I. 서론
세계의 도시들은 급격한 인구증가로 인한 과밀화와 생활환경, 에너지, 안전, 방범, 고령화 등 많은 사회적 문제를 정보통신기술(Information & Communication Technology, ICT)을 적용한 스마트시티를 통해 도시를 지능화함으로써 해결코자 노력하고 있다. 다양한 IoT 센서들을 이용하거나, 지능형 영상분석솔루션과 연계한 고화질 CCTV 등을 활용하여 스마트시티 내 빅데이터를 수집하고, 이를 AI 또는 빅데이터 처리기 등을 통해 분석하므로 도시문제 해결을 위한 기초자료로 활용하고 있다.
스마트시티는 도시문제를 해결하고 시민들에게 지속 가능한 서비스를 제공하기 위한 개념으로 만들어지고 운영되고 있다. 하지만, 나라와 도시마다 당면한 문제가 다르기에 ‘스마트시티’에 대한 개념과 적용 방법은 너무나 다양하여 전 세계적으로 116개의 다양한 정의를 가지고 있다(국제전기통신연합(ITU),2013). 영국의 기업혁신기술부(2013년)에서는 “스마트시티는 절대적 정의도 종점도 없으며, 도시가 보다 살기좋고, 탄력적이며, 새로운 문제에 직면했을때 더욱 빠르게 대응할 수 있는 체계”로 정의하면서, 끊임없이 발생하는 도시문제를 해결하기 위해서는 체계의 혁신이 필요하다는 점을 내세웠다[1]. 우리나라는 스마트도시법에 따라 “도시의 경쟁력과 삶의 질 향상을 위하여 건설ㆍ정보통신기술 등을 융ㆍ복합하여 건설된 도시기반시설을 바탕으로 다양한 도시서비스를 제공하는 지속 가능한 도시”로 스마트시티를 정의하고 있으며[2], U-City, 스마트시티 테스트베드·리빙랩·실증도시·시범도시의 형태로 추진되고 있다.
한국형 스마트시티는 플랫폼을 기반으로 IoT 등 다양한 방식으로 데이터를 수집하고, 융·복합하고, 분석하고, 시각화하여, 데이터 기반으로 도시문제를 해결코자 노력하고 있다. 하지만 국내 스마트시티는 U-City 기반 CCTV 통합 관제센터의 확장형이고, 새롭게 진행되고 있는 스마트도시 시범도시(세종, 부산)는 아직 계획단계에 있으며, 스마트도시 실증도시(대구, 시흥)는 플랫폼 중심의 하드웨어적 구성과 물리적보안 위주의 인프라 구축사업만이 진행된 상황이다. 스마트시티에서 처리되는 개인정보 빅데이터에 대한 관리적 보안등 개인정보보호 관리체계는 부재한 상황인 것이다.
이에 본 연구에서는 스마트시티 서비스의 종류와 수집되어 처리되는 개인정보의 종류를 살펴보고, 그 중 시민의 생명과 직결되는 스마트 안전 분야에 대해서 CCTV를 활용한 개인(영상)정보 파일의 처리 현황과 문제점을 확인하고, 현행 스마트도시법과 개인정보보호 관리체계의 한계점을 분석한 후 해결방안으로 스마트시티 분야 개인정보보호 관리체계 모델을 제시하고, 이를 통한 개인정보보호 강화 방안에 대하여 제안코자 한다.
II. 스마트시티 속 개인정보
2.1 연구동향
스마트시티 관련 국내연구는 초창기 U-City와의 비교연구 이후, 도시의 경쟁력 강화를 위한 전략 연구와 스마트시티 개념 및 정책사례연구를 통한 발전방안을 모색하는 연구로 볼 수 있다.
이상호 외(2014)는 유시티와의 비교를 통한 해외진출전략을 연구하였고[3], 이후 2017년에는 스마트시티의 주요 구성요소(빅데이터, IoT, 플랫폼 등), 스마트시티와 도시계획간의 유기적인 관계에 대하여 연구하였다[4]. 김승남 외(2018)는 대통령직속 4차산업혁명위원회가 발표한 ‘스마트시티 추진 전략’을 토대로 2017년 이후 개별 도시의 맥락과 요구를 반영한 국내 도시문제 해결과 시민체감도 향상을 위한 연구 경향이 심화되고 있다고 보고하였다[5].
해외에서는 Hollands(2008)의 연구와 같이 기업주도의 스마트시티에 대한 비판적 연구경향이 있고(Soderstrom 외, 2014; Calzada & Cobo, 2015), 스마티시티의 개념과 특성, 그리고 스마트시티를 구성하는 주요 요인들에 대해 분석하고 있으며(빅데이터와 스마트시티,Galang,2013; 사물인터넷과 스마트시티, kamel 외, 2014), 스마트시티 개념을 확장하여 세계도시론의 관점에서 글로벌 네트워크와의 연계에 대해 연구하는 동향이 있고(Tranos 외, 2012)[7], 스마트도시의 정보보안 문제와 데이터 관리측면 등의 연구를 통해 개인정보 보호 방향을 제시코자 하였다(Trevor Braun 외, 2018).
