Review of KIISC (정보보호학회지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지

국제 개인정보보호 표준화 동향 분석(2023년 4월 ISO/IEC JTC 1/SC 27/WG 5 회의 결과를 중심으로)

  • 박성채 (순천향대학교 차세대보안 표준전문연구실) ;
  • 염흥열 (순천향대학교 정보보호학과)
  • Published : 2023.08.31
Download PDF
⟨ Previous Next ⟩

Abstract

최근 인공지능, 디지털 트윈, 메타버스 기반의 신규 ICT 서비스가 도입되면서 이러한 서비스에서 발생할 수 있는 프라이버시 위험의 적절한 처리는 매우 중요하게 대두되었다. 이의 대표적인 기술적 대책이 프라이버시 강화 기술의 적용이다. 이와 관련하여 개인정보보호 국제표준은 국가나 조직의 관행과 기술을 국제 표준으로 개발하여 상호 연동이 가능한 서비스를 제공하는 역할을 하며, 이로 인해 제품이나 서비스의 경쟁력을 강화하는데 활용될 수 있다. 개인정보보호 국제 표준화를 주도적으로 추진하고 있는 대표적인 국제 표준화 그룹으로는 국제표준화위원회/전기위원회 합동위원회 1/서브위원회 27/작업그룹 5 (ISO/IEC JTC 1/SC 27/WG 5)가 있으며, 독일 쾨테대학의 Kai Rannenberg 교수가 이 그룹의 의장을 맡고 있다. 2022년 ISO/IEC JTC 1/SC 27/WG 5 전자회의 이후 우리나라 주도의 국제표준은 2건 채택되었다. 차기 회의는 2023년 10월 서울에서 원격 참여가 허용된 대면회의로 개최될 예정이다. 본 고에서는 이 그룹에서 2022년 7월 이전 채택된 개인정보보호 관련 국제표준과 현재 개발 중인 주요 국제표준 동향을 살펴보고자 한다. 또한 지난 4월 SC27 WG5 회의에서 논의된 개인정보보호 관련 주요 표준화 이슈와 대응 방안을 제시한다.

Keywords

Ⅰ. 서론

우리나라 개인정보보호법[1]에서는 개인정보를 “살아 있는 개인에 관한 정보”로 정의한다. 그리고 2020년 8월에 시행된 통합 개인정보보호법을 통해 가명 정보의 활용과 결합이 활발히 이루어지고 있다. 가명처리는 “개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리”하는 것으로, 개인정보처리자는 통계 작성, 과학적 연구, 공익적 기록 보존 등을 위해 정보주체의 동의 없이 가명처리된 가명정보를 처리할 수 있다[1]. 2018년 5월 25일부터 발효된 유럽연합 개인정보보호법(GDPR, general data protection regulation)[2] 에서도 가명화(psedonymization) 를 "추가 정보를 사용하지 않고는 데이터가 더 이상 특정 데이터 주체에 귀속될 수 없도록 하는 방식으로 개인 데이터를 처리하는 것"으로 정의하고 있다.

최근 인공지능, 디지털 트윈, 메타버스 기반의 서비스가 도입되면서 이러한 서비스에서 발생할 수 있는 프라이버시 위험의 적절한 처리가 매우 중요하게 대두되었다. 이의 대표적인 기술적 대책이 프라이버시 강화 기술의 적용이다.

ISO/IEC JTC 1/SC 27/WG 5 [3]는 개인정보보호와 관련된 국제표준을 개발하고 있는 표준화 그룹이다.

본 고는 [21], [22], [23], [24] 후속 논문으로 2022년 하반기와 2023년 상반기 WG5에서 수행된 표준화 활동을 반영한 논문이라고 볼 수 있다. 본 고의 내용은 [24]에 기반을 두고 업데이트했으므로, 독자의 편의와 완전성을 위해 많은 부분을 인용했음을 미리 알린다.

