사람, 사물, 공간, 데이터 등 모든 것이 인터넷으로 연결되는 사물인터넷은 전 산업분야와 융합해 새로운 서비스를 창출하고 부가가치를 높이는 창조경제의 핵심동력 중 하나이다. 한편 사물인터넷 관련 법규들 중 문제점이 제기되는 개인정보보호법 등에 관한 법률에 개선 이슈도 논의되고 있다.

 
기존의 법규들이 새로운 서비스를 창출하고 부가가치를 높이는 사물인터넷 활성화에 장애물로 작용하고, 새로운 상품의 시장 유통을 방해할 수도 있기 때문에 법제도 개선방향은 어떻게 이루어져야 할까.
 
우선 사물인터넷 보안 침해사고 사례를 살펴보면, 냉장고, TV 해킹을 통해 1년간 75만 건의 스팸메일을 발송시킨 사례, 필립스사에서 출시하는 LED 전구 제어시스템 해킹, 리눅스 탑재 PC, 가정용 라우터, 셋톱박스, CCTV 등 다양한 디바이스 감염시킬 수 있는 신종 웜 Linux.Darlloz 발견, 러시아, 중국산 다리미, 주전자에서 무선네트워크 접속 및 도청 기능 탑재된 칩셋 발견 등을 들 수 있다.
 
자동차 분야에서는 악성 앱에 감염된 스마트폰을 무선통신망을 통해 차량의 전자제어장치와 연결해 차량을 원격제어하느 해킹 사례 또 의료분야에서는 심박기에 내장된 전송기의 펌웨어를 해킹해 전기공급량을 원격제어하는 해킹 시연, 인슐린 농도를 조절할 수 있는 인슐린 펌프의 통신 주파수 해킹을 통해 인슐린 투여량을 원격에서 조작하는 해킹 시연 등이 이루어졌다.
 
이외에도 스마트미터 소프트웨어를 조작해 평상시 전기요금의 50%를 부과할 수 있는 방법, 수력발전소 스카다 시스템이 악성코드에 감염돼 펌프 오작동을 일으키고 IP 카메라 주소만 알면 온라인으로 영상 및 음성을 도감청 가능한 사례 등이 이슈가 된 바 있다.
 
또 사물인터넷의 구성 요소별 보안위협 유형을 살펴보면, 우선 단말/센서 부분에서 관리 부주의로 인한 분실·도난 및 파괴, 웜·바이러스 감염 등에 따른 정보유출 등을 들 수 있다. 네트워크 부분에서는 신호교란, DDos 공격 등을 통한 가용성 침해, 도·감청으로 인한 정보 유출 및 위·변조 등 위협이 예상된다. 그리고 플랫폼/애플리케이션 부분에서는 내부시스템의 취약한 보안설정 및 설계로 인한 비인가자 접근, 해킹 및 윔·바이러스 감염에 따른 정보유출 등이 그 위협으로 예상된다.
 
◇ICT신산업과 개인정보보호법의 적용 문제
한편 현행 개인정보보호법, 정보통신망법, 신용정보보호법 등은 개인정보처리자와 정보주체(또는 정보통신서비스 제공자와 이용자)라는 양자적 구조를 바탕으로 한 개인정보 보호의 기본 원칙으로 하고 있다. 따라서, 정보주체로부터 특정 사항을 고지하거나 직접 동의를 얻는 것이 거의 불가능한 빅데이터, 사물인터넷 등 분야에서는 현행법을 그대로 적용하기 어렵다.
 
ICT신산업에서의 개인정보의 활용 형태는 기존의 “개인정보처리자-정보주체”라는 양자적 구조의 범위를 이미 넘어선 상태라고 말할 수 있기 때문이다.
 
빅데이터 환경에서는 정보의 처리과정에서 다양한 정보를 결합함으로서 비식별 정보를 개인 식별정보로 전환이 가능하다. 다양한 경로에서 수집된 비정형 데이터에서는 개인정보의 포함 여부와 2차 가공 후 생성된 정보에 개인정보가 포함되었는지 여부도 확인하기 어렵다. 그리고 비정형 데이터를 수집·이용하고 분석결과를 여러 가지로 활용하므로 사전에 수집항목, 이용목적 등을 사전에 특정할 수도 없다.
 
이 때문에 정보주체로부터 애초부터 동의를 얻을 수 없는 환경에 있음에도 불구하고, 현행 법에 따라 동의를 받도록 의무화한다면, 등의를 어떻게 받아야 할 것이며, 동의가 필요한 정보의 범위의 기준을 어떻게 정하여야 할지도 알 수 없다.
 
혹시나 그렇게 의무대로 동의를 얻는 것이 가능하더라도 대부분의 경우에 그것을 이행하기 위해 소요되는 비용으로 인해 해당 사업을 포기해야 할 경우까지 발생할 수 있다. 모든 만물에 위치정보와 상태정보가 붙어 다니는 사물인터넷 환경에서도 동일한 문제가 제기될 것이다.
 
