I. 서론
과학기술정보통신부와 한국인터넷진흥원에서 발표한 ‘2018 인터넷 이용 실태조사’에 따르면 만 3세 이상 국민의 91.5%가 인터넷을 이용하고 있으며, 3세~9세 아동의 인터넷 이용률은 87.8%, 10대 청소년은 99.9%의 인터넷 이용률을 보이고 있다고 발표했다. 최근 10년간 인터넷 이용률 상승을 견인한 계층은 고령층과 유아·동이며, 연령별 스마트폰 이용률 추이에서도 인터넷 이용률을 상승한 계층인 고령층(22.2%)과 유아·동(12.9%)의 상승폭이 타 연령 대비 크게 나타난 것으로 나타났다.[1] 이를 반영하듯 2019년 인터넷 이용자 조사에 따르면 조사 대상자 중 60%가 유튜브에서 정보를 검색한다고 응답하였으며[2] 유트브 수익 채널의 상위 10개 중 9개가 아동을 대상으로 운영하는 ‘키즈’ 채널인 것으로 나타났다.[3] 이처럼 유아·동 역시 인터넷을 주로 사용하는 연령 계층에 포함되면서 이들에게 콘텐츠, 일반 정보를 제공하는 기업 역시 유아에 대한 개인정보 수집을 활발히 하게 되었다.
증가하고 있는 아동 개인정보 수집 속에서 아동의 개인정보 침해 사례도 증가하고 있는 추세이다. 행정 안전부와 한국인터넷진흥원에서 조사한 ‘2018년 개인정보 보호 상담 사례집’에 따르면 아동 개인정보 수집으로 인한 개인정보침해 신고 및 상담 접수 현황은 2012년 ~ 2016년 평균 36.6건에서 2017년 49 건, 2018년 92건으로 증가하고 있는 추세를 보인다.[4] 아동의 개인정보 유출의 경우 일반적인 개인 정보 유출 사고와 달리 사고가 발생하여 소송이 진행되어도 법정 대리인이 아동의 개인정보 침해에 대해 구제 절차를 진행하는 경우는 거의 없고, 아동 역시 스스로 자신이 법적 권리구제를 위해 적극적으로 절차를 진행할 수 없을 뿐 아니라 유출 사실의 파악 및 인지가 어렵다.[5] 일반 개인정보 유출 사건의 경우에도 아동의 개인정보가 상당수 포함될 것이라 추측할 수 있지만 아동 개인정보 유출 양에 대한 통계자료나 사실 자료는 전무한 상태이다.
따라서 본 연구에서는 아동 개인정보보호 법률을 살펴보고 실제 아동 개인정보 유출 사례를 뉴스 기사를 통해 질적연구방법 중 한 방법인 근거이론으로 분석하여 아동 개인정보 유출에 대한 시사점을 찾고자 한다. 근거이론을 아동 개인정보 유출에 적용한다면 아동 개인정보 유출에 대한 현상을 파악하고 이를 통해 인과적 관계 도출이 가능하다. 따라서 본 연구에서는 아동 개인정보 유출에 대해 사회과학에서 사용하는 질적연구방법의 근거이론을 통해 분석하여 아동 개인정보의 유출 요인, 수집된 아동 개인정보 유형, 유출의 대응, 조사, 벌금 과정을 살펴보고 아동 개인 정보 유출시 발생한 피해와 우려에 대해 알아보고자 한다.
II. 이론적 배경
2.1 아동 개인정보보호 관련 선행 연구
국내·외에서 아동 개인정보보호 관련 선행연구는 이인호(2001)의 연구를 시작으로 이우석 외2(2002), 김소라 외1(2007), 김소라(2008),Benjamin Shmueli et al.(2010), 최혜선 (2013), 유지연(2013), 정찬모(2014), 윤주희 (2014)의 연구가 있다. 윤주희(2014)연구를 끝으로 아동을 대상으로 한 프라이버시 관련 연구를 찾아보기 어려웠다. 최근 네이버 프라이버시 센터에서 2019 Privacy Withepaper에 아동의 온라인 프라이버시 보호에 대한 내용을 넣어 출시하기도 하였다.
이인호(2001)는 연구에서 당시 개정·공포된 정보 통신망법에 새롭게 마련된 아동 개인정보 수집 시 법정대리인의 동의 절차의 문제점을 지적하였으며, 미국에서 시행되고 있는 아동 온라인 프라이버시 보호법(COPPA)과 비교하여 COPPA법의 신중한 법집행과 그 과정에서 나타날 문제점에 대해 장래의 대응 방안까지 마련한 것과 대조를 보이고 있다고 지적하였다.[6]
이우석 외2(2002)도 이인호(2001)의 연구와 비슷하게 2001년에 새롭게 마련된 정보통신망법에서 언급된 법정대리인의 동의가 어떠한 방법으로 동의를 받을 것인지, 수집·이용·제공의 행위가 정확히 어떠한 것인지, 동의를 받아야 하는 범위가 어디까지 인지 등 관련규정의 모호함을 지적하며 이를 미국의 COPPA법에서 찾고자 하였다.[7]
김소라 외1(2007)은 아동 대상 인터넷 사이트에 대해 어떠한 요인들이 개인정보 유출 가능성과 관련되어 있는지 살펴보고, 웹 사이트 이용시 개인정보보호를 위해 유의해야 할 사항들과 현행 인터넷 사이트의 실태를 파악하는데 중점을 두었다. 이를 위해 305개 사이트에 대해 조사를 실시하였으며, 이를 마케팅 특성, 개인정보보호 정책(OECD 8원칙)에 따라 비교 분석을 실시하였다.[8]
김소라(2008)는 인터넷에서 아동의 프라이버시보호와 어머니의 역할을 연구하였는데, 개인정보에 대한 인식이 부족한 아동의 프라이버시 침해 가능성을 줄이기 위한 부모의 역할을 제시하고, 아동의 개인정보 보호 노력을 위한 구체적인 요인들을 파악하는데 중점을 두었다. 특히 아동 개인정보보호에 대해 법률적인 방식으로 접근한 다른 선행연구에 비해 김소라의 2007, 2008년 연구는 아동 개인정보보호에 대해 아동 개인정보 수집 내용, 인터넷상의 마케팅광고 유형, 부모의 역할 등에 대해 실증적으로 접근하였다.[9]