개인정보의 보호에 대한 국내 연구논문과 관련하여 이용진(2014)은 금융회사의 개인정보 처리 수탁자 대상 관리·감독 방안을 연구하였고, 강태훈 (2013)은 정보통신사업자를 대상으로 수탁자 개인정보보호 및 보안수준 강화방안을 연구하였으며, 정환석(2016)은 공공기관의 개인정보 처리업무 위·수탁 시 개인정보보호 관리체계 수립·시행을 통한 개인정보 보호 강화 방안에 대하여 연구하였다.
이 연구들은 스마트시티에서 적용될 수 있는 신용정보법과 정보통신망법, 개인정보보호법에 따른 개인정보처리자의 개인정보보호를 위한 관리·감독의 문제점과 개선방안에 대하여 제안하였으며, 본 논문에서는 스마트시티와 개인정보보호 관련 논문들에서 연구하지 않은 스마트시티 분야의 개인정보보호 방안에 대해 연구하였다.
2.2 자율주행 자동차 서비스 속 개인정보
자율주행자동차는 운전자 없이 IT기기를 이용하여 도로를 달리는 자동차로, 다양한 센서를 이용하여 실외 환경 변화를 극복하고, 장애물을 피하면서 원하는 목적지까지 스스로 경로를 파악하여 이동할 수 있는 자동차를 의미한다. 처리하는 개인정보의 범위로는 자율 주행 자차 정보, 자율주행차가 직접 수집하는 개인정보, 자율주행 인프라(도로주변 CCTV와 움직임 감지 센서 등)를 통하여 수집되는 개인정보를 포함한다[11]. 자율주행 자차에서의 개인정보는 자동차 위치 정보, 운행기록장치 기록정보, 소유자와 사용자의 상태 정보 등을 통해 개인을 식별 할 수 있는 개인정보이며, 자율주행 자차를 통해 수집되는 타인 차량의 개인정보로는 타차 탑승자의 얼굴과 자동차 번호판, 위치 정보 등을 통해 식별할 수 있는 개인정보이다. 보행자의 개인정보로는 CCTV를 통해 수집되는 보행자의 정보(얼굴)와 그 위치 정보등을 개인정보라 할 수 있다.
2.3 스마트 홈 서비스 속 개인정보
스마트 홈 서비스는 주거환경에 IT를 융합하여 국민의 편익과 복지증진, 안전한 생활이 가능하도록 하는 인간중심적 스마트라이프 환경을 조성하는데 서비스 목적을 두고 있다. 산업의 범위로는 스마트 시티, 스마트 가전, 스마트 교육, 스마트 그리드, 스마트 케어 등 다양한 분야에서 서비스 되고 있다. 처리하는 개인정보로는 건강관리 및 휴먼케어를 위한 회원정보와 건강정보등 민감정보를 포함하고 있고, 움직임 감지센서, 상수도 사용 센서 등 IoT 장비를 통해 수집되는 정보를 포함한다[12].
2.4 스마트 교통 서비스 속 개인정보
스마트 교통 서비스는 실시간 교통정보 수집을 통한 교통 혼잡지역 최소화, 응급상황 발생 시 신호등제어를 통한 골든타임 단축 등 시민의 생활 편의성과 안전성 제고를 위한 최적의 교통환경을 제공하는데 서비스 목적이 있다. 산업의 범위는 실시간교통정보 제공서비스, 도로위험정보제공서비스, 불법주정차관리서비스 등이 있다. 처리하는 개인정보로는 교통정보 수집 및 관리를 위해 수집되는 번호판 정보(소유자), 탑승자 영상 및 위치정보 등이 있다.
2.5 스마트 안전 서비스 속 개인정보
스마트 안전 서비스는 날로 늘어나는 범죄 발생 최소화를 위하여 지능형 CCTV등을 설치 및 운영하고, 시민들에게 안전한 생활환경을 제공하는데 서비스 목적이 있다. 산업의 범위로는 스마트 가로등 및 생활 안전 CCTV 서비스, 차량번호관리 서비스 등이 있다. 처리하는 개인정보로는 지능형 CCTV를 통해 수집 및 관리되는 차량영상정보, 개인영상정보, 시민들의 위치정보와 회원정보 등을 포함한다.
III. 스마트 안전 서비스와 관련 법령
스마트시티에서 가장 중요하고 비중이 높은 서비스는 안전 분야라 생각한다. 안전한 생활 속에서 행복한 삶을 지속할 수 있기 때문이다. 이러한 이유로 스마트 안전서비스 중 대표적인 운영사례와 개인정보 이슈사항, 문제점 및 개인정보보호 강화방안에 대하여 연구하였다.
3.1 스마트안전 서비스 운영사례[13]
대부분의 지자체에서는 범죄예방과 사고발생 시 신속한 처리를 위하여 범죄 취약지구에 CCTV를 설치하고 통합관제센터에서 24시간 관제요원을 통해 모니터링 하고 있다. 이 때문에 모니터요원에 대한 상황 의존도가 높아 모니터요원의 피로감은 엄청 높은 것이 사실이다.
