웨어러블 디바이스 보안정책

웨어러블 디바이스란?

• 웨어러블 디바이스는 ‘착용하는 전자기기’로 단순히 전자기기를 사용자의 몸에 착용하는 것이 아니라, 사용자 신체의 가장 가까운 위치에서 사용자와 소통할 수 있는 전자기기를 의미한다.^[1] 이 기기는 일반적으로 센서, 통신 장치, 데이터 처리 기능을 갖추고 있어, 사용자의 신체 활동, 생체 정보, 위치 정보 등을 실시간으로 모니터링하고 데이터를 수집한다.

웨어러블 디바이스의 장점

• 주변 환경에 대한 상세 정보나 개인의 신체 변화를 끊이지 않고 지속적으로 수집하여 실시간으로 대응할 수 있다.^[1]
• 개인의 생체정보 수집을 통해 적시에 효과적인 예방과 치료를 제공할 수 있는 “맞춤의료”와 비효율적으로 의료비의 지출을 줄일 수 있는 효과에 대한 장점이 있다.^[2]
• 자신의 생활습관을 평상시에 체크할 수 있고, 심장질환이나 당뇨질환 등 급사(急死)를 예방할 수 있다.^[3]

웨어러블 디바이스의 종류 및 예시

휴대형 디바이스

• 스마트 워치: Apple에서 출시한 시계형 웨어러블 디바이스(스마트 워치)인 Apple Watch. 헬스케어, 피트니스 추적, 통신 기능 등을 제공한다.

  

• 스마트 안경

부착형 디바이스

• 스마트 콘택트 렌즈: 스위스 벤처기업 Sensimed는 안압의 변화를 통해 녹내장을 진단하고 진행을 늦추는 Triggerfish 렌즈를 개발하였다.
• 부착형 밴드: Corventis의 NUVANT MCT(Mobile Cardiac Telemetry)는 무선센서가 내장된 1회용 밴드 형태의 기기로, 심장부위에 부착해 심전도, 심박동수를 수집하여 모니터링 센터로 전송한다.

  

웨어러블 디바이스의 개인정보 수집

• 웨어러블 디바이스는 사용자의 동의를 얻은 후 건강 데이터를 수집하여 사용자의 건강상태를 분석할 수 있다.
• 사용자의 건강 데이터는 개인 데이터로 저장되며, 데이터만으로 사람을 식별할 수도 있다.

웨어러블 디바이스 개인정보 수집기^[4]

• 자동으로 개인의 건강데이터를 수집할 수 있는 저작물이다.

• 건강데이터를 제공하는 API에서 Oauth 2.0 방식으로 인증한 후 사용자의 데이터를 제공한다.
• 이 프로그램의 주요 기능은 인증 서버에서 인증 모듈과의 연동을 통해 사용자들의 건강 데이터를 수집해 저장한다.
• 저장된 건강 데이터들은 추후에 분석을 통해 건강 및 활동의 데이터를 추출할 수 있으며, 더 나아가 사용자의 삶의 패턴을 파악하는데 사용될 수 있다.
• 수집된 건강 데이터는 3종류(걸음 수, 수면량, 심박수)로 이루어져 있으며, 각각의 데이터들은 건강의 지표로 삼을 수 있다.
• 또한, 2개 이상의 데이터를 조합해서 새로운 데이터를 분석할 수 있다.