Shmuell et al.(2010)은 기술의 발달로 인해 아동의 프라이버시 보호가 중요해 지고 있음을 강조하였다. 아동 권리에 대한 의식, 개인정보보호에 대한 아동의 권리, 미국 대법원에서의 아동 개인정보에 대한 개념을 정리하였다. 이를 통해 부모는 아동의 사생활에 대해 보호해줄 수 있어야 한다고 강조하였다. 특히 아동에게 수반될 수 있는 개인정보 위험에 대해 부모도 위험을 최소화하기 위해 부모, 아동 교육을 받아야 한다고 강조하였다.[10]
최혜선(2013)은 2012년 개정된 미국의 COPPA 법률과 EU에서 시행된 1995년 개인정보 지침, 당시 시행 예정이었던 GDPR에서의 아동의 개인정보 법률을 분석하여 우리나라 법 정책의 시사점을 제언하였다. 우리 법에서는 법정 대리인의 동의를 얻는방식에 대해 구체적인 규정을 두고 있지 않으며, 개인정보보호지침에 아동에 대한 규정이 있으나 실제 웹 사이트, 온라인 서비스에서는 해당 규정이 제대로 구현되지 않음을 지적하였다.[11]
유지연(2013)은 아동의 개인정보 보호의 중요성과 특수성, 아동 연령 기준을 새롭게 제시하였다. 특히 만 14세라는 단일 기준을 일괄적으로 적용하기는 어려워 아동의 판단력별로 연령 기준을 세분화할 것을 제안하였다. 또한 미국과 한국의 아동 개인정보보호 규정을 개요, 개인정보 정의, 규제대상 범위, 동의 회득절차를 중심으로 비교하였다. 이를 통해 장기적인 관점에서 아동 개인정보보호와 관련하여 개별법 제정도 고려해 볼 수 있다고 하였다.[12]
정찬모(2014)는 1998년 제정되고 2013년에 개정된 COPPA법 내용을 기반으로 미 연방거래위원회(FTC)에서 2012년에 제정한 COPPA Rule(우리나라의 시행규칙과 유사)의 주요 내용을 소개하였다. 이를 통해 2011년에 제정된 우리나라의 개인정보보호법이 발전하기 위한 과제임을 강조하였다. 이를 위해 구체적인 동의 방법 제시, 아동/사업자/부모등 주요 관련자를 대상으로 한 아동 온라인 프라이버시 보호에 관한 가이드라인 또는 안내서를 만들고 관계당국에서 정규 교육 과정에 개인정보보호 교육이실시될 수 있도록 제도적 기반을 마련해야 한다고 강조하였다.[13]
윤주희(2014)는 사회 전반적으로 개인정보에 대한 문제가 심각하게 인식되고 있으나 아동의 경우 심각성이 간과되어 왔음을 강조하고 이를 위해 법정대리인 동의 제도를 중심으로 법정대리인의 동의의 법적 성질과 법정대리인의 범위의 확장, 법정대리인의 동의를 통하여 제공하고 있는 아동의 개인정보에 대한 연령기준의 개선 필요성과 그 개선 방안을 제시하였다. 이를 통해 법정대리인의 동의시 일회성 동의에서 그치는 것이 아니라 단계별 또는 일정기간 마다 동의를 받도록 동의 유효기간을 설정하고, 아동 연령별 동의 방식을 변경하는 것이 필요하다고 하였다.[5]
Table 1. Summary of Previous Research
2.2 아동 개인정보보호 관련 법률
2.2.1 한국 (개인정보보호법, 정보통신망법, 위치정보법)
한국은 아동 개인정보 보호 관련 법률을 개인정보 보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 위치정보의 보호 및 이용 등에 관한 법률에서 명문화 하고 있다.
개인정보보호법은 아동 개인정보 수집 시 만 14세 미만 아동에 대해 법정대리인의 동의를 받도록 명시하고 있다. 법정대리인의 동의를 받기 위한 필요 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있으며, 그 정보는 법정대리 인의 성명, 연락처이다.
2019년 6월에 시행된 정보통신망법(제31조) 및 위치정보법(제25조)은 아동의 개인정보를 보호하기 위한 제도를 다수 보완, 신설하였다. 개인정보보호법처럼 만 14세 미만 아동의 개인정보 관련 동의를 받는 경우 법적대리인의 동의를 받도록 하였으나, 구체적인 방법에 대해서는 법에서 명시한 내용이 존재하지 않았다. 따라서 변경된 내용은 만 14세 미만 아동의 개인(위치)정보를 수집하는 서비스 확인, 개인 (위치)정보 수집 등에 관한 동의를 받는 방법 6가지이다. 첫째, 인터넷 사이트에 동의 여부 표시, 휴대폰 문자 메시지로 동의 확인 사실 알리는 방법, 둘째, 인터넷 사이트에 동의여부 표시, 법정 대리인의 신용카드·직불카드 등의 카드정보 활용, 셋째, 인터넷 사이트에 동의여부 표시, 법정 대리인의 휴대전화본인 인증, 넷째, 서면, 우편, 팩스 전달 후 회신, 다섯째, 이메일 활용, 여섯째 전화활용이다. 그 외에는 이에 준하는 방법으로 법정 대리인에게 동의 내용을 알리고 동의의 의사 표시를 확인하는 방법이 있다.[14], [15]
앞선 여러 선행 연구에서 아동 개인정보 수집 시동의 방법에 대한 내용이 미비하다는 것에 대해 지적하였으나, 법률 개정으로 인해 미국의 COPPA와 EU의 GDPR과 같이 아동 개인정보 수집 시 법정 대리인의 구체적인 동의를 명시하도록 변경 된 것으로 보인다.