본 고의 2장에서는 ISO/IEC JTC 1/SC 27/WG 5에서 개발된 국제표준과 2022년 4월 회의 이후 2023년 4월 SC 27/WG 5 회의에서 채택된 신규 개발 표준을 포함하여 개인정보보호와 관련된 주요 국제표준의 현황과 내용을 살펴본다. 3장에서는 결론을 맺는다.

Ⅱ. SC 27/WG 5 개인정보보호 표준화 동향

2.1. 개인정보보호 관련 국제표준화 현황 개요

이 그룹에서는 프라이버시 프레임워크 (ISO/IEC 29100) [4], 프라이버시 영향평가 (ISO/IEC 29134) [5], 개인정보보호 준칙(ISO/IEC 29151) [6], 개인정보 수탁자로서 퍼블릭 클라우드에서 개인정보보호 준칙(ISO/IEC 27018) [7], 개인정보관리체계와 관련된 요구사항 및 지침 (ISO/IEC 27701) [8], 사용자 친화 온라인 고지 및 동의 (ISO/IEC 29184) [9], 개인정보 삭제 프레임워크 (ISO/IEC 27555) [10], 스마트시티 프라이버시 가이드라인 (ISO/IEC TS 27570) [11] 개발을 완료했고, 국내 마이데이터 서비스와 긴밀하게 연관된 사용자 중심 프라이버시 선호 관리 프레임워크(ISO/IEC 27556) [12] 와 인공지능 이용 사례에서 보안과 프라이버시(ISO/IEC TR 27563) [13], 조직 프라이버시 리스크관리 (ISO/IEC 27557) [14], 프라이버시 개선 데이터 비식별화 프레임워크(ISO/IEC 27559)[15], 개인정보보호 관리체계의 인증 및 심사 기관 요구사항 (ISO/IEC 27006-2) [16], 동의 레코드 정보 구조 (ISO/IEC 27560) [17] 등도 국제표준으로 개발 완료되었다. 특히 프라이버시 강화 데이터 비식별화 프레임워크는 우리나라의 가명처리 기법과 긴밀하게 연계된 표준이다.

또한 이 작업반에서는 핀테크 서비스 프라이버시 가이드라인 (ISO/IEC CD2 27562)[18], 프라이버시 운용 모델 및 엔지니어링 방법 (ISO/IEC DIS 27561)[19], 영지식 증명 기반 프라이버시 보존 가이드라인(ISO/IEC WD 27565) [20] 등 국제표준을 개발하고 있다.

개인정보보호와 관련된 국제 표준과 관련해 신원 관리 및 프라이버시 작업반(WG 5) [25] 에서 2023년 4월까지 채택된 국제표준은 [표 1]과 같고 이의 세부 내용은 [24] 에 자세히 설명되어 있다. 지난 2022년 9월 회의 이후 우리나라가 주도로 개발한 마이데이터 서비스와 연관되는 이용자 중심 개인정보보호 선호 관리 프레임워크 (ISO/IEC 27556)과 인공지능의 보안과 프라이버시 모범 사례 (ISO/IEC 27563)가 국제표준으로 최종 공개되었다. 특히 이번 회의에서는 프라이버시 정보 관리를 위한 ISO/IEC 27001과 ISO/IEC 27002 확장 개정 (ISO/IEC DIS 27701)의 개정 초안이 DIS 상태로 승인되었고, 핀테크 서비스 프라이버시 가이드라인 (ISO/IEC 27562)가 CD2 상태로 승인되는 성과를 거두었다.

[표 1] SC 27/WG 5에서 개발된 개인정보보호 분야 국제표준 ([24] 업데이트)

JBBHBD_2023_v33n4_117_t0001.png 이미지

2023년 4월 이후 현재까지 개발 중인 주요 국제 표준을 요약하면 [표 2] 와 같다. 또한 현재 신규 워크아이템으로 채택되지는 않았지만, 이를 목표로 사전 준비 표준화 활동이 진행 중인 아이템은 [표 3] 과 같다.

