| 개인정보보호법에 따른 영상정보 보호대책 | 2011.12.11 |
VPMS를 활용한 영상정보 유출 및 오·남용 예방경보 기술
그러나 영상정보의 안정성을 확보하는 기술은 아직도 그 사례를 찾아보기 힘든 상황에서 이번에 필자의 회사에서 개발한 기술은 문화재 지역 영상관리 노하우를 기반으로 Video Privacy를 대상으로 하는 행정업무절차와 그에 따른 기능을 제공하는 영상보안 신기술이라고 할 수 있다.
영상정보의 관리강화 필요성 증대 택시 블랙박스 영상유출 사례와 개똥녀 얼굴유출에서 확인된 것처럼 영상정보는 단 한 번의 유출로 개인에게 치명적인 피해를 입힐 수 있는 중요한 자료로, 단순한 문자정보에 비해 개인 사생활을 침해할 가능성이 훨씬 높기 때문에 영상정보의 생성·저장·제공에 대한 전반적인 운영절차를 엄격히 관리해야 한다.
이에 영상관제 솔루션, DVR, 네트워크 카메라, 영상저장장치, 관련 보안 시스템 등 다양한 장치를 통해 로그를 통합 수집하고, 원하는 시점에 빠르게 분석해 영상의 유출과 오남용 징후를 찾아내고 능동적으로 대응할 수 있는 시스템을 구축하는 것이 필요하다. VPMS에 의한 영상정보 보호 및 관리 가능 이와 관련 필자가 근무하고 있는 포드림에서 VPPS/VPMS에 의한 영상정보보호 및 관리를 위해 이기종 영상 로그의 통합/연계, 영상관리 로그 추적, 영상파일 무결성 보장을 통해 개인 영상정보 위협에 대한 조기 경보와 신속한 사고 대응이 가능한 시스템을 개발했다. 이를 통해 사회안전망으로 구축된 CCTV를 활용한 대민 안전관리 공적업무 수행 시 개인정보보호를 위한 최소한의 관리적 통제를 제공할 수 있는 것이다. · 영상 시스템 및 관련 시스템 자원들에서 발생하는 영상 파일의 적절한 보호 여부 · 영상정보의 최신성 및 신뢰성 있는 저장관리 영상정보의 적시적인 제공 여부 확인 · 바람직하지 않은 유출사건들을 적시에 적발 또는 예방 및 교정 - 시스템화를 통해 실시간 상시관리 → 예방 - 행위패턴 분석 → 예측(징후분석) 및 대응 · 영상보안관리 : 위협패턴분석, 저장/운용관리 업무 절차 시스템화, 마스킹 등 - 사생활 보호 행정 : 영상이 어떤 이유로 누구에게 제시되는지 추적할 수 있는 시스템 - 업무 절차상 미비한 부분 : 영상을 주고받는 경우 이력관리(생성→활용→삭제) 관계 법규 및 지침(참조자료) ▲개인정보보호법 제 12조 제1항 행정안전부장관은 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 표준 개인정보 보호지침(이하“표준지침”이라 한다)을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다. - 표준개인정보보호지침 제41조 ①영상정보처리기기운영자는 개인영상정보의 처리에 관한 업무를 총괄해서 책임질 개인영상정보 보호책임자를 지정하여야 한다. ② 제1항의 관리책임자는 법 제31조 제2항에 따른 개인정보 보호책임자의 업무에 준하여 다음 각 호의 업무를 수행한다. 1. 개인영상정보 보호 계획의 수립 및 시행 2. 개인영상정보 처리 실태 및 관행의 정기적인 조사 및 개선 3. 개인영상정보 처리와 관련한 불만의 처리 및 피해구제 4. 개인영상정보 유출 및 오용?남용 방지를 위한 내부통제시스템의 구축 5. 개인영상정보 보호 교육 계획 수립 및 시행 6. 개인영상정보 파일의 보호 및 파기에 대한 관리?감독 7. 그 밖에 개인영상정보의 보호를 위하여 필요한 업무 ③ 법 제31조에 따른 개인정보 보호책임자가 지정되어 있는 경우에는 그 개인정보 보호책임자가 개인영상정보 보호책임자의 업무를 수행할 수 있다. ▲ 개인정보보호법 제24조 제3항 개인정보처리자가 제1항 각호에 따라 고유식별정보를 처리하는 경우에는 그 고유 식별정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다. 벌칙: 제73조 2년이하의 징역 또는 1천만원 이하의 벌금: 안정성 확보에 필요한 조치를 아니하여 개인정보를 분실·도난·유출·변조 또는 훼손당한 자 ▲ 개인정보보호법 제25조 제5항 영상정보처리기기운영자는 영상정보처리기기의 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비춰서는 아니 되며, 녹음기능은 사용할 수 없다. 벌칙: 제72조 3년이하의 징역 또는 3천만원 이하의 벌금 ▲ 개인정보보호법 제29조 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안정성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다. 시행령 제25조(영상정보처리기기 운영·관리 방침) ① 영상정보처리기기운영자는 법 제25조제7항에 따라 다음 각 호의 사항이 포함된 영상정보처리기기 운영·관리 방침을 마련하여야 한다. 1. 영상정보처리기기의 설치 근거 및 설치 목적 2. 영상정보처리기기의 설치 대수, 설치 위치 및 촬영 범위 3. 관리책임자, 담당 부서 및 영상정보에 대한 접근 권한이 있는 사람 4. 영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법 5. 영상정보처리기기운영자의 영상정보 확인 방법 및 장소 6. 정보주체의 영상정보 열람 등 요구에 대한 조치 7. 영상정보 보호를 위한 기술적·관리적 및 물리적 조치 8. 그 밖에 영상정보처리기기의 설치·운영 및 관리에 필요한 사항 ② 제1항에 따라 마련한 영상정보처리기기 운영·관리 방침의 공개에 관하여는 제31조제2항 및 제3항을 준용한다. 이 경우 "개인정보처리자"는 "영상정보처리기기운영자"로, "법 제30조제2항"은 "법 제25조제7항"으로, "개인정보 처리방침"은 "영상정보처리기기 관리·운영 방침"으로 본다. <글 : 신 진 교 포드림 연구소장(jkshin@4dream.co.kr)>
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
지난 9월 30일부터 개인정보의 유출과 오남용으로부터 개인의 사생활을 보호하기 위해 정보수집 이용 제공 파기 등 단계별 보호 기준을 규정한 ‘개인정보보호법’이 시행됨에 따라 관련 기술의 확대와 연계산업의 급속한 성장이 예상되고 있다. 이에 여기에서는 VPMS(Video Privacy Management System)를 활용해 영상정보 유출과 오·남용을 예방할 수 있는 기술에 대해 살펴본다. 
보호받아야 할 개인정보는 이름, 연락처, 주민등록번호, 주소, 종교, 재산, 가족관계 등 개인을 알아볼 수 있는 ‘부호 및 문자 데이터’와 그 자체만으로도 개인의 식별이 가능한 ‘영상’으로 분류된다.
이 때문에 공공기관이나 기업의 보안담당자는 영상보안체계를 정립하고 유출 및 오남용 행위를 고려한 실질적인 보안업무계획을 수립함으로써 영상관리 담당자가 다양한 위협 시나리오에 대응하기 위한 조치와 영상정보유출 방지 여건을 어떻게 조성하고 관리하고 있는지 상시모니터링 할 수 있어야 한다.