2.2.2 미국 (COPPA)
미국은 1988년 아동 온라인 프라이버시보호법 (Children’s Online Privacy Protection Act) 을 제정하여 만 13세 미만 아동을 주요 대상으로 하거나 성인을 대상으로 하더라도 아동으로부터 개인정보를 수집하고 있음을 인식하고 있는 상업상 웹사이트나 온라인 서비스 운영자는 아동의 프라이버시 보호를 위한 조치를 취할 것을 규정하였다. 미 연방거래위원회(FTC)는 COPPA의 이행을 위해 COPPA rule(한국의 시행규칙과 유사)을 제정하였다. 이후 인터넷 환경에서 다양한 서비스가 등장하고, 위치정보와 사진이 활발히 사용되는 2010년대에 들어와서 법률의 미비점이 나타나 2012년 12월 COPPA rule이 개정되었고, 2019년에 유사 미디어(인터액티브 텔레비전 및 게임), 신기술, 제3자가 아동을 대상으로 하는 광고 등으로 인해 COPPA Rule의 재검토를 위한 의견 청취 절차를 진행하였다. COPPA에는 세이프 하버 제도를 운영하는데, 사업자가 자율규제 프로그램을 작성하여 FTC에 승인을 구하면, FTC가 승인 여부를 결정한다.[13]
2.2.3 유럽연합 (GDPR)
유럽은 1995년 기존의 EU 개인정보보호 지침인 Data Protection Directive 95/46/EC를 제정하였으나 2016년 5월에 일반 개인정보보호규정 (General Data Protection Regulation)을 2년 간의 유예 후 2018년 5월에 적용하였다. GDPR은 적용 범위의 확대, 정보주체의 권리 확대 등 많은 점에서 95년의 지침과 다른 양상을 보이고 있으며 특히 아동의 개인정보 동의 원칙을 설립하여 만 16세 미만 아동에게 직접 온라인 서비스를 제공할 때 부모 등 친권을 보유하고 있는 자의 동의를 받도록 하였다. 하지만, EU 각 회원국의 법에서 정하는 아동의 연령이 달라 각 회원국이 정하는 법을 따르도록 하였다. (만 13세 : 덴마크, 벨기에, 스웨덴, 포르투갈 등, 만 14세 : 이탈리아, 오스트리아, 불가리아 등, 만 15세 : 체코, 슬로베니아 등, 만 16세 : 네덜란드, 독일, 프랑스, 헝가리 등)
GDPR에서는 아동에 대한 개인정보 수집 시 컨트롤러에게 아동의 연령에 대한 ‘합리적인 노력’을 하여야 한다고 강조하며, 동의 연령에 도달하지 않는 아동의 동의를 기반으로 한 개인정보 처리는 적법하지 않다고 하고 있다. 또한 동의를 제공하는 자가 아동에 대한 부모의 책임을 보유한 자인지 합리적으로 확인이 필요하다.[16]
2.3 근거이론
근거이론(Ground Theory)은 글레이저와 스트라우스(Glaser & Strauss, 1967)에 의해 주창된이론으로 체계적 분석 방법을 제시하고 있으며, 발전 과정에 따라 여러 방법이 공존하고 있다. 그 중 스트라우스와 코빈(Strauss & Corbin, 1998)이 제시한 분석절차는 근거이론방법론의 절차와 기법을 명시하기 때문에 세부적인 방법론적 특성을 포착하는데 유용하다. 이를 통해 사회적 실재를 해명하기 위해 자료를 수집하고, 분석하는 일련의 절차와 기법 수행 한다. 절차와 기법은 연구자의 통찰력을 현실로 구현할 수 있는 수단을 제공하며 코딩은 자료(data)를 분해하고 개념화하며, 이론을 생성하기 위해 개념을 통합하는 분석의 과정이다. 근거 이론의 분석 절차는 오픈코딩(open coding), 축 코딩(axial coding), 선택 코딩(selective coding)의 순서로 이루어진 다.
개방 코딩은 근거이론을 생성하기 위한 기초단계로서 텍스트를 통한 자료로부터 사고와 의미를 드러내는데 있다. 개방 코딩의 목적은 자료로부터 특정한 개념을 밝히고, 개념들의 속성과 차원을 발견 해 나아가는 분석 과정이다. 개방 코딩에서는 사건 대 사건, 사물(대상) 대 사물(대상)의 비교분석과 이론적 비교를 통해서 범주를 밝히고 심화 분석을 시도한다.
축 코딩은 범주를 하위 범주와 연결시키는 과정으로 한 범주의 축을 중심으로 속성과 차원에 따라 여러 하위 범주를 유기적으로 연결하는 코딩 방법이다. 축 코딩의 목적은 개방 코딩을 통해 분해되었던 자료를 범주 중심으로 하여 재조합함으로써 단일한 개념 혹은 범주를 중심으로 집약적이고 일치성 있는 분석을 수행할 수 있다.
선택 코딩은 근거이론방법론의 마지막 분석단계로 범주를 최대한 통합시키고 정교화 함으로써 더 이상의 새로운 속성과 차원이 드러나지 않는 이론적 포화상태(theoretical saturation)를 지향한다. 선택 코딩의 단계에서는 자료가 고도의 추상화된 이론으로 전환된다. [17]
보안 분야에서 근거이론을 이용한 연구는 임현욱 (2017), 박재곤(2017), 조남재 외1(2016)이 있다.보안 분야에서도 근거이론을 사용하여 보안에서 나타날 수 있는 장비 구축, 보안 수준 변화 요인, 심사과정에서 결함 결정에 대하 이유의 인과관계에 대해 연구하였다.
임현욱(2017)은 기술유출 방지를 위해 2007년 당시 산업기술방지법을 제정하고 융합보안 장비 구축을 권장하고 있는 사실을 바탕으로 기업에서 융합보안장비를 구축하는 원인을 근거이론을 사용하여 연구하였다.[18]
박재곤(2017)은 군 조직의 보안수준 변화요인 파악을 위해 국방일보 기사를 데이터로 근거이론을 통해 분석하여 조직 구성원들이 내부자 보안위협에 대해 어떻게 대응하는지 인과적 관계를 도출하였다.[19]
조남재 외1(2016)은 ISMS인증 심사과정에서 결함 결정에 영향을 미치는 요인을 다차원적으로 분석 하기 위해 인증 심사 팀장(2명), 심사원(2명)을 대상으로 인터뷰를 실시하였다. 그 결과를 근거이론을 통해 연구하였다.[20]
지금까지 일반 개인정보 유출에 대한 연구는 진행되어 왔으나, 아동에 대한 개인정보 연구는 법률적 연구와 2000년대 후반 아동 개인정보 유출에 대한 두 개의 실증연구를 제외하고는 이루어지지 않았고 유출의 인과관계를 설명하는데 있어 적절한 이론이 존재하지 않았다. 근거이론을 아동 개인정보 유출에도 적용한다면 아동 개인정보 유출에 대한 현상을 파악하고 이를 통해 인과적 관계 도출이 가능할 것으로 보인다. 따라서 수집된 자료를 통해 귀납적 특성이강조되는 근거이론을 본 연구의 방법론으로 선택하였다.
III. 연구문제 및 연구방법
3.1 연구문제
본 연구는 아동 개인정보 유출의 발생의 과정을 살펴보고 실제 유출에 대한 전개과정은 어떻게 되는지 알아보는데 목적이 있다. 연구를 위해 설정한 연구문제는 다음과 같다.
연구문제1 : 아동 개인정보 유출에 대한 개념들은어떻게 범주화 되는가?
연구문제2 : 아동 개인정보 유출에 관한 전개과정은 어떻게 되는가?
2-1 : 아동 개인정보 수집 및 유출의 요인은 무엇인가?
2-2 : 아동 개인정보 유출현상 발생으로 나타나는 현상은 무엇인가?
2-3 : 아동 개인정보 유출로 인해 위반한 법률 및 이에 대한 대응 방법은 어떠한가?
2-4 : 아동 개인정보 유출의 최종 결과는 어떠한가?
근거이론은 데이터에 근거해 현상을 설명하는 이론을 추출하기 위한 질적 연구방법이다. 글레이저와 스트라우스(Glaser & Strauss, 1967)는 근거이론을 통해 행동의 예견과 설명을 가능하게 하고, 이론적 진전에 유용하게 활용될 수 있으며, 실절적인 적용에 활용 및 연구자들이 상황을 이해하고 통제할 수 있어 특정 분야에 대한 연구를 위한 양식을 제공할 수 있다고 하였다. 근거이론은 사람들의 행위 또는 사회현상이 그들의 삶 속에서 어떤 의미를 가지고 어떤 과정을 거쳐 그러한 의미가 생성되는지에 대한 근거를 탐구하는 연구방식이다.[21] 지금까지 아동 개인정보에 대한 전반적인 연구는 법률적 연구가 집중되었다면, 아동 개인정보 유출에 대한 근거이론적 해석은 아동의 개인정보 유출에 대한 상황을 파악하여 유출된 개인정보, 개인정보 유출 원인, 피해 등의 인과관계를 파악할 수 있다. 또한 아동 개인정보 유출로 인해 법정 대리인이 겪는 정신적 피해와 우려에 대해 확인할 수 있을 것이다.
