[논문]IoT서비스제공자가 준수해야 할 개인정보보호 프레임워크의 개발 방안

신영진

doi:10.22156/cs4smb.2020.10.07.020

[국내논문] IoT서비스제공자가 준수해야 할 개인정보보호 프레임워크의 개발 방안
Development of Personal Information Protection Framework to be Followed by IoT Service Providers 원문보기

융합정보논문지 = Journal of Convergence for Information Technology, v.10 no.7, 2020년, pp.20 - 32

초록
AI-Helper

본 연구는 IoT서비스제공자가 IoT 제품 및 서비스를 제공하는 전반적인 과정에서, IoT서비스주체의 개인 정보를 안전하고 체계적으로 운영할 수 있는 개인정보보호프레임워크를 개발하여 제공하고자 한다. 이를 위해서 문헌조사를 통해 개인정보프레임워크에 관한 구성요소틀을 도출하였으며, 전문가심층면접조사를 통해 개인정보보호 프레임워크를 IoT서비스제공과정과 IoT개인정보처리과정으로 각 3개 단계 3개 분야 2개 지표로 선정했다. 이렇게 선정한 개인정보보호프레임워크의 구성요소간 중요도를 AHP기법을 이용한 관련분야 전문가들을 대상으로 전자메일조사를 실시했다. 그 결과, IoT서비스제공과정에서는 IoT제품 및 서비스의 설계·개발단계(0.5413)가 가장 중요하며, IoT개인정보처리과정에서는 개인정보의 수집·보유단계(0.5098)에서의 개인정보보호가 가장 중요하다. 따라서, 본 연구를 바탕으로 IoT서비스가 확산되는 가운데, 보안위협 및 개인정보 침해사고를 예방하여 안전한 개인정보보호 프레임워크가 구현되리라 본다.

Abstract ▼ AI-Helper

This study is to develop and provide a personal information protection framework that enables IoT service providers to safely and systematically operate personal information of IoT service subjects in the overall process of providing IoT devices and services. To this end, a framework for personal information framework was derived through literature survey, and FGI with experts, it was divided into three stages, each of three stages: IoT service provision process and IoT personal information processing process. The study conducted an e-mail survey of related experts using AHP techniques to determine the importance of the components of the selected personal information protection framework. As a result, in the IoT service provision process, the IoT product and service design and development stage (0.5413) is the most important, and in the IoT personal information processing process, personal information protection in the collection and retention of personal information (0.5098) is the most important. Therefore, based on this research, as the IoT service is spreading, it is expected that a safe personal information protection framework will be realized by preventing security threats and personal information infringement accidents.

주제어

표/그림 (13)

표 Table 1. Differences between the previous study and this study
그림 Fig. 1. The Flows of the study
표 Table 2. Analysis process using FGI and Delphi
그림 Fig. 2. Framework of the study
표 Table 3. Sample for AHP survey form
표 Table 4. Careers and majors of the experts
표 Table 5. The Composition factors for Personal Information Protection in IoT service provision process
표 Table 6. The Composition factors for Personal Information Protection in IoT Personal Information Processing
그림 Fig. 3. Priority of Personal Information Protection in IoT service provision process
그림 Fig. 4. Personal Information Protection in IoT Personal Information Processing
그림 Fig. 5. Validation through route analysis
표 Table 7. One-sample statistics and one-sample test
표 Table 8. Reliability verification of the survey results