[표 2] SC 27/WG 5에서 개발 또는 개정 중인 주요 국제 표준 요약(2023년 7월 현재)

JBBHBD_2023_v33n4_117_t0002.png 이미지

[표 3] SC 27/WG 5에서 사전 표준화 활동 아이템(PWI) (2023년 7월 현재)

JBBHBD_2023_v33n4_117_t0003.png 이미지

다음 절부터는 2022년 10월 이후에 채택되었거나 개발 또는 개정 중인 개인정보보호 관련 주요 국제표준의 세부 내용을 제시한다.

2.2. 이용자 중심 개인정보보호 선호 관리 프레임워크(ISO/IEC 27556) [12]

이용자 중심 개인정보보호 선호 관리 프레임워크는 2019년 2월 신규 워크 아이템으로 채택되었고, 2022년 10월 국제표준으로 최종 채택되었다. 이 국제표준은 프라이버시 선호에 기반한 이용자 친화적 개인정보처리 프레임워크를 제시하며 정보주체에 의한 개인정보 기본 설정에 따라 개인정보(PII)를 처리하기 위한 이용자 중심 프레임워크를 제공한다.

[그림 1]은 이용자의 프라이버시 선호에 기반하는 프레임워크의 주요 구성요소를 나타낸다. 데이터 발신지와 데이터 수신자 사이에는 개인정보 전달 제어 기능이 존재한다. 데이터 발신지에서 수집된 데이터는 필요에 따라서 데이터 비식별화나 데이터 삭제가 수행되고, 개인정보 전달 제어 기능은 사용자 선호 관리자의 통제하에 개인정보의 전달 여부를 결정한다. 개인정보가 전달되어야 한다고 판단되면 해당 데이터는 다시 변환될 수 있으며, 그 결과가 데이터 수신자에게 제공된다.

JBBHBD_2023_v33n4_117_f0001.png 이미지

[그림 1] 사용자 선호 관리 프레임워크 구성요소[12]

이 국제표준은 개인정보 주체, 개인정보처리자, 개인정보 수탁자, 프라이버시 선호 관리자 등으로 구성된 주요 참여 주체를 정의하고, 데이터 수집, 비식별화, 개인정보 제공 등으로 구성된 주요 구성요소를 제시한다. 또한 프라이버시 참조 관리의 역할을 정의하고 있다. 필자는 이 표준의 프로젝트 리더로 참여하였다.

2.3. 조직 프라이버시 위험관리 (ISO/IEC 27557) [14]

이 국제표준은 2020년 1월에 신규 워크 아이템으로 채택되었으며, 2022년 8월부터 FDIS 투표 단계를 거쳐 지난해 11월에 최종 국제표준으로 승인되었다.

ISO/IEC 31000 [26]은 [그림 2]와 같이 조직이 직면한 위험관리에 대한 지침, 프레임워크 및 위험관리 프로세스, 원칙을 제공하며, 이는 조직의 위험관리를 위한 소통과 협의, 범위/문맥/기준, 위험 식별/분석 등으로 구성되는 위험 평가, 모니터링/검토, 그리고 기록과 보고 프로세스로 구성된다.

JBBHBD_2023_v33n4_117_f0002.png 이미지

[그림 2] ISO/IEC 31000 위험 관리 프로세스 [26]

조직 프라이버시 위험관리 국제표준은 ISO 31000: 2018 에서 정의한 일반적인 위험관리를 기반으로 조직이 충족해야 할 개인정보보호 위험관리 요구사항을 추가해 조직의 개인정보 위험관리에 대한 확장된 지침을 제공하였다.

2.4. 개인정보보호 관리체계 인증 및 심사기관 요구사항(ISO/IEC DIS 27006-2)[16]

이 국제표준은 2019년 10월 신규 워크 아이템으로 채택되었으며, 2021년 4월 TS로 국제표준으로 채택되었다. 다시 개정안을 마련하기 위해 2023년 7월 DIS 상태에 있다.