3.2 연구 설계 및 절차
3.2.1 분석 대상 선정 및 자료의 수집
아동 개인정보 유출의 경우 지금까지 발생한 개인 정보 유출 사고에 대해 구체적인 연령별 유출 현황을 산정할 수 없지만 상당수 아동 개인정보가 포함되어 있을 수 있으며 페이스북, 인스타그램과 같은 SNS 에서도 아동의 이용률이 상당히 높아 개인정보 침해 사고가 발생하는 경우 아동의 개인정보 역시 침해당할 것이 분명하다.[5] 이러한 상황에도 개인정보 유출 발생 시 아동이 적극적으로 개인정보 유출 피해 구제를 받기 위한 노력이 어려운 상황이고 법정 대리인 역시 아동의 개인정보 유출에 대해 적극적인 구제 행동을 보이지 않고 있다.[8]
명확하게 드러나지 않은 아동 개인정보 유출 현황을 살펴보기 위해 뉴스 기사 자료에 보도된 내용을 본 연구의 분석 대상으로 선정하였다.
포털 사이트 네이버의 뉴스 검색에 2015년 1월부터 2020년 1월까지 ‘아동 아이 개인정보 유출’, ‘아동 아이 개인정보 수집’의 키워드로 뉴스 검색 결과 총 596건의 뉴스 기사(아동 아이 개인정보 유출 :293건, 아동 아이 개인정보 수집 : 303건) 중 18건의 아동 개인정보 유출, 우려, 논란 관련 뉴스기사를 접할 수 있었다. 특정 아동 개인정보 유출, 우려, 논란에 대해 많은 언론사에서 관련 내용을 보도한 경우에는 내용 중복으로 인해 다수의 기사 중 자세히 보도된 하나의 기사를 선정하였다. 나머지 두 개의 아동 개인정보 유출, 우려, 논란 기사는 2018년 5월 25일 시행된 유럽 일반 개인정보보호 규정(GDPR) 시행 이후 벌금형에 처한 아동 개인정보 유출 사고 두 개의 기사를 선정하여 연구 자료로 채택하였다. 유럽 일반 개인정보보호 규정(GDPR) 위반에 대한 뉴스 기사의 경우 영어로 작성되어 언어 오역 문제를 해소하고 분석 대상의 신뢰도를 높이기 위해 구글 번역을 이용하여 한국어로 번역 과정을 거친 후 분석하였다. 분석 대상으로 사용된 뉴스 기사는 아래와 같다.
1) 2015.11.30. ‘경기문화의전당, 공연 참석자 130명 개인정보 방치 ’도마위‘’
2) 2016.5.12. ‘8~13세 아동 82%가 페북 불법 ’가입‘’
3) 2016.9.30. ‘보건복지인력개발원 개인정보 5만1천여건 유출’
4) 2017.8.8 ‘앱게임으로 아동 개인정보 불법 수집 디즈니에 소송’
5) 2018.4.10 ‘2500만 아동 정보… 유튜브, 불법 수집’
6) 2018.5.24 ‘어린이 친구 'AI 스피커', 개인정보 수집 논란’
7) 2018.10.15 ‘아이의 개인정보인데… 경찰, 지문 수집에 민간업체 동원’
8) 2019.2.19 ‘개인정보 해킹 우려 EU, 키즈폰리콜...한국은 안전할까’
9) 2019.3.19 ‘Administrative fine of €170,000 imposed on Bergen Municipality’
10) 2019.6.24 ‘방통위, 아동 개인정보 보호 강화 나서’
11) 2019.6.26 ‘14세 미만 아동의 위치 정보보호 강화한다.’
12) 2019.7.24 ‘페이스북, 또 사고…이번엔 '어린이용 메신저'서 결함 발견’
13) 2019.8.27 ‘Facial recognition School ID checks lead to GDPR fine’
14) 2019.9.5 ‘구글, 아동 개인정보 불법수집에 1억7000만달러 제재금...사상 최대’
15) 2019.9.5 ‘구글·유튜브, 제2의 페이스북 되나… 어린이 개인정보 불법수집 2050억원 벌금’
16) 2019.9.5 ‘지역아동센터 '민감 개인정보', 인터넷서 버젓이 노출’
17) 2019.9.8 ‘카카오 아동계정, 보호자 동의 절차 거친다’
18) 2019.11.12 ‘구글, 美 수천만 환자정보 수집…WSJ “개인정보 유출 우려’
19) 2020.1.5 ‘방통위 “中 동영상 앱 ‘틱톡’ 조사 중... 개인정보 유출 가능성‘
20) 2020.1.16 ‘14세 미만 아동의 SNS 포털 가입, 어떤 절차로 진행될까’
3.2.2 자료의 분석
자료의 분석은 근거이론 방법에 따라 개념을 도출하고 개념 사이의 관계를 규정하는 과정을 거쳤으며 분석과정을 단계별 명확성을 위해 MAXQDA을 이용하였다. MAXQDA는 질적연구에서 코딩을 도와 주는 프로그램으로 연구자는 코딩 시 자료에 속성을 선택하며, 텍스트에 색상을 선택할 수 있어 분석 및 재분석 작업에 용이하다. 특히 코딩 이후 코딩에 대한 빈도 출력지원, 코드 분리 기능이 있어 양적 자료로 변환도 가능하다.[22]
수집된 20개의 뉴스 기사 자료에 대해 스트라우스와 코빈(Strauss& Corbin, 1998)이 제시한 코딩 단계 중 첫 번째 단계인 오픈코딩을 수행하였다. 개방코딩은 개념과 범주를 밝힘으로써 자료 안의 속성과 차원을 발견하는 과정이다. 이를 위해 근거이론에서 중요시하는 지속적인 비교 및 이론적 민감성을 위해 수집된 뉴스 기사를 반복·정독하고 아동 개인정보 유출에 대한 내용을 개념화 및 범주화하여 아동 개인 정보 유출에 대한 개념들을 발견하였다. 특히 뉴스기사를 반복적으로 정독하면서 지속적인 비교를 통해 유사한 개념을 묶고 이를 하위범주로 규명하였다. 예를 들어 ‘기술적 조치’의 하위범주에는 ‘계정 권한 미흡’, ‘개인정보 파일 암호화’, ‘불충분한 인가’, ‘인증절차 미흡’ 등의 개념이 포함되었고, ‘민감 정보’의 하위 범주에는 ‘선호 컨텐츠’, ‘사용 습관’, ‘병력’, ‘성적’이 포함되었다. ‘불안감과 당혹감’의 하위 범주에는 ‘다른 사고로 이어질 것 같음’, ‘보안 우려’, ‘불안’, ‘허술함’ 의 개념이 포함되어 있다. ‘법정 대리인의 동의 강화’ 의 하위 범주에는 ‘사전 문의/승인’, ‘동의 시점 구체화’, ‘동의 방법 구체화’의 개념이 포함되었다. 이렇게도출된 하위범주에는 다시 그에 맞는 상위범주로 묶어 이를 통해 범주의 속성과 차원을 설정하였다.