웨어러블 디바이스의 보안 위협과 취약점

• 손목 착용형 웨어러블 디바이스 내 위치 정보 또는 quantified self^[5] 같은 건강 정보, 의료 정보 등의 데이터를 추적하고 네트워크를 통해 공유함으로써 프라이버시 이슈가 발생한다.
• 정보 주체자(data subject)^[6]가 데이터 수집이나 공유에 대해서 모르고 있어 정보의 비대칭성 및 정보 투명성 문제로 확대될 가능성이 크다.
• 위치 정보 등에 대한 노출로 인한 정보의 오남용은 개인에 대한 스토킹, 물리적 폭력, 절도 등 각종 범죄의 빌미를 제공하게 된다.
• 웨어러블 디바이스와 연동된 스마트폰 앱을 통해 실시간으로 데이터가 클라우드에 저장되고 있어 비인가된 조직이나 단체 등이 이용할지도 모른다는 불안감이 증대될 수 있다.^[7]
• 웨어러블의 특징인 항상성으로 인해 내 위치 정보가 실시간으로 데이터에 저장되고 모니터링 될 수 있어 관리자들에 의한 직원들의 감시가 쉬워질 수 있다는 우려가 제기되고 있다.^[8]
• 웨어러블 디바이스에 저장되는 모든 데이터에 대한 해킹과 보안 문제, 헬스케어에 대한 의료권 침해 문제, 사물과 사람, 사물과 사물 통신에 대한 컴퓨팅으로 인한 한정된 통신 자원 문제 등을 갖고 있다.^[9]
  

개인정보 보호를 위한 법적 규제와 정책

개인정보 보호법 (PIPA)

정보통신망법

개인정보 자기결정권

• 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 정보주체가 스스로 결정할 수 있는 권리이다.
• 이는 자신의 개인정보가 수집, 이용, 제공, 삭제되는 과정을 알고 이에 대해 동의하거나 거부할 수 있는 권리이다.
• 인간의 존엄과 가치, 행복추구권을 규정한 헌법 제10조 제1문에서 도출되는 일반적 인격권 및 헌법 제17조의 사생활의 비밀과 자유에 의하여 보장되는 독립한 기본권이다.
• 주관적 공권으로서 개인정보자기결정권은 정보주체가 타인이 보유하고 있는 자신의 정보에 접근하여 열람하거나 그 정보의 정정, 삭제, 차단, 삭제 등을 요구함으로써 자신에 관한 정보에 통제할 수 있는 권리로서 이를 보장하기 위하여 개인정보보호법은 정보주체에게 동의권, 개인정보의 열람청구권, 개인정보 정정청구권과 삭제·차단청구권, 개인정보의 처리정지 요구권, 손해배상청구권 등을 규정하고 있다.

웨어러블 디바이스에의 적용

• 개인의 사생활 보호를 중심으로 제기되었던 프라이버시 권리는 사이버 공간 상의 정보 프라이버시^[10] 침해와 그에 대한 개인의 자기정보에 대한 결정권 혹은 통제권 논의로 무게중심이 옮겨지고 있다.^[11]
• 이와 같은 개인정보 자기결정권을 보호하는 핵심적인 수단은 informed consent(고지된 동의)^[12]를 기초로 한 개인정보 동의로부터 출발된다.
• 동의를 통해 정보 주체자(data subject)의 자기결정이 표출되기 때문에 개인정보 자기결정권이 실현 되려면 개인정보의 수집·이용 또는 제3자 제공에서 정보 주체자의 자발적 동의가 전제되어야 한다.^[13]
  

공공기관에서의 웨어러블 디바이스 사용 지침

웨어러블 디바이스 보안 기술 및 해결 방안

웨어러블 MPEG 국제표준기술

• 웨어러블 MPEG 국제표준기술은 사용자, 웨어러블 기기, 신호처리엔진 간의 정보교환을 표준화하는 기술이다.
• 이 기술은 웨어러블 기기의 종류를 정의하고, 기기 간에 필요한 멀티미디어 정보를 목록화하며, 정보의 내용과 표현 방법을 표준화한다.
• 이는 웨어러블 디바이스에서 데이터의 안전한 교환을 위한 기초를 제공할 수 있다.
• 표준화된 데이터 교환 프로토콜은 전송 중 데이터의 암호화를 통해 보안성을 강화할 수 있다.
• 사용자 인증 및 접근 통제 메커니즘을 표준화하여 불법 접근을 방지할 수 있다.
• 웨어러블 기기에서 수집되는 개인정보의 보호를 강화하여 사용자의 프라이버시를 보장한다.

생체 인증 기술로 웨어러블 보호하기

각주