이 국제표준은 개인정보 관리체계를 운영하는 신청기관에 대한 심사기관과 인증기관을 위한 평가 및 인증에 대한 요구사항을 지정한다. 또한 ISO/IEC 27006-1 에 포함된 요구사항 외에도 ISO/IEC 27001과 결합한 ISO/IEC 27701 에 따라 개인정보 관리체계(PIMS)의 감사 및 인증을 제공하는 기관에 대한 지침을 제공한다.

대표적인 추가 요구사항은 “인증기관은 PIMS와 관련된 관리체계에 대한 컨설팅(예: 외부 데이터 보호 책임자로서의 서비스, 관리 프로세스 또는 데이터 보호 프로세스에 관한 컨설팅)을 제공하지 않아야 한다” 등이다.

2.5. 동의 레코드 정보 구조 (ISO/IEC TS 27560)[17]

이 국제표준은 2020년 4월 회의에서 신규 워크 아이템으로 채택되었고, 2023년 4월 TS로 채택되었다. 이 국제표준은 개인정보 처리에 대한 동의를 기록하기 위해 상호운용이 가능하고 개방적이며 확장 가능한 정보 구조를 규정한다. 또한 다음을 지원하기 위해 정보 주체의 개인정보 처리 동의와 관련된 동의 영수증 및 동의 기록의 사용에 대한 지침을 추가로 제공한다.

• 정보주체에 대한 동의 기록 제공

• 정보 시스템 간의 동의 정보 교환

• 기록된 동의의 수명 주기 관리

2.6. 프라이버시 운용 모델 및 엔지니어링 방법(ISO/IEC DIS 27561)[18]

이 국제표준은 2021년 1월 신규 워크 아이템으로 채택되어, 2023년 7월부터 DIS 상태에 있다. 이 국제표준은 개인정보보호 원칙을 일련의 통제 및 기능적 능력으로 운용하기 위한 모델과 방법을 제시한다. 운용 방법은 ISO/IEC/IEEE 24774 에 따른 프로세스와 ISO/IEC 29100에 나타난 보호 원칙을 기반으로 한다. 개인정보를 제어하거나 처리하는 시스템을 개발하는 엔지니어 및 기타 실무자를 위한 표준이다. 다른 표준 및 개인정보보호 지침과 함께 사용하도록 설계된다. 네트워크로 연결된 상호 의존적인 응용 프로그램 및 시스템을 지원한다.

2.7. 핀테크 서비스 프라이버시 가이드라인 (ISO/IECCD2 27562)[19]

이 국제표준은 우리나라의 제안으로 2021년 1월 신규 워크 아이템으로 채택되어, 2023년 7월 28일 CD2 투표가 완료되었다.

이 국제표준은 핀테크 서비스에 대한 개인정보보호지침을 제공하고 핀테크 서비스와 관련된 "소비자 대기업" 관계 및 "기업 대 기업" 관계, 개인정보 위험 및 개인정보 요구사항에서 모든 관련 비즈니스 모델 및 역할을 식별한다. 각 비즈니스 역할의 법적 맥락을 고려하여 개인정보 위험을 해결하기 위해 핀테크 서비스에 특정한 개인정보 통제를 제공한다. 또한 이 국제표준은 ISO/IEC 29100, ISO/IEC 27701 및 ISO/IEC 29184에 설명된 개인정보보호 원칙과 ISO/IEC 29134 및 ISO 31000 에 설명된 개인정보 영향평가 프레임워크를 기반으로 한다. 필자는 이 국제표준의 프로젝트 리더를 맡고 있다.

이 국제표준의 주요 이해당사자는 [그림 3]과 같다. 규제기관은 핀테크 서비스를 규제하는 기관이며, 고객은 정보주체로, 개인정보처리자로서의 핀테크 서비스 제공자, 수탁자로서의 서비스 제공자, 그리고 기존 금융 기관으로 구성된다. 이 국제표준은 각 이해당사자의 통제를 개발하는 것이다.