이 과정은 MAXQDA 프로그램을 통해 이루어졌다. 중요한 의미를 가지는 문장을 각각의 코드(code)로 설정하고 기존 코드에 해당하는 경우 이를 범주화 시키고 자료에 부합하는 코드가 없는 경우 새로운 코드를 생성하는 방법으로 분석을 수행하였다. 이후 범주를 연결시키는 축 코딩을 실시하여 개방코딩을 통해 해체된 자료 및 범주들을 관련 있는 형태로 재조합하여 하나에 묶을 수 있는 범주를 발견하고 연관 있는 하위 범주를 관련 짓도록 하였다. 본 연구는 아동 개인정보 유출에 대한 탐색적 연구를 통해 유출 과정에서 나타난 현상들을 확인하는데 목적이 있어 선택 코딩은 생략하였다.
Fig. 1. Process of data analysis
본 연구에서 진행한 자료 분석 절차를 도식화하면 다음과 같다.
3.2.3 연구의 타당성과 신뢰성
근거이론을 통한 연구는 연구자가 순환적으로 이루어지는 코딩을 통해 분석되며 이때 결과 및 적합성을 위해 연구의 타당성과 신뢰성이 확보되는 것이 중요하다.[17] 따라서 본 연구는 포털 사이트에 보도된 아동 개인정보 유출 사건에 대한 뉴스 기사를 원시자료로 사용하기 때문에 자료의 타당성과 신뢰성에 대한 문제는 제기되지 않는다.
자료의 분석에 있어 뉴스 기사로 보도된 단어와 표현을 그대로 사용하여 연구자의 주관과 편견을 배제하고자 하였다. 이를 위해 논문에는 패러다임 요소를 설명하기 위해 실제 뉴스 기사의 내용을 넣어 개념을 도출했는지 예시(볼드체로 강조)를 넣었다.
IV. 연구결과
4.1 아동 개인정보 유출에 대한 개념화 및 범주화
개방코딩 작업을 통해 수집된 자료를 확인하고 지속적으로 이를 비교 분석하여 아동 개인정보 유출에 관한 주요 개념들을 추출하였다. 이후 유사한 개념들을 하위범주와 상위범주로 순차적으로 범주화하였다. 최종적으로 99개의 개념을 찾았고 이를 37개의 하위범주와 11개의 범주로 정리할 수 있었다. 이를 통해 연구문제 1 : 아동 개인정보 유출에 대한 개념들은 어떻게 범주화 되었는가?에 대해 확인할 수 있으며 표로 정리하면 다음과 같다.
Table 2. Subcategory and categorization results in the leakage of children’s personal information
4.2 아동 개인정보 유출에 대한 패러다임 모형
개방코딩을 통해 얻어진 범주간 관계를 확인하기 위해 축코딩을 실시하였다. 축코딩의 분석적 틀인 패러다임 모형을 적용하여 자료에서 도출한 각 범주들을 인과적 조건, 맥락적 조건, 중심현상, 중재적 조건, 적용/상호작용 전략, 결과로 구조화하여 관계를 분석하였다.
아동 개인정보 유출에 있어 유출의 원인은 미흡한 개인정보보호 조치, 아동의 사이트 가입 및 자동 수집으로 인한 것으로 나타났으며, 다양한 아동의 개인 정보 수집은 개인정보 유출로 이어져 유출 발생 시 다양한 피해 및 우려를 나타내는 것으로 보였다. 이를 중재하기 위한 조건으로 아동 개인정보 유출 관련법률을 토대로 유출기관에서 이에 대한 조사에 나선다. 사건 발생 후 아동 개인정보 수집 방법이 변경되고 보안 강화를 위해 노력하지만, 궁극적으로 유출 조사가 종료되면 아동 개인정보 유출에 대한 벌금 처분으로 종결되었다.
이를 통해 연구문제 2 : 아동 개인정보 유출에 관한 전개과정은 어떻게 되는가? 및 하위 연구문제 (2-1, 2-2, 2-3, 2-4)에 대해 확인할 수 있으며, 그림으로 정리한 패러다임 모형은 아래와 같다.
Fig. 2. Causality model of children’s personal information leakage
4.2.1 중심현상 : 아동 개인정보 유출 발생
아동 개인정보 유출의 발생은 회사에서 회원제/혹은 비회원제로 운영하는 사이트에서 유출되거나, 기관, 심지어 자동 수집 장치를 탑재한 특정 디바이스를 통해 유출되기도 한다. 특히 유튜브, 아마존 AI 스피커, 틱톡의 경우 사이트 및 특정 디바이스에 자동으로 아동의 개인정보를 수집하여 개인정보 불법 수집 및 개인정보 유출을 발생시켰다. 구글의 경우, 유튜브로 2,500만 아동의 개인정보를 불법 수집 후영업에 활용하였으며, 국내의 경우 보건복지인력개발원에서 운영하고 있는 시스템이 해킹되어 5만 1152 건(아동 2만 6011건, 보호자 2만 5141건)의 개인 정보가 유출되는 경우가 있었다. 경기문화제단의 경우 다른 사례에 비해 소량이지만, 130명의 아동 개인정보가 유출되기도 하였다.
아동의 개인정보 유출은 유출된 개인정보를 통해 아동에게 음란물, 아동 관련 광고를 아동이 접속하는 사이트에 노출시켜 아동 산업 종사자나 개인정보를 판매하여 금전적 이득을 얻기도 한다. 특히 아동 개인정보 유출 피해는 성인의 개인정보 유출과는 달리아동에 대한 범죄로 이어지는데 이는 납치로 인한 부상 및 사망, 보이스 피싱, 스미싱으로 나타났다.
“개인정보유출은 보이스피싱이나 스미싱 등 범죄에 이용될 소지가 다분해 특별히 관리해야 함에도 도문화의전당은 이들의 개인정보를 쓰고난 휴지조각 같이 방치해 빈축”
“어린이 위치나 통화내역이 해킹될 경우 납치 같은 아동 범죄로 이어질 수 있기 때문”
“유튜브에 공유된 어린이용 만화영화 등 콘텐츠가 어린이들의 유튜브 접속을 유도했고, 결국 이들의 정보가 수집돼 광고 영업에 활용됐다고 주장”
아동 개인정보 유출이 발생이 되면, 아동은 자신의 개인정보가 유출되었다는 사실을 인지하지 못하지만[9] 아동의 법정대리인은 유출사실을 인지하면 유출로 인해 불안감과 당혹감, 분노, 사생활 침해, 인권 침해와 같은 우려의 감정을 느낀다.