또한, 112와 119등 재난 및 안전과 관련하여 직접적인 시스템 연계가 되어 있지 않은 곳이 많다. 따라서, 긴급 상황이 발생 한 경우에 모니터요원이 직접 육안으로 확인하고, 112나 119등에 전화하여 처리하여야 했다. 이에 지능형CCTV를 설치하고, 스마트도시 통합운영센터를 구축 후 112나 119등 재난센터에 직접 연계하여 상황발생 즉시 인지하고, 모니터에 알람을 발생시켜 대응토록 시스템 고도화 및 기관 간 연계 작업을 진행하고 있다.
Fig. 1. CCTV Video Control System Configuration Exampl
3.2 운영 효과[13]
대전시의 경우 스마트시티 통합운영센터를 설치하여 운영 중에 있으며, 운영결과 2017년도에는 아래 Table 1.에서와 같이 각 상황별 1만 5천여건의 CCTV영상을 112와 119 등에 제공하였으며, 이를 통해 범죄 발생률이 6.2% 감소하였고, 검거률 또한 2.7%가 증가 하였다.또한, 119 긴급출동시간이 7분26초에서 5분58초대로 단축되었으며, 7분 내 도착률 또한 63.1%에서 78.5%로 증가 하였다.
Table 1.The Number of CCTV Video Offer
Table 1.과 Table 2.에서 살펴보았듯이 지자체만의 CCTV 설치 및 모니터링 요원을 통한 대응보다는 스마트시티 통합 운영센터에 각 지역별 CCTV를 연계하고, 112와 119등 관련 기관 간 상시 연계 및 지능형영상분석시스템을 통해 이벤트 상황 발생 시 즉시 모니터요원에게 알려주고, 해당 영상을 112와 119와 공유토록 함으로써 발생 된 상황을 효과적으로 처리 할 수 있다는 결론을 얻을 수 있었다.
Table 2. 112/119 Linked Processing Cases
3.3 관련 법령
다음은 관련 법에 대하여 살펴보자. 개인정보보호법은 일반법으로 타 법률에 특별한 규정이 없는 경우에는 개인정보보호법을 적용받고, 타 법률에 특별한 규정이 있는 경우에는 해당 법률 규정을 우선 적용받게 된다. 따라서, 스마트도시에서도 스마트도시법과 정보통신망법, 위치정보법 등 개별법과 특별법이 우선 적용되고, 관련 법령이 없는 경우에는 일반법인 개인정보보호법이 적용된다[14].
Fig. 2. Smart City-related Laws
IV. 스마트시티와 개인정보 보호 이슈
4.1 개인정보 보호 이슈사항
스마트시티 안전 분야의 개인영상정보와 관련한 법령 이슈사항에 대하여 개인정보보호위원회1)의 심의의결사항을 사례로 살펴보겠다.
4.1.1 지자체간 개인영상정보 상시연계 및 공유(심의의결사례 1)[15][16]
○ 심의 정보
· 의안번호 : 제2017-15-124호
· 의안명 : 서울특별시(한양도성도감)와 중구의 영상정보 공유에 관한 건
· 신청인 : 서울특별시장
· 의결연월일 : 2017.7.10.
· 출처 : 심의의결안건결정문모음집(개인정보보호위원회)
○ 현황 및 심의 배경
· 2017.3월 기준 한양도성의 보존과 관리 목적으로 서울시는 CCTV 125대를 설치하여 운영하고 있음
· 2017.12월 40대 추가 설치계획을 수립하여 추진코자 함
· 해당 지역에는 서울시 중구에서 서울시와 동일 목적으로 CCTV 5대를 설치하여 운영 중에 있음
· CCTV 설치운영은 지방자치단체별 자치업무임에도 불구하고 예산의 중복투자 최소화를 위해 중구에서 수집하는 영상을 서울시에서 상시연결 및 공유 받을 수 있을지 여부에 대해 개인정보보호 위원회에 상정 함.
Fig. 3. Summary of Personal Image Information Sharing Issues between Seoul and Jung-gu, Seoul
○ 심의 결과
· 개인정보보호법 제15조제1항제3호에서는 개인영상정보를 수집한 목적 범위 내에서 이를 제공하는 경우는 동법 제17조제1항제2호에 따라 정보 주체의 개인정보를 제3자에게 제공할 수 있다고명시하고 있음.
→ 따라서, 지자체가 시설관리등을 위하여 설치하고 수집하는 영상정보에 대하여는 동일 목적을 달성하기 위하여 다른 지자체에 영상정보를 제공할수 있다고 심의 의결하였음.
4.1.2 개인영상정보의 이용 및 제3자 제공(심의의결사례 2)[17]
○ 심의 정보
· 의안번호 : 제2016-14-23호
· 의안명 : 고양시의 영상정보제공 관련 질의 건
· 신청인 : 고양시· 의결연월일 : 2016.9.12.