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

특히, IoT서비 스제공과정에서는 기술적 접근에 치중한 보안요소를 반영하였기에, 관리적 접근을 보완할 필요가 있다. 따라서, 본 연구에서는 IoT서비스제공과정에서 IoT 제품 및 서비스의 생애주기와 개인정보의 생애주기를 연계하여, IoT제품 및 서비스 설계단계부터 폐기단계까지 개인정보보호를 위한 준수사항을 비롯하여, IoT 개인정보처리과정에서의 개인정보 수집단계부터 파기 단계까지 필수사항을 선정하여 실천할 수 있도록 개인 정보보호 프레임워크를 제안하고자 한다.
그러나, 너무 큰 맥락에서 접근 하거나, 세부적인 기술점검에 중점을 두고 있어, IoT서비스제공자에게 실질적인 준수사항으로 활용하는데 한계가 있다. 따라서, 본 연구에서는 IoT서비스제공자가 IoT서비 스제공과정 및 IoT개인정보처리과정에서의 보안위협및 개인정보 침해사고를 예방하고 안전한 IoT 제품 및서비스가 유통될 수 있도록 개인정보보호 프레임워크를 개발하여, IoT서비스주체로부터 신뢰받는 IoT환경을 구현해 나가고자 한다. IoT서비스제공자는 IoT제 품제조자, 소셜 플랫폼 서비스제공자, 애플리케이션 개발자, IoT 데이터 플랫폼 제공자, 기타 참여자로서 IoT 제품에서 수집한 개인정보처리자로 유형화된다[2].
본 연구는 IoT서비스제공자가 준수해야 할 개인정보보호 프레임워크를 IoT서비스제공과정 및 IoT개인 정보처리과정에서 핵심요소를 도출하여 제시했다. 이를 위해 본 연구에서는 기존 연구논문, 연구보고서, 정부백 서, 정부발간보고서, 뉴스, 잡지, 인터넷자료 등을 검토 하였으며, 개인정보보호 프레임워크의 구성요소를 도출 하기 위해 소그룹으로 구성된 전문가들을 대상으로 심층면접조사(Focus Group interview: FGI) 및 델파이 조사(Delphi):를 실시하여 IoT서비스제공과정 및 IoT 개인정보처리과정에서의 개인정보보호를 세부 단계, 분야 및 지표로 구성했다.
이처럼 본 연구는 IoT서비스제공자가 IoT 제품 및서비스를 위해 기술적 보호조치에 치중하고 있는 현실 에서, IoT서비스제공과정 및 IoT개인정보처리과정을 연계하여 개인정보보호를 강화할 수 있는 실천기준을 제시했다. 본 연구는 문헌조사, 전문가대상의 FGI 및 Delphi조사를 통해 반드시 준수해야 할 사항을 도출했으며, IoT서비스제공자를 위한 개인정보보호 프레임워 크로 제안했다. 또한, 본 연구에서는 전문가들을 대상으로 AHP기법을 활용한 개인정보보호 프레임워크의 구성요소들에 대해 중요도 및 우선순위를 분석했다.
본 연구에서 IoT서비스제공자가 준수해야 할 개인 정보보호 프레임워크를 선정하여 전문가 대상으로 중요도에 관한 조사를 했다. 비록 AHP기법을 이용한 응답결과를 활용하였으나, 응답율에 따른 타당성을 검증 하기 위해 SPSS프로그램, SmartPLS 등의 통계프로그 램을 활용했다.
