이트 미실시, 오래된 응용프로그램(익스플로러, 어도비 플래쉬 등)

사용도 기업 내부 보안 취약점 유발의 원인

체크포인트社, 2014년 시큐리티 보고서 발표침해사고대응단 종합상황대응팀

Page 22: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

20

기업 내부에서 발생하는 하루 평균 보안 위협 통계

(다양한 종류의 악성코드) 현재 랜섬웨어·핵티비즘· APT 등 다양한 형태로 악성코드가

생성 및 유포되고 있음

※ 랜섬웨어(Ransomware) : 컴퓨터 이용자의 중요 자료나 개인정보를 볼모로 잡고 돈을

요구하는 신종 악성코드

악성코드 트랜드

시사점

변칙적인 악성코드 발생 등 안티-바이러스 제품(Symantec, kaspersky)만으로는 악성코드

예방이 어렵기 때문에 하드웨어와 소프트웨어, 네트워크 트래픽을 종합적으로 분석 및

고려하는 시각이 필요

고도화 되고 있는 보안 제품이나 기술에만 의존하는 것이 아니라 기업 전 직원의

보안 의식 고취를 통한 보안 위협을 최소화 할 수 있는 공동의 노력이 필요

Page 23: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

21

1. Security Affairs, Check Point Security Report 2014 – Malware in the enterprise, 2014.5.12

2. Australian Security, Check Point research reveals massive increase in new and unknown malware on

enterprise networks, 2014.5.9

Page 24: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

22

Page 25: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

23

영국 방송통신규제기관 오프콤(Ofcom), 무선 주파수 관리 전략(Spectrum Management Strategy) 발표

오프콤(Ofcom)은 향후 10년 간 국가 무선 주파수 관리를 위한 전략(Spectrum

Management Strategy)을 발표(‘14.4.30)

- 이번 전략은 증가하는 모바일 데이터 서비스 지원에 효과적으로 대응하기 위한

주파수 자원 재할당을 주요 골자로 삼고 있음

- 2025년까지 현재의 두 배 수준인 연간 1,000억 파운드의 전파 수익을 달성하기 위한

정부 재정 플랜의 일환

화이트스페이스 및 공공 주파수 대역 개방 등 주파수 자원 확보를 통한 미래 모바일

데이터 서비스 수요에 대응

※ 화이트스페이스 : TV용 주파수대역에서 활용되지 않는‘유휴 주파수 대역’을 일컬음.

아날로그TV가 디지털TV로 전환됨에 따라 화이트스페이스 활용은 각국의 주요 주파수

정책 이슈로 부각

- 미래 모바일 데이터 수요 대응을 위해 모바일 데이터용 주파수 대역 활용 확대를 위한

사례 검토와 함께 모바일 커버리지 개선 및 5G 기술 활용 대역 추이를 모니터링 할 계획

- 또한, ‘18년 이후 모바일 브로드밴드용 700MHz 대역 활용을 목표로 현재 TV

서비스 용도로 할당 중인 화이트스페이스 주파수 대역 활용 방안 모색

- 현재 공공 주파수 대역 개방의 일환으로 500MHz 대역 개방을 목표로 설정했으며,

이를 위해 우선 국방부가 사용 중인 2.3GHz와 3.4GHz 대역부터 개방에 착수

세계 최초로 M2M 통신 지원 주파수 대역 개방을 위해 870MHz~915MHz 대역을

비면허 대역화함으로써 M2M 대역 지원 확대를 본격화할 계획

- 또한, PMSE(Programme making and special events) 활용 기관들과의 공조 하에

무선 마이크. 리모콘 및 카메라 등 방송 장비 관련된 주파수 요구 사항 수렴하여,

PMSE 주파수 공유 지원 확대 및 긴급 대응 역량 강화를 위한 별도의 주파수 대역

확보 계획을 마련할 예정

※ PMSE(Programme making and special events) : 일반적으로 스포츠, 콘서트 등의 유럽

방송을 지원하는데 사용되는 장비를 의미

영국 오프콤(Ofcom), 무선 주파수 관리 전략 발표

국제협력본부 해외진출지원팀

Page 26: 인터넷 정책·산업 ·문화 - KISA · 인터넷 정책·산업 ·문화 미국 연방통신위원회(fcc), 망 중립성 개정안 발표 2 미국 연방정부, 프라이버시

24

영국 정부, 주파수 개방을 통한 자국내 방송통신 사업자 글로벌 시장 진출 기여

모바일 데이터 주파수 대역 활용을 통한 자국내 방송통신 사업자들의 글로벌 시장 진출 촉진

- 공공 주파수 재배치 및 화이트 스페이스의 적극적 활용 등의 내용을 포함한 이번

전략은 그간 영국 정부가 일관되게 유지해 온 시장 지향적 주파수 면허 거래 자유화

기조 유지를 강화한 것으로 평가

- 더불어 Ofcom은 국제 관행과의 조율 하에 모바일 데이터 서비스용 대역 할당

원칙을 세워갈 것으로 기대되며, 이를 통해 자국 통신사업자, 휴대폰 및 단말 제조

사업자들의 글로벌 시장 진출에 기여할 것으로 전망

한편, 방송사업자 단체의 경우, 디지털 지상파TV 대역의 모바일 브로드밴드 활용

우려 제기

- 이번 전략에 따라 Ofcom은 디지털 지상파TV(DTT) 프로그램 제공용으로 활용되는

주파수 대역을 모바일 브로드밴드용으로 재할당하는 안을 검토할 예정

- 한편, 디지털 방송 사업 촉진 기구인 Digital UK는 2014년 초 자체 보고서등을 통해

DTT 서비스용 주파수 할당이 모바일 데이터 서비스용 주파수 할당 대비 2배 가량의

경제적 효과가 있어 대역에서의 모바일 브로드밴드 활용에 부정적 견해를 밝힘

1. Ofcom outlines Spectrum Management Strategy. telecoms.com, 2014.5.1

2. Ofcom spectrum strategy designed to manage expected data explosion from mobile services

and internet of things, Out-Law.com, 2014.5.1

3. Spectrum Management Strategy, Ofcom, 2014.4.30

4. Assigning radio spectrum to mobile at expense of digital TV 'hard to justify', new report

says, Out-Law.com, 2014.1.20