“아이들의 민감한 개인 정보가 어른들의 허술한 관리 속에 노출되며 인권 침해가 우려”
"어디 애기 이름이나 지문이 어디 쓰일지도 모르니까 솔직히 좀 그거는 겁이 나는 것 같아요.“
“한 지역아동센터 관계자는 “보호받아야 할 개인정보가 이런식으로 관리된다면 불안해서 어떻게 참여를 하겠냐”며 “작은공연장도 아니고 경기도를 대표하는 큰 공연장에서 이런일이 발생했는지 이해를 못하겠다”고 분통“
4.2.2 인과적 조건 : 아동 개인정보 유출의 요인
아동 개인정보 유출의 요인은 아동의 사이트 가입 및 자동 수집으로 인한 개인정보 제공과 수집된 아동 의 개인정보를 미흡하게 보호한 원인에 있다. 아동은 회원제 사이트에 가입하거나 비회원제 사이트에서 관 련 자료를 조회할 때부터 회사는 아동의 개인정보를 수집한다.
한국은 만 14세 미만 아동이 웹 사이트나 기관에 개인정보 제공 시 법정대리인의 동의가 필수적이며, 미국은 만 13세 미만 아동이 개인정보 제공 시 부모의 동의가 필수적이다. 아동의 경우 자신의 개인정보 제공 시 개인정보 제공에 대한 인식이 미미하고 광고나 마케팅 동의에 대한 인식도 미미하여 성인에 비해 지나치게 많은 개인정보를 제공할 우려도 있다.[9] 이러한 아동의 개인정보 제공 이유로는 아동의 전자제품 및 인터넷 상용 보편화, 전 세계적으로 인기 있는 app 사용, 정부 지원을 받기 위함 등으로 나타났다.
“아동의 전자제품 및 인터넷 사용이 보편화된 지금, 만 14세 미만 아동이더라도 SNS·포털 사이트 가입이 필요한 경우가 많다.”
“정보통신망법에 따르면 인터넷 사업자가 아동의 개인정보를 수집하려면 법정대리인의 동의를 받아야 한다. 실제로 틱톡의 서비스 약관에 따르면 이에 관한 명확한 가이드라인이 없어 아동의 개인정보가 법정대리인의 동의 없이 유출될 가능성이 있다는 관측이 제기 되었다.”
“국내 기업은 정보통신 서비스 제공자 외 위치정보 사업자가 14세 미만 아동의 개인(위치)정보 보호를 수집·이용·제공할 때, 법정대리인이 동의했는지 확인하는 법령을 준수하므로, 부모의 동의를 거쳐 가입하는데 무리가 없다.”
“COPPA에 따르면 미국에서 13세 미만 어린이에 대한 정보를 인터넷에서 수집하기 위해선 부모의 동의가 필요하다.”
이렇게 수집된 아동의 개인정보가 유출되는 주요원인에는 크게 기술적 조치 미흡(계정 권한, 개인정보 파일 암호화, 인증절차, 불충분한 인가, 악성코드 조치, 웹 쉘 조치, 로그관리), 자체 기술적 결함, 자동 수집 장치(쿠키, 서드파티 앱), 물리적 조치 미흡 (문서 관리)로 인해 발생되었다.
“로그인 시스템의 보안 수준이 너무 낮아 권한이 없는 사람이 학습 플랫폼과 학교 행정 시스템에서 사용자 이름과 비밀번호에 액세스할 수 있다고 Bjørn Erik Thon 이사는 말합니다.”
“페이스북의 어린이용 메신저 '메신저 키즈'에서 부모가 승인하지 않은 낯선 상대와도 그룹 채팅을 할 수 있는 기술적 결함이 발견된 것으로 드러났다.”
“유지보수업체는 해당 서버 내 정상적 인증절차를 거치지 않고 시스템에 접근할 수 있는 백도어 성격의 악성코드 9개와 원격으로 시스템을 제어할 수 있는 웹쉘 2개를 발견 했지만 시스템에 웹로그 기록이 없어 정확한 유입시기와 유입경로 확인이 어려웠으며 방화벽 로그도 지난해 6월 5일 부터 보관되고 있어 그 이전의 정보유출확인이 불가능했다.”
“FTC 조사 결과 유튜브는 마텔 등 장난감 회사 등이 배포한 동영상을 열람한 어린이 이용자 등이 인터넷상에서 보는 홈페이지나 관심 정보를 수집해 광고 전략에 이용한 것으로 드러났다”
4.2.3 맥락적 조건 : 유출 아동 개인정보 종류
아동 개인정보 유출에 영향을 미치는 맥락적 조건은 유출 아동 개인정보의 종류로 나타났다. 유출된 아동의 개인정보는 주로 개인 신상정보(이름, 성별, 생년월일, 주소, 학교, 학년), 민감 정보(선호 컨텐츠, 사용습관, 성적, 병력), 생체 정보(지문, 의료기록, 사진), 부모 개인정보(이름, 연락처, 직업, 학력), 디바이스 정보(SIM 카드, IP주소, 위치, 통화기록)로 나타났다. 특히 아동의 개인정보는 법정대리인(한국) 및 부모(미국)의 동의를 받은 후 개인정보를 수집하게 되는데 이때 수집한 법정대리인, 부모의개인정보도 함께 유출되는 경우가 있다. 또한 웹 페이지에 쿠키를 통해 개인정보를 자동 수집하거나, 자동 수집 장치를 탑재한 특정 디바이스를 사용하는 경우, 아동의 행태정보, IP, 위치정보, 통화목록 등이 회사로 수집되어 이를 마케팅 등에 활용되는 경우가 발생하기도 한다.
“취재진이 모자이크 처리한 괄호 안에는 한부모 가정 아이의 이름 석자가 그대로 노출돼 있습니다.”
“2만6400명 아동의 이름, 생년월일, 전화번호, 질병력 등이었으며 3만2600명의 보호자의 이름, 관계, 나이, 학력, 직업, 연락처 등의 정보와 개인정보가 포함된 첨부파일 2만900여건이 서버에 존재하고 있었다.”
“서드파티 앱을 통해 아이들의 위치나 통화 목록 등이 해킹 당할 수 있는 취약점이 세이프키드원 스마트워치에서 발견됐다”
"틱톡은 SIM 카드, IP 주소 기반 위치 정보까지 수집하고 있는데, 중국의 간첩 방지법에 따라 동의 절차 없이 개인정보를 가져간다고 지적한 바 있다“
4.2.4 중재적 조건 : 아동 개인정보 유출 조사
아동 개인정보 유출 시 각국 기관은 이를 중재하기 위해 개인정보 유출을 조사한다. 아동 개인정보 유출 조사기관의 경우 국가 기관(방송통신위원회, FBI), 행정기관(FTC), 감독기구(노르웨이 DPA, 스웨덴 DPA)에서 조사하는 것으로 나타났으며, 개인정보관련 법률(GDPR, 개인정보보호법, COPPA), 기타 법률(정보통신망법, 위치정보법)을 위반한 것이 확인 되었다.“
노르웨이 데이터 보호국 (Datatilsynet)은 베르겐 지방 자치 단체에 160 만 노르웨이 크로나 (약 € 170,000) 의 행정 벌금을 부과했습니다.”