본 연구에서는 IoT서비스제공자가 준수해야 할 개인정보보호 프레임워크를 IoT서비스제공과정 및 IoT 개인처리과정으로 구분하여 각 단계별로 준수해야 할사항을 제안했다. 이를 위해서 기존 연구를 비롯한 문 헌자료를 검토하여 1차 기준요소들을 도출하였고, 전문 가대상의 FGI 및 Delphi를 통한 세부적인 단계, 분야, 지표들을 범주화했다.
본 연구의 목적인 IoT서비스제공자가 준수해야 할개인정보보호 프레임워크를 개발하기 위해 기존 연구 들을 살펴보았다. 이야리 외(2014)는 IoT환경에서 정보주체의 민감한 개인정보를 보호하기 위한 보호정책의 적용과 효율적 정보기술 활용 및 제공 가능한 개인 정보보호프레임워크를 제안했다[6].
IoT서비스제공자는 IoT제 품제조자, 소셜 플랫폼 서비스제공자, 애플리케이션 개발자, IoT 데이터 플랫폼 제공자, 기타 참여자로서 IoT 제품에서 수집한 개인정보처리자로 유형화된다[2]. 이에 대해 본 연구에서는 IoT제품 및 서비스를 설계부터 폐기까지 참여한 개인정보처리자, IoT서비스의 운영중 개인정보가 수집 및 파기되는 과정에 참여하는 개인 정보처리자를 IoT서비스제공자로 정의하고자 한다. 이에 따라 IoT서비스제공자가 IoT제품 및 서비스의 제공 과정과 IoT서비스운영상 개인정보처리과정에서 개인 정보보호를 강화하는 체계적인 프레임워크를 제안하고자 한다.
이에 대해 본 연구에서는 IoT제품 및 서비스를 설계부터 폐기까지 참여한 개인정보처리자, IoT서비스의 운영중 개인정보가 수집 및 파기되는 과정에 참여하는 개인 정보처리자를 IoT서비스제공자로 정의하고자 한다. 이에 따라 IoT서비스제공자가 IoT제품 및 서비스의 제공 과정과 IoT서비스운영상 개인정보처리과정에서 개인 정보보호를 강화하는 체계적인 프레임워크를 제안하고자 한다.
끝으로, 응답결과의 타당성 및 신뢰성 검토를 위해 SPSS프로그램을 통한 통계결과로 검증했고, 응답결과의 신뢰성은 AHP분석기법의 일관성지수(Consistency Index: 이하 CI) 및 일관성 정도(Consistency Ratio: 이하 CR)를 산정하여 검증했다. 이처럼 본 연구는 IoT 서비스제공자가 IoT서비스제공과정과 IoT서비스의 개인정보처리과정으로 구분하여 세부 단계별 준수해야할 개인정보보호 프레임워크를 Fig. 2와 같이 개발하고자 한다.
이처럼 본 연구는 IoT서비스제공자가 IoT 제품 및서비스를 위해 기술적 보호조치에 치중하고 있는 현실 에서, IoT서비스제공과정 및 IoT개인정보처리과정을 연계하여 개인정보보호를 강화할 수 있는 실천기준을 제시했다. 본 연구는 문헌조사, 전문가대상의 FGI 및 Delphi조사를 통해 반드시 준수해야 할 사항을 도출했으며, IoT서비스제공자를 위한 개인정보보호 프레임워 크로 제안했다.
이에 따라 Table 1과 같이 기존 연구와 본 연구의 차이를 비교하여, 본 연구가 IoT서비스제공과정 및 IoT개 인정보처리과정에서 IoT서비스제공자가 서비스설계부터 페기까지 운영과정과 개인정보의 수집부터 파기까지 상호 연계한 안전한 개인정보보호 프레임워크를 제언하고자 한다. 특히, IoT서비스제공과정 및 IoT개인정보처 리과정에서의 보안위협 및 취약성으로부터 개인정보를 보호할 수 있는 기준을 마련하고자 한다.