· 출처 : 심의의결안건결정문모음집(개인정보보호위원회)
○ 현황 및 심의 배경
· 고양시 CCTV 통합관제센터는 신호 및 과속 단속, 주차단속, 생활방범을 위해 관내에 CCTV를 설치하여 운영 중에 있음
· 지방경찰청이 범죄수사목적으로 모든 차량의 영상정보를 제공 요청함
· 수배차량 검거를 위해 수배차량 정보를 고양시에 제공하고, 해당 차량이 찍힌 영상정보만을 제공 받고자 함
· CCTV 설치목적에 ‘차량방범’을 추가하고 모든 영상을 고양시청과 경찰청간 공동 활용을 위해 상시 공유하고자 함
○ 심의 결과
· CCTV로 수집하는 차량의 영상정보는 차량번호, 차종을 포함하고 있어, 고양시가 이를 통해 개인을 식별가능 하므로 개인정보에 해당 함.
· 모든 차량의 영상정보 제공은 사생활의 비밀보호, 개인정보 최소처리원칙 위배.
Fig. 4. Summary of Personal Image Information Sharing Issues between Goyang and Local Police Agency
→ CCTV로 수집한 모든 차량의 영상정보를 경찰청에 제공하는 것은 범죄수사 목적의 경우라도 사생활의 비밀 보호와 개인정보 최소처리 원칙을 고려할 때 허용안됨(개인정보보호법 제3조).
· 수배차량 정보제공은 수사목적으로만 제공가능
→ 경찰청이 고양시에 수배차량의 영상정보 요청과정에서 수배차량 정보를 제공하는 것은, 수사업무 수행을 위해 수집한 개인정보를 목적 범위 내에서 제공하는 것(경찰법 제3조제2호, 경찰관 직무집행법 제2조제2호, 개인정보보호법 제17조제1항 제2호)
· 요청에 따른 수배차량 영상정보 제공은 범죄수사를 위해 필요한 경우임.
→ 경찰청으로부터 수배차량의 정보를 제공 받은 고양시가 경찰청의 요청에 따라 해당 수배차량의 영상정보를 경찰청에 제공하는 것은 수배차량과 연관된 범죄의 수사를 위하여 필요한 경우로서 허용됨. 단, 접근권한, 접근통제, 접속기록관리 및 제공 기록관리 철저(개인정보보호법 제18조 제2항 제7호).
· CCTV 설치 목적 추가는 조건부 가능
→ CCTV 설치장소 및 주된 촬영 대상을 고려 설치 목적 추가는 필요성 인정(추가 목적을 달성할 수 있는 경우로 제한).
· 동일목적 CCTV영상 공동활용≠상시공유
→ 고양시가 이미 설치된 CCTV에 설치 목적을 추가하더라도 경찰청과 상시 공유는 불가 (사생활 비밀보호와 개인정보 최소 처리 원칙에 따름) (헌법 제17조, 개인정보보호법 제3조, 제16조).
4.1.3 소속 시 · 군 개인영상정보의 광역자치단체 및 경찰청 연계 (심의의결사례 3)[18]
○ 심의 정보
· 의안번호 : 제2018-18-190호
· 의안명 : 시·군영상정보의광역자치단체연계에관한건
· 신청인 : 강원도시자
· 의결연월일 : 2018.10.1.
· 출처 : 심의의결안건결정문모음집(개인정보보호위원회)
○ 현황 및 심의 배경
· 강원도청 관내 18개 시·군청은 기관별로 CCTV 관제센터를 운영하고 있음.
· 강원도청은 통합플랫폼을 설치·운영하고 있으며, 시·군청 및 소속기관 (소방본부, 재난안전본부, 119종합상황실)과 연계하고 있음.
· 119 신고 및 재난, 재해, 구급상황이 발생하여 접수 시에 관내 시·군청에서 수집하고 있는 영상 정보를 강원도청에 제공하여 소속 소방본부, 재난안전본부 및 119종합상황실에서 이용코자 함 .
· 112 신고가 접수될 경우 시·군청 수집 영상정보를 강원도 통합플랫폼을 통하여 강원지방경찰청에 제공하여 처리코자 함.
○ 심의 결과
· 강원도 내 시∙군청에서 수집하는 영상정보를 강원도청에 제공하여 소방본부 등에서 이용 가능 여부
→ ’재난 및 안전관리 기본법’에 따른 재난이 발생하거나, ‘소방기본법’에 따른 119신고접수 및 재난/재해/구급상황이 발생하여 현장 주변을 확인하고 긴급차량의 출동 경로를 분석할 목적으로 영상정보를 제공하는 것은 국민의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우에 해당한다. 따라서, 강원도는 119종합상황실로 신고가 접수되거나, 도내에 재난/재해/구급상황이 발생한 경우 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고 ‘개인정보보호법’ 제18조 제2항 제3호에 따라 통합플랫폼을 통해 시/군으로부터 영상정보를 제공받아 소방본부 또는 재난안전대책본부등에서 이용할 수 있다.
· 시군의 수집 영상정보를 강원도 통합플랫폼을 통하여 강원지방경찰청에 제공 가능 여부.