“미 연방거래위원회(FTC)는 구글과 자회사인 유튜브가 보호자의 동의 없이 13세 미만 어린이의 개인정보를 수집하는 위법 행위를 했다며 벌금을 부과하기로 회사 측과 합의했다고 보도했다.”
“미국 미연방수사국(FBI)도 인터넷이 연결된 키즈용 스마트기기의 보안 취약성을 경고하기도 했다.”
“1998년 제정된 '어린이 온라인 사생활 보호법 (COPPA)'이 13세 이하의 웹사이트 가입을 금지하고 있기 때문이다. 법에 따르면 13세 이하의 어린이가 웹사이트에 가입을 할 때는 반드시 부모의 동의가 있어야 한다.”
"동의 없이 개인정보 처리자인 기관이 이걸 유출했다면 개인정보법 위반에 ..(중략)..있는 사안으로 보여집니다.“ “스웨덴이 GDPR에 따라 벌금을 부과한 것은 이번이 처음입니다.”
4.2.5 적용/상호작용 전략 : 아동 개인정보 유출의 대응
아동 개인정보 유출을 대응하기 위한 전략으로 아동 개인정보 수집 방법 변경에 따른 법정 대리인의 동의 강화, 기술적 조치 강구의 방법 등이 제시되었다.
한국의 경우 2019년 6월 방송통신위원회에서 아동 개인정보 수집 시 법정 대리인의 동의 방법을 구체화하였으며 이를 정보통신망법 시행령과 위치정보법 시행령에 명시하도록 개정하였다. 아동의 개인정보 수집 시 법정대리인이 동의는 필수적이었으나 구체적인 방법이 미미했기 때문이다.
“방통위는 동의 내용을 게제한 인터넷 사이트에 법정대리 인의 동의 여부를 표시하도록 하고, 법정대리인의 휴대전화 문자메시지, 신용카드·직불카드 정보, 휴대전화 본인 인증 등을 통해 동의 여부를 확인할 수 있도록 했다. 동의 내용이 적힌 서면을 법정대리인에게 직접 발급하거나 우편, 또는 팩스를 통해 전달하고, 법정대리인이 동의 내용에 대해 서명 날인 후 제출하는 방법도 적시했다. 전자우편, 전화 등을 통해서도 가능토록 했다.“
이어 아동 개인정보 유출 방지를 위한 보안 강화도 유출의 대응책으로 나타났다. 보안 강화에는 책임 인식(기관의 책임 인식, 중앙기관의 조사), 제도 개선(민간 위탁 금지, 동의 방법 구체화), 기술적 조치 (시스템 취약점 점검, 보안 설정 강화, 해킹 대비, 보안성 검토 강화), 강제적 조치(체팅방 폐쇄, 아동 전용 앱 개발)가 있었다.
“개인 데이터를 처리하는 지방 자치 단체 및 기타 공공 기관은 자신의 책임을 인식하는 것이 중요합니다.”
“페이스북은 지난주 이 결함을 수천 명의 이용자 부모들에게 알리고 관련 그룹 채팅방을 폐쇄했다”
“민간 위탁을 하지 말아야 한다고 생각합니다. 등록 후 바로 폐기를 하도록 돼있는데 지금은 장기 보관도 하거든요. 그 부분도 개선해야 한다고 생각합니다.”
“인력개발원은 해킹 확인 즉시 국정원 등에 신고하고 시스템 취약점 점검, 개선 및 보안설정을 강화했지만..”
4.2.6 결과 : 유출에 따른 벌금
아동 개인정보 유출 사고 발생 후 유출 기관은 유출 사실에 대응을 하여 추후 발생될 아동 개인정보 유출 위협을 낮추고자 노력하지만 유출 조사 후 유출에 대한 벌금을 부과 받게 된다. 유출에 대한 벌금은 작게는 5000만 원 이하부터 많게는 2000억 원 가까이 되는 벌금을 부과 받는 것으로 보였다, 한국의 경우 5년 이하의 징역 또는 5천만원 이하의 벌금으로해외 사례에 비하면 미미한 수준이나, GDPR에서명시한 수준으로는 GDPR 규정을 심각하게 위반하는 경우(serious infringements) 직전 회계연도전 세계 매출액의 4%또는 2천만 유로 중 더 큰 금액과 컨트롤러/프로세서의 의무 위반, 인증기관의 의무 위반, 행동규약 준수 모니터링 의무를 위반한 경우 연간 매출액의 2% 또는 1천만 유로 중 더 큰 금액의 과징금을 내도록 명시되어 있다.[15] 실제 사례에서는 20만 스웨덴 크로나 (스웨덴, 24,688,000원), 160만 노르웨이 크로나(노르웨이, 2억 688만 원), 570만 달러(미국, 68억 865만원), 1억 7000만 달러(미국, 2030억 6500만원)로 개인정보 유출의 내용과 중요도에 따라 벌금이 부과되는 것으로 나타났다.
“구글과 유튜브가 어린이 개인정보를 불법으로 수집·공유한혐의로 1억7000만 달러(약 2050억원)의 과징금 폭탄을 맞았다”.
“미국 연방거래위원회(FTC)는 틱톡을 서비스하는 바이트댄스에 아동 개인정보 불법 수집 위반으로 과징금 570만 달러(약 66억원)를 부과하기도 했다.”
“노르웨이 데이터 보호국 (Datatilsynet)은 베르겐 지방 자치 단체에 160 만 노르웨이 크로나 (약 € 170,000) 의 행정 벌금을 부과했습니다.”
“스웨덴 데이터 보호국 (DPA)은 Skelleftea 시정촌에 20만 스웨덴 크로나 (16,800 파운드, 20,700 달러)의 개인정보보호법 위반으로 벌금을 부과했습니다.”
“개인정보법 위반에 (대해) 5년 이하의 징역 또는 5천만원 이하의 벌금형에 처할 수도 있는 사안으로 보여집니다"
V. 결론
본 연구는 아동 개인정보 유출에 대해 사회과학에서 사용하는 질적연구방법의 근거이론을 통해 분석하였다. 아동 개인정보 유출 요인, 수집된 아동 개인정보, 유출의 대응, 조사, 벌금 과정을 살펴보고 아동 개인정보 유출 시 발생한 피해와 우려에 대해 알아보 았다. 본 연구의 주요 결론은 다음과 같다.
첫째, 아동 개인정보 수집 시 법정대리인의 동의를 통해 수집이 이루어지고 있으나, 상황에 따라 동의 절차를 거치지 않고 발생하는 경우가 확인되었다. 이는 주로 자동 수집 장치를 통해 수집되는 아동의 개인정보(IP, 위치정보, 행태정보, 사용습관, 선호 컨텐츠 등)였으며, 이를 수집한 회사는 이를 통해 아동의 관심을 이끌만한 광고를 하는 것으로 나타났다.