이렇듯 ICT 신산업의 분야에 현행법을 적용하게 되면 해당 산업의 많은 부분이 현행법을 위반하게 되는 현상을 경험하게 될 것이고, 이러한 상황에서 합법적인 ICT 신산업 발전을 어렵게 보여진다. 개인정보 보호와 관련한 현행 법령들이 급속히 변화하고 있는 프라이버시 패러다임의 변화를 반영하도록 해결하는 것이 필요하다.
 
◇사물인터넷 관련 법제도 개선방안
차량과 같이 이동성이 있는 물건의 위치정보를 수집하는 경우, 카메라를 통한 영상기록을 이용하는 한 차량번호와 결합하여 쉽게 특정 개인을 식별할 수 있게 될 가능성이 존재한다. 따라서 교통량 측정을 위한 이동성 물건 위치정보 수집행위는 기본적으로 위치정보법에서 말하는 물건위치정보 수집행위에 해당됨과 동시에 개인정보 수집행위에도 해당될 수 있다.
 
물론 이를 허용하는 규정이 개인정보보호법 제25조제1항제5호에 마련되어 있기는 하지만 개인정보는 필요한 범위에서 최소한의 정보만을 적법하고 정당하게 수집되어야 하는 것이 원칙이므로, 교통량 정보를 수집하면서 개인정보까지 수집되는 것은 아니라고 보는 것이 타당하다. 그러한 측면에서 영상정보처리기기를 통한 교통량 정보 수집 과정에서 개인정보가 수집되지 않도록 조치를 의무화 할 필요가 있다.
 
사물인터넷은 ‘개방형 환경에서 인터넷을 기반으로 사람, 사물, 데이터 및 프로세스를 서로 연결하여 정보를 교류하고 상호 소통하는 지능형 인프라’로서 홈·가전, 교통·물류, 건설, 에너지, 헬스케어, 사회안전 등 여러 분야에서 새로운 상품을 개발하고 공급해 창조경제의 핵심동력 가운데 하나가 될 것으로 기대를 모으고 있다.
 
현재 사물인터넷 시장은 전세계적으로 2013년도에 약 5조 4천억 달러 규모이었던 것이 2020년에 이르면 약 8조 8천억 수준이 되어 연평균 7.9% 정도 성장할 것으로 전망되고 있으며, 새로 개척되는 시장이고 적극적인 대처가 필요한 분야이다.
 
이와 같은 사물인터넷의 활용이 긍정적인 여러 측면을 가지고 있음에도 불구하고 기존의 규제법제로 인해 상품화해 서비스 제공에 이어지는데 법률 미비 등으로 법 제ㆍ개정의 필요성이 있다.
 
먼저, 정보통신망법 등 현행 법령의 테두리 안에서 ICT산업 환경을 반영하지 못하거나 산업을 위축시키는 규제를 찾아내어 이를 완화하는 방안을 모색할 수 있을 것이다. 예를 들면, 동의 규정을 개정하여 빅데이터, 사물인터넷 등 환경에서는 개인정보 이용에 대한 예외 조항을 규정하는 방안을 고려해 볼 수 있을 것이다.
 
또는 법령의 개정으로도 IoT 신산업 환경을 반영하기 곤란한 경우에는 각 분야별로 개인정보 활용을 위한 가이드라인을 마련하여 제시하는 방안도 생각해 볼 수 있다. 예를 들면, 정부에서 추진 중인 ‘빅데이터 개인정보보호 가이드라인’, ‘사물인터넷 정보보안 가이드라인’ 등을 들 수 있다.
 
나아가 장기적으로는 신규산업 관련 가이드라인 중에서 반드시 규제 등이 필요한 사항에 대해 정보통신망법 등 관련 법령에 반영하는 등 점차적으로 법제화할 수 있을 것이다.
 
또 사물인터넷은 네트워크, 서비스, 플랫폼/디바이스 등 생태계별로 다양한 보안위협이 있지만, 보안문제에 관한 논의는 시작 단계에 있다. 사물인터넷의 경우 아직은 초기 단계이므로 당장은 현행의 법체계를 최대한 활용하는 방안을 고려해 볼 수 있다. 예를 들면 위치정보법과 관련해서는 규제대상이 되는 ‘물건 위치정보’의 개념을 구체화해 ‘개인 위치정보’와 구분하고 그 활용을 완화하는 방안 등이 있다.
 
이와 같은 법 규정 상의 규제는 필요하기 때문에 만들어진 것이기에 창조경제의 장애물이라고 해서 무조건 제거할 수는 없을 것이다. 따라서 필요한 부분에서 합리적인 수준으로 규제의 내용을 조정할 필요가 있다.
 
[※원문: 사물인터넷활성화를 위한 법제도 개선 방안. 한국인터넷진흥원 법제연구팀 박미사 연구원. 해당 논문은 데일리시큐 자료실에서 다운로드 가능하다.]