JBBHBD_2023_v33n4_117_f0003.png 이미지

[그림 3] 핀테크 서비스를 위한 주요 이해당사자 [19]

2.8. 인공지능의 보안과 프라이버시 모범사례(ISO/IEC TR 27563)[13]

이 국제표준은 2021년 11월 CD 상태로 등록되었으며, 2023년 5월 TR로 최종 채택되었다. 이 국제표준은 ISO/IEC TR 24030 (정보 기술 – 인공 지능(AI) – 이용 사례)에 설명된 120 가지 경우의 이용 사례에 대한 보안 및 개인정보 측면에서 평가하기 위한 방법을 제시한다. 특히 이 국제표준의 부록에는 120개의 이용 사례에 대한 보안 및 프라이버시 위험과 이 위험을 완화할 수 있는 통제를 제공하고 있다. 필자는 이 국제표준의 프로젝트 리더로 참여하였다.

2.9. 영지식 증명 이용 가이드라인 (ISO/IEC WD3 27565)[20]

영지식 증명 이용 가이드라인은 2021년 11월에 신규 워크 아이템으로 채택되었고, 현재 WD3 상태에 있다. 이 국제표준은 공유되는 정보를 최소화하여 조직과 이용자 간의 개인 데이터 공유 또는 전송과 관련된 위험을 줄임으로써 개인정보 보호를 개선하기 위해 영지식증명 (ZKP)을 사용하는 방법에 대한 지침을 제공한다. 또한 다양한 비즈니스 사용 사례와 관련된 몇 가지 영지식증명 기능 요구사항이 포함되어 있으며, 이러한 기능 요구사항을 안전하게 충족하기 위해 다양한 영지식증명 모델을 사용할 수 있는 방법을 설명한다.

2.10. 개인정보 관리체계와 관련된 요구사항 및 지침(ISO/IEC DIS 27701)[8]

이 국제표준은 조직이 개인정보 관리를 위해 ISO/IEC 27001 및 ISO/IEC 27002 를 확장한 형태로 개인정보 관리 시스템 (PIMS) 을 수립, 구현, 유지 관리 및 지속적으로 개선하기 위한 요구사항과 지침을 제공한다. 또한 PIMS 관련 요구사항과 PII 처리에 대한 책임과 의무를 지닌 PII 컨트롤러 및 PII 처리자를 위한 지침을 제시한다.

2016년 7월에 신규 워크 아이템으로 채택되었으며, 2019년 8월 국제표준으로 최종 채택되었다. 2023년 1월에는 DIS 상태로 등록되어 최소한의 개정을 시작하였다. FDIS 등록을 목표로 하였으나 이 국제표준의 내용과 범위 (Scope) 에 대한 추가적 보완이 요구되었기때문에 DIS로 등록되었다. 2023년 10월 회의에서 이 국제표준에 대한 최종 수정 방향이 결정될 것으로 예상된다. 필자는 이 국제표준의 프로젝트 리더로 참여중이다.

2.11. 연령 보증 (ISO/IEC WD 27566)[35]

연령 보증 국제표준 (ISO/IEC WD 27566) 은 2022년 10월 신규 워크 아이템으로 채택되어, 현재 WD2 상태에 있다. 이 국제표준은 연령 또는 자연인의 연령대에 대한 신뢰성 지표에 기반한 프레임워크를 설정한다. 연령에 따른 적격성 결정을 가능하게 하기 위한 목적으로 개인정보보호를 포함한 핵심 원칙을 수립한다.

Ⅲ. 결론

본 고에서는 지난 2022년 10월 이후부터 2023년 4월 회의에서 수행된 개인정보보호 분야의 활동 결과를 중심으로 SC 27/WG 5에서 개발되었거나 개발 중인 주요 국제표준의 내용을 분석하고 제시하였다. 개인정보보호 제도나 관행은 국제표준에 근거해 시행되어야 글로벌 차원의 상호연동성을 보장받는다. 우리나라는 향후 개인정보보호 분야의 신흥 표준화 주제인 인공지능, 디지털 트윈, 핀테크 보안 등의 개인정보보호 분야에 집중하여 국제표준화 활동을 추진할 필요가 있다.