→ 112종합상황실에 신고가 접수되어 사건의 현장 확인 및 범인의 도주 경로 확보 등을 목적으로 영상정보를 제공하는 것은 국민의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우임. 따라서, 시군은 112종합상황실로 신고가 접수되어 영상정보를 제공받는 것이 필요한 경우 강원지방경찰청의 112신고 처리를 목적으로 강원지방경찰청에 영상정보를 제공할 수 있다. (시군은 강원도가 구축한 통합플랫폼을 통하여 강원경찰청에 영상정보를 단순 제공하는 전송통로의 역할만 하는 경우이므로, 시군이 직접 경찰청으로 영상정보를 제공하는 것으로 볼 수 있다.)
다만, 강원도는 시스템의 관리 및 보호 의무를 다해야 하고, 전달 및 전송되는 개인정보에 대해 개인정보의 열람, 저장, 가공 등 ‘개인정보 보호법’상의 개인정보 처리행위를 할 수 없다.
Fig. 5. Summary of Personal Image Information Sharing Issues between the municipal government, metropolitan city and police
4.2 문제점
○ (사례 1) 최초 설치 및 운영기관이 다르더라도 광역시도와 소속 구 · 군청의 설치 목적이 같다면 소속 구 · 군청의 개인영상정보를 관할 광역시도에서 상시 연결 및 공유하여 처리할 수 있다.
○ (사례 2, 3) 광역시도와 소속 구 · 군청 수집 개인영상정보는 국민의 신체, 재산, 생명, 범죄수사등의 목적으로 해당 상황이 발생하는 경우에만 제공 받아 처리 할 수 있고, 상시 연결을 통한 모니터링 및 데이터 공유는 불가하다.
→ (근거) 사생활 비밀보호, 개인정보 최소 처리원칙 위배
○ (시사점) 상시연결을 통한 적시처리가 필요하나 사생활 비밀보호와 개인정보보호법에 따라 제한됨
현재 스마트시티는 인증 받은 솔루션을 이용하여 스마트시티 5대(112, 119등) 연계서비스를 구축하는 경우 상시연결을 가능하도록 하고 있다. 하지만, 이때에도 상황발생 시에만 영상정보를 공유하고 있다. 또한, 스마트시티법에서는 샌드박스를 통해 법 적용 예외 지역으로 선정할 수 있고2), 스마트도시 선진모델 확산을 위하여 스마트도시 인증3) 제도를 시행하고 있다.
개인정보보호 측면에서 보면 스마트시티 5대 연계 서비스의 경우 상시연결에 따른 개인영상정보의 오남용 및 유출 가능성이 높아지게 된다. 샌드박스를 적용할 경우에는 법 적용 예외지역으로 처리됨에 따라 개인정보 오남용 및 유출 가능성이 더욱 높아지게 된다. 스마트도시 인증제도에서는 인증지표상에 ‘통합운영센터 정보보안 정책지표4)’는 있으나 가장 많이 처리되는 개인정보보호에 대한 지표는 없다[19].
스마트시티는 시민이 안전하고 행복하게 살아갈 수있도록 관련 법령 아래에서 철저히 처리되어야만 한다. 물리적인 시설과 시스템을 잘 갖추어 놓는 것도 중요하지만, 이를 잘 운영하는 것이 더욱 중요하다.
도시 건설과 플랫폼 구축 이후 관리체계의 수립 및 인증 획득을 통한 체계적인 운영방안을 확립하여 시민의 개인정보를 잘 보호해야 한다.
따라서, 스마트시티에 개인정보보호 관리체계의 수립과 인증(ISMS*P 또는 스마트시티 전문 개인정보보호 관리체계인증)을 받은 경우에 한해 상시 연계가 가능토록하고, 상황 발생 등 필요시에만 개인(영상)정보를 즉시 공유하여 처리하는 방안에 대해 연구가 필요하다.
이에 본 논문에서는 스마트시티에서 처리되는 개인(영상)정보를 안전하게 관리할 수 있는 모델에 대하여 제안하였다.
V. 스마트시티 속 개인정보 보호 강화 방안
스마트시티 개인정보보호 강화방안에 대하여 논하기 전에 스마트도시법에서의 개인정보 처리 및 보호방안에 대하여 먼저 살펴본 후 스마트시티 개인정보보호 관리체계 모델에 대하여 제시하겠다.
5.1 스마트도시법에서의 개인정보 처리 및 보호방안[2]
스마트도시법 제19조의 5에서는 스마트도시기반시설 관리청인 지방자치단체가 스마트도시 기반시설을 통해 수집한 정보를 통합적, 효율적으로 제공하기 위하여 스마트도시 관리·운영시설인 스마트도시 통합 운영센터 내 정보시스템이 서로 연계하거나 통합될 수 있도록 관리하여야 한다고 되어 있다.
즉, 스마트도시 통합운영센터 구축을 통해 스마트도시 기반시설을 통한 직접적인 데이터 수집과 시스템 연계를 통한 간접적인 데이터 수집과 처리를 할 수 있도록 관리하여야 한다는 것이다.