둘째, 아동 개인정보 수집 시 법정대리인의 동의를 받았으나 미흡한 개인정보 보호 조치(기술적 조치, 물리적 조치, 자체결함)로 인해 아동의 개인정보가 유출 될 때, 법정 대리인은 이로 인한 범죄 피해, 부적절한 광고 노출, 부당 범죄 수익(아동 개인정보판매, 아동 산업 종사자나 업체의 이득)을 걱정하는 한편, 이는 불안감과 당혹감, 분노, 사생활 침해, 인권침해 같은 우려를 표시하였다.
셋째, 개인정보를 수집, 이용하는 사업자는 아동 개인정보 유출 발생으로 인해 아동 개인정보 수집 방법 변경, 유출 방지를 위한 보안 강화를 실시하였지만 유출 조사를 통해 24,688,000원에서 최대 2030억 6500만원까지 막대한 벌금을 받는 것으로 나타났다. 특히 우리나라의 경우 벌금의 기준이 미국과 유럽에 비해 다소 낮았으나, 미국과 유럽의 경우 COPPA와 GDPR에서 명시하고 있는 강한 기준으로 벌금이 부과되는 것으로 나타났다.
특히 아동 개인정보 유출은 아동 개인정보만 유출되는 것이 아니라 아동의 법정 대리인의 개인정보(부모의 이름, 연락처, 직업, 학력 등)가 추가로 유출될 수 있어 2차 개인정보 유출의 피해로 이어져 아동 개인정보 수집 및 보관에 각별한 주의가 필요한 것으로 보인다.
본 연구는 아동 개인정보 유출에 대해 근거이론을 사용하여 분석함으로써 아동 개인정보 유출로 인한 현상들을 제시하고 인과관계를 확인하였으나 다음과 같은 한계점을 지닌다. 첫째, 본 연구를 위해 조사한 아동 개인정보 유출 사건을 20건을 통해 알아보았다. 최근에 발생한 아동 개인정보 유출 사건을 조사 하고자 5년 동안 발생한 아동 개인정보 유출 사건으로만 한정하였다. 둘째, 근거 이론의 분석 절차는 오픈 코딩, 축 코딩, 선택 코딩의 순서로 이루어지나본 연구에서는 아동 개인정보 유출에 대한 탐색적 연구를 통해 유출 과정에서 나타난 현상들을 확인하는데 목적이 있어 선택 코딩은 생략 하였다. 이 같은 한계점을 보완하기 위해 후속 연구에서는 본 연구에서 도출한 37개의 하위범주, 11개의 범주를 변수로 사용하고, 선택 코딩의 결과를 도출하여 아동 개인정보 유출 사고를 겪은 회사의 사례를 토대로 아동 개인정보 유출에 따른 사회적 비용, 손실에 대해 알아보고자 한다. 이를 통해 아동 개인정보가 가지는 중요도에 대해 정량적 파악이 가능할 것으로 예상된다.
References
- Korea Internet & Security Agency, 2018 Survey in the Internet Usage, May. 2019.
- "60% of internet users use YouTube search channel," Maekyung, Mar. 2019. https://www.mk.co.kr/news/business/view/2019/03/152991/
- "Nine of YouTube's Top 10 revenues are kids channels... content without language barriers is popular," Hankyung, Dec. 2019.
- https://www.hankyung.com/it/article/2018122355721
- Korea Internet & Security Agency, 2018 Privacy consultation casebook, Apr. 2019.
- Yun JuHee, "A study on the Consent System of Legal Representative and Age Standard for the Personal Information Protection of Children," Law Research Institute, The University of Seoul, 22(1), pp. 187-232, May. 2014. https://doi.org/10.15821/slr.2014.22.1.007
- Lee In-Ho, "The Children's Online Privacy Protection Act and It's Effective Enforcement in Korea," Korean Law & Society Association, 20, pp. 245-269, 2001.
- Woo-Sug Lee, Cheong-Ghi Chun, and Keun-Chang Lee, "The Study on chilren's Online Privacy Protection Act and Rule in America," The Journal of Internet Electronic Commerce Research, 2(1), pp. 139-160, Feb. 2002.
- Kim Sora and Rhee Kee-choon, "A content Analysis of Web sites from a Perspective of Children's Online Privacy Protection," The Journal of the Korean Home Economics Association, 45(8), pp. 127-142, 2007.
- Kim Sora, "The Role of Mothers in Children's Privacy Protection on the Internet," The Journal of the Korean Home Economics Association, 46(2), pp. 59-71, 2008.
- Benjamin Shmueli and Ayelet Blecher-Prigat "Privacy for Children." Columbia Human rights law review, 42, pp. 759-795, 2011.
- CHOI Hye Seon, "Study on Personal Information Protection of Children and Adolescents on Internet -Based on Personal Information Protection Trend in U.S.A and EU-." European Constitution, 13, pp. 221-261, Jun. 2013.
- Yoo Ji Yeon, "Reconsidering Children's Online Privacy," Korea Information Society Development Institute, 25(16), pp. 36-54, Sep. 2013.
- Chung Chanmo, "A study on Recent Developments of the Children's Online Privacy Protection Act in the United States," Inha Law Review The Institute of Legal Studies Inha University, 17(1), pp. 77-108, Mar. 2014.
- Ministry of Government Legislation, Act on Promotion of Information and Communications Network Utilization and Information Protection etc, Jun 2019.
- Ministry of Government Legislation, Act On the Protection, Use, etc of Location Information, June 2019.
- Korea Internet & Security Agency, EU GDPR Guidebook for Our Enterprise, May. 2018.
- Lee Dongsung and Kim Youngchun, "An Inquiry on the Inclusive Analytic Procedures for Qualitative Data Analysis: Based on the Pragmatic Eclecticism," The Journal of Educational Research, 12(1), pp.159-184, Mar. 2014.
- Heon-wook Lim, "Security-equipment building cause based on 'grounded theory' approaches," Jouranl of Information and Security, 16(7), pp. 69-75, Dec. 2016.
- Park JaeGon, "A Study on the Change of Security Level of Military Organizations Applying Grounded Theory," Korea Security Journal, 53, pp. 281-303, Dec. 2017. https://doi.org/10.36623/kssa.2017.53.12
- Namjae Cho and Jinwook D. Oh, "A Study on Determinants of Defects in Information Security Management System: Analysis by Ground Theory," THE HUMANITY IN THE DIGITAL INTELLIGENT SOCIETY, pp. 308-313, 2016.
- Kim Youngchun, Ground Theory : Methods, Academypress, Nov. 2013.
- Kim Youngchun and Kim Jin-hee, "Data analysis on qualitative research: Understanding software program," The Journal of Anthropology of Education, 11(1), pp. 1-35, 2008. https://doi.org/10.17318/jae.2008.11.1.001