본 고는 우리나라가 개인정보보호 관련 국제표준화를 추진하고, 이와 관련된 국제 표준화 리더쉽을 확보하기 위한 참고 자료로 활용될 수 있다.

References

  1. 법제처, 개인정보보호법 
  2. EU, GDPR (general data protection regulation), 27 April 2016 
  3. ISO/IEC JTC 1/SC 27, Information security, cybersecurity, privacy protection, http://www.iso.org/iso/iso_technical_committee?commid=45306 
  4. ISO/IEC 29100:2011, Information technology - Security techniques - Privacy framework 
  5. ISO/IEC 29134:2017, Privacy Impact Assessment - Methodology 
  6. ISO/IEC 29151:2017, Code of practice for the protection of personally identifiable information, 2017.8 
  7. ISO/IEC 27018:2014, Code of practice for protection of personally identifiable information (PII) in public clouds acting as PIII processors 
  8. ISO/IEC DIS 27701, Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management - Requirements and guidelines 
  9. ISO/IEC 29184, Guidelines for online privacy notices and consent, 2019.07 
  10. ISO/IEC 27555, Guidelines on personally identifiable information deletion, 2021.10 
  11. ISO/IEC TS 27570, Privacy guidelines for smart cities, January 2021 
  12. ISO/IEC 27556, User-centric privacy preferences management framework 
  13. ISO/IEC TR 27563, Security and privacy in artificial intelligence use cases - Best practices 
  14. ISO/IEC 27557, Application of ISO 31000:2018 for organizational privacy risk management 
  15. ISO/IEC 27559, Privacy enhancing data de-identification framework 
  16. ISO/IEC 27006-2, Requirements for bodies providing audit and certification of information security management systems -- Part 2: Privacy Information Management Systems 
  17. ISO/IEC TS 27560, Consent record information structure 
  18. ISO/IEC DIS 27561, Privacy operationalisation model and method for engineering (POMME) 
  19. ISO/IEC CD2 27562, Privacy guidelines for fintech services 
  20. ISO/IEC WD3 27565, Guidelines on privacy preservation based on zero knowledge proofs 
  21. 염흥열, 국제 개인정보보호 표준화 동향 분석(2017년 4월 해밀턴 SC27 회의 결과를 중심으로)), 한국정보보호학회 학회지, 제27권 제5호, pp.6-11, 2017.10 
  22. 염흥열, 국제 개인정보보호 표준화 동향 분석(2019년 4월 이스라엘 텔아비브 SC27 회의 결과를 중심으로)), 한국정보보호학회 학회지, 제29권 제4호, 2019.08 
  23. 염흥열, 국제 개인정보보호 표준화 동향 분석 (2020년 4월 전자 회의 결과를 중심으로), 한국정보보호학회 학회지, 제30권 제4호, 2020.08 
  24. 염흥열, 국제 개인정보보호 표준화 동향 분석 (2022년 4월 전자 회의 결과를 중심으로), 한국정보보호학회 학회지, 제32권 제4호, 2022.08 
  25. ISO/IEC JTC 1/SC 27, Information security, cybersecurity, privacy protection, http://www.iso.org/iso/iso_technical_committee?commid=45306 
  26. ISO 31000:2018, Risk management 
  27. ISO-IEC JTC 1-SC 27-WG 5_N3701_WG 5 SD1 Roadmap, 2023.6.14. 
  28. ISO/IEC JTC 1/SC 27/WG 5 N 3693 Call for comments on SC 27/WG 5 Standing Document 2 - (WG 5 SD2) Privacy references list, 2023.8.31. 
  29. ISO/IEC 29190:2015, Privacy capability assessment model 
  30. ISO/IEC 20889:2018, Privacy enhancing data de-identification terminology and classification of techniques 
  31. ISO/IEC TS 29003:2018, Identity proofing 
  32. ISO/IEC PWI 8887, Authority on identity information quality and related architecture description 
  33. ISO/IEC PWI 6087, Digital authentication: Risks and mitigations 
  34. ISO/IEC PWI 27568, Security and privacy of digital twins 
  35. ISO/IEC WD 27566, Age verification