법 제21조에서는 개인정보의 수집/이용/제공/보유/관리/파기 등 개인정보 취급 시에는 관련 법령에 따라 필요 목적의 범위에서 적법하고 안전하게 취급되어야 한다고 하고 있다.
즉, 개인정보는 필요 최소한의 항목을 수집 목적에 부합하여 수집하고, 저장하고, 이용하고, 제공하고, 파기하는 등 적법하고 안전하게 취급하여야 한다고 명시하고 있다.
법 제22조에서는 스마트도시기반시설의 보호를 위해 스마트도시 통합 운영센터를 주요정보통신기반시설로 지정하고 운영하도록 하고 있다. 이는 국정원의 취약점 점검 대상이 되므로 철저한 점검과 관리가 필요하다는 것을 의미한다.
Fig. 6. Summary of Personal Information Processing and Protection Plan in Smart City LAW
법 제37조에서는 세종, 부산 등 국가시범 스마트도시의 서비스제공자등이 개인정보의 전부 또는 일부를 삭제 또는 대체해서 다른 정보와 결합하여도 더 이상 특정개인을 알아볼 수 없도록 익명 처리하여 개인정보를 활용한다면 관련 법령인 개인정보보호법과 정보통신망법, 위치정보법등을 적용받지 않도록 하고 있다.
즉, 스마트도시법에서는 나날이 빅데이터화 되고 있는 개인정보파일들에 대하여 어떻게 처리하고, 관리·운영되어야 하는지에 대하여는 구체적으로 명시하고 있지 않다.
따라서, 스마트도시에 특화된 개인정보보호 관리체계 수립 및 시행을 통해서 개인정보를 잘 관리하여 사람이 우선이 되는 안전한 스마트 도시를 만들어 가야 될 것이다.
5.2 스마트시티 속 개인정보보호 강화 방안
스마트도시법은 스마트도시의 효율적인 조성, 관리 · 운영 및 산업진흥등에 관한 사항을 규정하고 있고, 스마트도시인증제도는 스마트도시 성공모델 기준을 제시코자 만들어졌다. 이러한 이유로 스마트도시의 구축 및 확산이 우선시 되고 있고, 정보보안 분야에만 많은 투자를 하고 있다. 하지만, 개인정보보호 분야에 대하여는 단순히 개인정보보호법을 따르도록 하고 있어 구체적인 가이드라인이 필요한 상황이다. 또한, 정보보호 및 개인정보보호 관리체계인증 (ISMS*P)와 개인정보영향평가(PIA)에서도 아직 스마트시티 분야에 대한 점검지표는 부재한 상태이다. 따라서 스마트시티 구축 시 정보보안은 물론 개인정보보호 방안에 대하여도 스마트시티 설계단계에서부터 반영되어 구축 및 관리되어야 한다. 이에 스마트시티 개인정보보호 관리체계 모델을 아래와 같이 제안한다.
5.2.1 스마트시티 개인정보보호 관리체계 모델
스마트시티에서 수집 및 처리하는 개인정보의 안전한 관리를 위한 스마트시티 전용 개인정보보호 관리 체계 모델은 아래 Fig.7.과 같다.
Fig. 7. Smart City Personal Information Management System Model Case
이 모델은 2012년 행정안전부에서 전국의 공공기관을 대상으로 실시한 ‘개인정보보호 관리수준 진단‘ 평가 최우수 기관의 CPO워크숍 우수사례 발표 시 처음 제시 하였다[20]. 이는 개인정보보호법에 따른 ‘개인정보의 안전성 확보조치 기준’‘에 근거하여 만든 모델이며[21], 여기에 스마트시티 관리 업무와 위수탁자 개인정보보호 관리체계 모델[10]을 융·복합하여 Fig.8.과 같이 스마트시티 개인정보보호 관리체계 모델을 완성하였다.
Fig. 8. Smart City Personal Information Management System Detailed Model Case
스마트시티에서는 스마트시티 분야 개인정보보호책임자를 별도로 지정하여 운영하여야 한다. 스마트시티에서 발생되는 개인정보 빅데이터에 대하여 책임있는 관리·감독이 필요하다는 것이다.
또한, 스마트시티 개인정보보호 종합대책을 수립하여 운영하여야 한다. 전기, 통신, 서버, 네트웍, 보안, CCTV, IoT 센서, 자율주행자동차 등 모든 ICT 기술을 통해서 개인정보가 수집되고, 처리되고, 관리되고 있는 스마트시티에서 개인정보를 체계적으로 관리·감독 할 수 있는 종합대책을 수립하여 운영해야 된다는 것이다.
아울러, 기관에서 수립한 개인정보보호 운영위원회 내에 스마트시티 전문가를 두고 이슈사항에 대한 자문 및 주요 결정사항을 처리할 수 있도록 해야 한다.
5.2.2 스마트시티 개인정보보호 관리체계 상세 모델
스마트시티 개인정보보호 관리체계는 Fig.8.과 같이 내부관리기준 마련, 관리점검 체계 수립 및 시행, 교육(수탁자 포함), 전담조직 구성 및 운영 등 네 가지 분야로 나뉜다.
