[보안뉴스]개인정보위, 마이데이터 생태계 확산 박차...지원사업 5개과제 선정

내용 요약

개인정보보호위원회와 한국인터넷진흥원이 국민의 개인정보 자기결정권 강화와 안전한 데이터 활용 보장을 위해 MyData 생태계 확산에 나섰습니다. 특히, 의료·통신 분야를 포함한 총 5개 과제를 선정하여 MyData 지원 플랫폼 2차 구축 사업을 본격적으로 착수했습니다. 이는 개인이 자신의 정보를 능동적으로 관리하고 통제할 수 있는 MyData 서비스의 확대를 의미합니다.

핵심 포인트

• MyData 생태계 확산을 통한 개인정보 자기결정권 강화: 개인이 자신의 정보에 대한 통제권을 확보하고 주체적으로 활용할 수 있도록 MyData 시스템을 확대합니다.
• 안전한 데이터 활용 보장: MyData 환경에서 데이터가 안전하게 수집, 저장, 전송, 활용될 수 있도록 강력한 보안 조치를 강조합니다.
• MyData 지원 플랫폼 2차 구축 사업 착수: MyData 서비스의 안정적인 운영과 확산을 위한 핵심 인프라인 지원 플랫폼을 고도화합니다.

기술 세부 내용

1️⃣ MyData (마이데이터)

• 개념: MyData는 개인이 자신의 정보를 적극적으로 관리하고 통제하며, 정보 활용에 대한 주권을 행사하는 데이터 관리 패러다임입니다. 특정 기업이나 기관에 흩어져 있는 개인 정보를 한곳에 모으거나 개인이 원하는 곳으로 전송하여 금융, 의료, 통신 등 다양한 분야에서 맞춤형 서비스를 제공받을 수 있도록 지원하는 것을 목표로 합니다.
• 보안적 의미:
  • 개인정보 자기결정권 강화: 개인이 자신의 데이터에 대한 열람, 전송, 삭제 등을 직접 결정하고 통제할 수 있게 함으로써 정보 주체의 권리를 실질적으로 보장합니다.
  • 분산된 데이터 관리: 중앙 집중식 데이터 저장 방식에서 벗어나 개인이 데이터 흐름의 중심이 됨으로써 대규모 데이터 유출 위험을 분산하고, 특정 기관에 대한 의존도를 낮춥니다.
  • 투명한 데이터 활용: 데이터가 어떻게, 누구에게, 어떤 목적으로 제공되고 활용되는지 개인이 명확하게 인지하고 동의할 수 있는 구조를 제공하여 오남용을 방지합니다.
  • 안전한 데이터 전송: 표준화된 API (Application Programming Interface) 등을 통해 데이터를 안전하게 전송하며, 이 과정에서 데이터 암호화, 접근 제어 등 다양한 보안 기술이 적용됩니다.
  • 맞춤형 보안 설정: 사용자가 자신의 데이터에 대한 접근 권한이나 활용 범위를 세밀하게 설정할 수 있도록 지원하여 개인 맞춤형 보안 환경 구축이 가능합니다.

2️⃣ 개인정보 자기결정권 (Right to Personal Information Self-Determination) ️

• 개념: 정보 주체인 개인이 자신에 관한 정보를 언제, 누구에게, 어떤 범위까지 공개하고 이용하도록 할 것인지를 스스로 결정할 수 있는 헌법상 기본권이자 프라이버시권의 일종입니다. 이는 데이터 주체에게 자신의 데이터에 대한 통제권을 부여하는 핵심 원칙입니다.
• MyData와의 연관성: MyData는 이 개인정보 자기결정권을 기술적으로 구현하고 현실화하는 핵심 수단입니다. 단순히 권리 선언을 넘어, 실제 시스템과 플랫폼을 통해 개인이 자신의 데이터를 직접 관리하고 통제할 수 있도록 지원함으로써 이 권리를 실질적으로 행사할 수 있도록 돕습니다.
• 기술적 구현 요소:
  • 동의 관리 시스템 (Consent Management System): 사용자가 데이터 제공 및 활용에 대해 명확하게 동의하거나 철회할 수 있는 기능을 제공합니다. 이는 블록체인 기반의 분산원장기술(DLT)이나 강력한 인증 기술과 결합되어 동의의 신뢰성과 투명성을 높일 수 있습니다.
  • 접근 통제 (Access Control): 개인이 허용한 범위 내에서만 데이터에 접근하고 활용할 수 있도록 하는 기술적 제약을 가합니다. 역할 기반 접근 통제 (RBAC)나 속성 기반 접근 통제 (ABAC) 등이 활용될 수 있습니다.
  • 데이터 이동성 보장 (Data Portability): 사용자가 자신의 데이터를 다른 서비스나 플랫폼으로 쉽고 안전하게 전송할 수 있도록 기술적으로 지원합니다. 이를 위해 표준화된 API 및 데이터 포맷이 중요하게 작용합니다.
  • 데이터 삭제 및 정정권 (Right to Erasure and Rectification): 개인이 자신의 데이터에 대한 삭제 또는 정정을 요구할 수 있는 기능을 제공하며, 이는 데이터베이스 관리 시스템 및 백업 정책 등과 연동되어 정확성과 최신성을 유지하도록 합니다.