첫째, 내부관리기준은 내부관리지침마련, 종합추진 계획 수립 및 업무별 관리 지침/절차/매뉴얼·점검지표·표준양식 개발로 세분화 할 수 있다. 내부관리지침은 행정안전부 표준양식을 이용하여 수립하며, Smart City CPO 지정, 전담조직 구성 및 운영, 스마트시티 플랫폼 운영계획 및 관리점검계획, 교육계획 등을 포함한다. 이러한 사항들을 ‘스마트시티 개인정보보호 종합추진계획’에 반영하여 추진하면 된다. 스마트시티의 안전을 위해 설치된 CCTV의 관리운영지침, 스마트시티통합운영센터 등 출입통제 지침, 개인(영상)정보의 외부 연계 및 제공을 위한 절차, 개인(영상)정보 유출 및 침해대응 매뉴얼, 개인정보 처리 수탁 업무별 관리점검 지표 개발 및 관리 감독, 스마트시티 개인정보처리방침과 개인정보 활용 동의서, 스마트시티 위수탁 계약서등 각종 표준양식 개발 등 관련 지침/절차/매뉴얼/점검지표/표준양식을 스마트시티 업무 특성에 맞게 작성하여 관련자에게 교육하고 운영하여야 한다.
둘째, 관리점검 체계를 수립하고 시행하여야 한다. Fig.9.과 같이 스마트시티에서 개인정보 처리 업무 별로 법령준수를 위한 다양한 점검항목이 존재한다. 개인정보보호법령과 관련하여 개인정보보호관리체계, 개인정보처리시스템, 업무용PC, 영상정보통합관리시스템 등 전반적인 개인(영상)정보 관리실태와 취약점에 대하여 관리점검하고, 유지보수 및 센터 운영 수탁자 대상 관리실태 점검과 개인정보파일의 제공 적정성을 점검 하여야한다. 스마트도시법과 관련하여는 스마트시티 통합 운영센터에 대한 관리실태 점검을 실시하여 국가정보원의 스마트시티 주요기반시설 점검에도 대비하여야 한다. 셋째, 개인정보 처리 업무별 교육을 실시하여야 한다. 개인정보보호법에서는 개인정보취급자와 책임자, 담당자, 수탁자를 대상으로 정기적으로 교육을 하도록 하고 있다. 따라서 스마트시티 개인정보보호 종합 추진계획에 교육계획을 포함하여 시행하면 된다. 교육 내용에는 아래 Table 3.과 같이 관련 법령의 이해, 스마트시티에서 처리되는 개인정보의 종류와 취급 유의사항, 개인정보 유/노출 등 사고발생에 따른 대처방법등을 포함하고 취급자/책임자/담당자/수탁자로 구분하여 교육하여야 할 것이다.
Table 3. Example of Smart City Personal Information Protection Education
Fig. 9. Smart City Personal Information Management Inspection System Model Case
셋째, 개인정보영향평가에는 스마트시티 전용 개인정보 처리 점검 항목을 추가하여야 한다. 넷째, 스마트시티 관리주체는 개인정보보호 관리점검 계획을 별도로 수립하여 체계적으로 관리 하여야 한다. 스마트시티 속 빅데이터를 처리함에 있어서 스마트시티 전용 강화된 개인정보보호 관리체계를 적용함에 따라 시민이 행복한 도시, 시민을 위한 스마트한 도시를 만들어 가는데 도움이 될 것으로 기대한다. 본 연구에서 제안한 스마트시티 속 개인정보보호관리체계에 대한 실증연구는 향후과제로 진행코자 하며, 본 연구의 결과를 현장에 적용하는 과정에 발견되는 문제는 수시로 적용하여 개선되어야 할 것이다.
넷째, 전담조직을 구성하여 운영하여야 한다. 스마트시티 통합운영센터에서 발생되는 개인정보 빅데이터들에 대한 안정적 운영을 위하여 ‘스마트시티 개인정보보호 운영 위원회’를 최고 의사결정 기구로 하고, 스마트시티 개인정보보호책임자와 담당자, 업무처리분야별 개인정보보호책임자 및 취급자, 수탁자등으로 전담조직을 구성하고 해당 업무별 과업내용을 확인하여 책임운영토록 하면 된다. 개인정보보호 담당자는 ‘스마트시티 개인정보보호 통합 추진계획’에 따라 정기점검 및 교육을 실시하고, 침해사고 등 위기사항 발생 시에는 조직구성원들의 역할을 배분하여 체계적으로 운영 및 처리하게 한다.
VI. 결론
지금까지 스마트시티 속에서 처리되는 개인정보의 종류와 관련 법령을 포함한 여러 이슈사항에 대하여 살펴보고, 이를 개선하기 위한 스마트시티 개인정보보호 관리체계 모델을 제안하였다. 스마트시티 속 개인정보보호 강화방안을 정리하면
첫째, 스마트시티 개인정보보호 관리체계 (ISMS*P_Smart City) 인증 제도를 도입하거나 ISMS*P의 점검지표를 보완하고 모든 스마트시티에서 적용토록 해야 한다.
둘째, 스마트도시 인증제도에는 개인정보보호 및 정보보호 지표를 추가하여야 한다.
셋째, 개인정보영향평가에는 스마트시티 전용 개인 정보 처리 점검 항목을 추가하여야 한다. 넷째, 스마트시티 관리주체는 개인정보보호 관리점검 계획을 별도로 수립하여 체계적으로 관리 하여야 한다.
스마트시티 속 빅데이터를 처리함에 있어서 스마트 시티 전용 강화된 개인정보보호 관리체계를 적용함에 따라 시민이 행복한 도시, 시민을 위한 스마트한 도시를 만들어 가는데 도움이 될 것으로 기대한다.
본 연구에서 제안한 스마트시티 속 개인정보보호 관리체계에 대한 실증연구는 향후과제로 진행코자 하며, 본 연구의 결과를 현장에 적용하는 과정에 발견되는 문제는 수시로 적용하여 개선되어야 할 것이다.
References
- Hyunyo Choi, "Regulatory Sandbox for Smart City Living Labs", Master's Thesis, Sungkyunkwan University , April. 2019.
- Act on the Creation of Smart Cities and Industrial Promotion[law 16388, 2019.4.23.], Oct. 2019.
- Sangho Lee and Yountack Lim, "U-city Overseas Expansion Strategy by Comparing U-City and Smart City", National Planning, 49(4): 243-252, 2014.
- Sangho Lee, Yountack Lim and Seyoun Ahn, "Smart City", 711.4 - 17-60, "Seoul:CommunicationBooks", 2017.
- Sungnam Kim, Miwha Lim and Sungkil Kim, "Smart City Policy Trends and Challenges", "City Information", (432): pp. 3-16, March. 2018.
- Hollands, R. G., " Will The Real Smart City Please Stand Up? Intelligent, Progressive, or Entrepreneurial? City, 12(3): 303-320, 2008. https://doi.org/10.1080/13604810802479126
- PyungRyun Yu, "A Study on the Development of Songdo Smart City in Incheon From U-City to Smart City", Ph.D. Thesis, Inha University , Feb. 2019.
- Yongjin Lee, "A Study on the Improvement and supervisory Status for Personal Fiduciary Services in Financial Institutions", Journal of Security Engineering, Vol.11, No.3 , pp.233-250, 2013. https://doi.org/10.14257/jse.2014.06.02
- Taehoon Kang, "A Study on Measures to Strengthen Personal Information Protection Consignee Management System", Journal of the Korea Institute of Information Security and Cryptology, Vol.23, No.4 , pp.781-797, 2013. https://doi.org/10.13089/JKIISC.2013.23.4.781
- Hwansuk Cheong, "A Study on the Management Capabilities Enhancement of Consignor's Personal Information Protection", Journal of Internet Computiong and Services(JICS), 17(4), pp. 95-113, Aug. 2016. https://doi.org/10.7472/jksii.2016.17.4.95
- Personal Information Protection Commission, "A Study on the Personal Information Protection Systemand Regulation Method of Autonomous Vehicles", Des. 2017.
- Korea Smart Home Industry Association, "www.kashi.or.kr"
- Ministry of Land, Infrastructure and Transport, "Smart City Integration Platform Foundation", Nov. 2018.
- Legal Terms, "General Law, Special Law", National Law Center (www.law.go.kr).
- Hwansuk Cheong, "Bigdata and Personal Information Protection in Smart City", Security World, (268), pp.91, May. 2019.
- Personal Information Protection Commission, "Deliberation Agenda Decision", Bill Number 2017-15-124, pp. 626-628, July. 2017.
- Personal Information Protection Commission, "Deliberation Agenda Decision", Bill Number 2016-14-23, pp. 439-441, Sep. 2016.
- Personal Information Protection Commission, "Deliberation Agenda Decision", Bill Number 2018-18-190, pp. 181-185, Oct. 2018.
- Jaeyong Lee, "Smart City centification system and future directions", Smart Space Research Center in Korea Research Institute for Human Settlements, pp. 13, Sep. 2019.
- Hwansuk Cheong, 'Basic Personal Information Protection and Role of CPO', CPO Workshop, Ministry of Interior and Safety, June. 2013.
- Ministry of Interior and Safety, "Measures to ensure the safety of personal information protection", June. 2019.
- Soderstrom, O.k, Paasche, T. and Klauser, F. "Smart cities as corporate storytelling", City, 18(3):307-320, 2014. https://doi.org/10.1080/13604813.2014.906716
- Tranos, E. and Gertner, D. "Smart networked cities?", Innovation-The European Journal of Social Science Research, 25(2):175-190, 2012. https://doi.org/10.1080/13511610.2012.660327
- Galang, A. "Smart Cities and Big Data", Research Presentation on smart cities (sensor technology) and big data, 2013.
- Calzada, I. and Cobo, C. "Unplugging: Deconstructing the Smart City", Journal of Ulban Technology, 22(1):23-43, 2015. https://doi.org/10.1080/10630732.2014.971535