3️⃣ 안전한 데이터 활용 (Secure Data Utilization)

• 개념: 개인정보가 수집, 저장, 처리, 전송, 폐기되는 모든 과정에서 발생할 수 있는 보안 위협으로부터 데이터를 보호하고, 정보 주체의 프라이버시를 침해하지 않으면서 데이터를 효과적으로 활용하는 것을 의미합니다. MyData 환경에서는 데이터의 이동성이 높아지는 만큼, 이 안전성이 더욱 중요하게 강조됩니다.
• MyData 환경에서의 중요성: MyData는 데이터의 이동성과 활용성을 높이는 동시에, 데이터 유출, 오남용, 위변조 등의 잠재적 위험도 함께 증가시킬 수 있습니다. 따라서 MyData 시스템의 성공적인 운영을 위해서는 데이터의 안전한 활용을 보장하는 강력한 보안 대책이 필수적입니다.
• 기술적 구현 요소:
  • 데이터 암호화 (Data Encryption): 저장 데이터 (Data at Rest) 및 전송 데이터 (Data in Transit)에 대한 강력한 암호화를 적용합니다. AES, RSA 등 국제적으로 표준화된 암호화 알고리즘을 활용하여 데이터가 비인가자에게 노출되더라도 내용을 파악할 수 없도록 합니다.
  • 접근 제어 및 인증 강화 (Enhanced Access Control & Authentication): 다단계 인증 (MFA), 생체 인증, PKI (Public Key Infrastructure) 기반 인증 등을 통해 비인가 접근을 방지하고 사용자 신원을 철저히 확인합니다. 최소 권한 원칙(Principle of Least Privilege)을 적용하여 필요한 최소한의 권한만 부여합니다.
  • 데이터 비식별화 기술 (Data Anonymization/Pseudonymization): 개인을 식별할 수 있는 정보를 제거하거나 가명 처리하여 데이터 활용의 폭을 넓히면서도 개인정보 침해 위험을 최소화합니다. K-익명성, L-다양성, T-근접성 등의 기법이 활용될 수 있습니다.
  • 보안 감사 및 로깅 (Security Auditing & Logging): 모든 데이터 접근 및 처리 활동을 상세히 기록하고 모니터링하여 이상 행위를 탐지하고, 보안 사고 발생 시 원인 분석 및 추적을 가능하게 합니다.
  • 침입 방지 및 탐지 시스템 (IPS/IDS): 네트워크 트래픽 및 시스템 로그를 실시간으로 분석하여 악의적인 공격(예: DDoS 공격, SQL Injection)을 탐지하고 차단하는 시스템을 운영합니다.
  • 보안 취약점 관리 (Vulnerability Management): 시스템 및 애플리케이션의 보안 취약점을 지속적으로 분석하고 패치하여 알려진 또는 잠재적 위협에 대비합니다. 정기적인 보안 취약점 진단 및 모의 해킹을 통해 시스템의 강건성을 확보합니다.

4️⃣ MyData 지원 플랫폼 (MyData Support Platform)

• 개념: MyData 서비스의 효율적인 운영과 확산을 위해 필요한 기술적, 관리적 기반을 제공하는 통합 플랫폼입니다. 개인정보보호위원회와 한국인터넷진흥원이 구축하는 핵심 인프라로서, MyData 생태계 참여자들이 원활하게 협력하고 안전하게 데이터를 교환할 수 있도록 지원합니다.
• 보안적 역할: 이 플랫폼 자체에 앞서 설명된 MyData, 개인정보 자기결정권, 안전한 데이터 활용을 위한 모든 기술적 요소들이 집약되어 구현됩니다. 즉, 플랫폼 자체가 MyData 보안의 허브 역할을 수행합니다.
• 포함될 수 있는 핵심 보안 기능:
  • 표준화된 API 게이트웨이: 안전하고 통제된 방식으로 데이터 제공자(기업, 기관)와 수요자(MyData 사업자, 개인) 간 데이터 전송을 중개합니다. API 보안(API Security) 기능(인증, 인가, 암호화, 속도 제한, 입력값 검증 등)을 내재하여 API를 통한 공격을 방어합니다.
  • 동의 관리 및 권한 관리 모듈: 사용자의 동의 이력을 투명하게 관리하고, 사용자가 부여한 데이터 접근 권한을 세부적으로 설정하고 제어하는 기능을 제공합니다. 이는 블록체인 등을 활용하여 무결성을 높일 수 있습니다.
  • 데이터 표준화 및 변환 모듈: 다양한 형식의 데이터를 MyData 표준에 맞춰 변환하고, 필요시 개인정보 비식별화 처리를 수행하여 데이터 활용도를 높이면서도 프라이버시를 보호합니다.
  • 보안 감사 및 모니터링 시스템: 플랫폼 내 모든 데이터 흐름과 사용자 활동을 실시간으로 감시하고, 이상 징후 발생 시 즉시 경고하거나 차단하는 자동화된 시스템을 운영합니다.
  • 개인정보보호 및 법규 준수 기능: GDPR (General Data Protection Regulation), CCPA (California Consumer Privacy Act) 등 국제적인 개인정보보호 규제 및 국내 개인정보보호법 등 관련 법규를 준수하기 위한 기술적, 관리적 통제를 구현합니다. 법규 준수 여부를 지속적으로 검토하고 반영합니다.

 

출처: http://www.boannews.com/media/view.asp?idx=138454&kind=&sub_kind=