제안 방법

IoT 제품 및 서비스의 프로그램 보안 운영분야는 안전한 코딩규칙에 따라 적용 점검과 안전한 보안기술 적용 점검으로 지표를 구성 했다. IoT 제품 및 서비스의 보안대책 수립 및 운영분 야는 보안기능 검토에 따른 보안대책 구현과 모의해킹을 통한 안전성 검증으로 구성했다.
다음으로, IoT개인정보처리과정에서 개인정보보호 프레임워크를 구성하는 요소들을 단계, 분야, 지표별로 쌍대비교했는데, 1을 기준으로 하위 구성요소별 상대적 가중치를 세분화했다. 단계 중에서는 IoT서비스의 개인정보 수집 및 보유단계(0.
둘째, IoT서비스의 개인정보 이용 및 제공단계는 IoT서비스의 목적 외 이용 및 제공시 보호조치, IoT서 비스의 제3자 제공 및 업무위탁시 보호조치, IoT서비스의 개인정보 이전시 보호조치로 구분하여 각 분야별 2 개 지표로 구성했다. IoT서비스의 목적 외 이용 및 제공시 보호조치분야는 정보주체에게 고지·동의 등 별도 절차 수립 및 이행과 개인정보 이용 제한 및 이용시 보호 조치로 지표를 구성했다.
본 연구는 문헌조사, 전문가대상의 FGI 및 Delphi조사를 통해 반드시 준수해야 할 사항을 도출했으며, IoT서비스제공자를 위한 개인정보보호 프레임워 크로 제안했다. 또한, 본 연구에서는 전문가들을 대상으로 AHP기법을 활용한 개인정보보호 프레임워크의 구성요소들에 대해 중요도 및 우선순위를 분석했다. 이처럼 전문가입장에서 안전한 IoT환경을 구현하기 위해 개인정보보호의 필요성을 강조했으며, AHP기법을 통해 전문가 검증을 거친 개인정보보호 프레임워크이므 로, IoT서비스제공자가 준수해야 할 기준으로 활용성을 높일 수 있다.
본 연구는 IoT서비스제공자가 준수해야할 개인정보 보호 프레임워크를 구성하여, 중요도 및 우선순위를 분석했다. 본 연구에서 전문가대상으로 AHP기법을 적용한 설문결과의 신뢰성은 일관성 지수(Consistency Index: CI) 및 일관성 정도(Consistency Ratio: CR) 로 검증했다.
본 연구는 기존 연구(학회보, 학술대회발표논문 등), 정부 및 공공기관 발간보고서 등에서 1차 자료를 수집 하여, 전문가 인터뷰 및 심층면접 등 FGI는 2019년 8 월 1일부터 2020년 4월 27일까지 5회 진행했으며, 전문가 자문회의를 통한 Delphi는 2020년 2월 10일과 2020년 4월 9일 개최하여 지표의 선정 및 타당성을 검증했다. 이렇게 선정된 지표들은 개인정보보호 프레임 워크를 IoT서비스제공과정과 IoT개인정보처리과정에 서의 단계별 분야 및 지표로 구성했다.
본 연구에서 IoT서비스제공과정에서의 개인정보보호 준수사항을 단계, 분야, 지표로 구성하여 전문가대상으로 AHP기법을 적용한 쌍대비교방식의 설문조사를 했다. 이렇게 조사한 결과는 1을 기준으로 하위 구성요 소별 상대적 가중치를 세분화했다.
본 연구에서는 IoT서비스제공자가 준수해야 할 개인정보보호 프레임워크를 IoT서비스제공과정 및 IoT 개인처리과정으로 구분하여 각 단계별 준수해야 할 사항을 3개 분야 및 각 분야별 2개 지표로 구성했다. 이에 대해 개인정보보호 프레임워크 구성요소의 적합성을 확보하기 위해 전문가대상의 AHP기법을 활용한 설문조사를 했고, 각 구성요소의 중요도 및 우선순위를 분석했다.
셋째, 파기단계는 IoT서비스의 개인정보 파기시 보호조치, IoT서비스의 미사용 개인정보의 계정관리 및파기, IoT서비스의 처리목적 달성 후 분리보관으로 3 개 분야를 선정하고 하위 2개 지표를 구성했다. 구체적으로, IoT서비스의 개인정보 파기시 보호조치분야는 개인정보 파기 시 보호조치와 제3자 제공된 개인정보 파기관리제도 강화로 지표를 구성했다.
이렇게 선정한 구성요소들의 중요도 및 우선순위를 분석하기 위해 계층화의사결정방법(Analytic Hierarchy Process: AHP)을 적용한 설문조사를 실시했다. 이러한 설문내용을 바탕으로 전문가들의 의견을 반영한 중요도및 우선순위를 분석하였으며, 분석결과에 대한 SPSS를 이용한 타당성 및 CI/CR값을 활용한 신뢰성을 검증했다. 이처럼 본 연구의 흐름은 Fig.
본 연구는 IoT서비스제공자가 준수해야 할 개인정보보호 프레임워크를 IoT서비스제공과정 및 IoT개인 정보처리과정에서 핵심요소를 도출하여 제시했다. 이를 위해 본 연구에서는 기존 연구논문, 연구보고서, 정부백 서, 정부발간보고서, 뉴스, 잡지, 인터넷자료 등을 검토 하였으며, 개인정보보호 프레임워크의 구성요소를 도출 하기 위해 소그룹으로 구성된 전문가들을 대상으로 심층면접조사(Focus Group interview: FGI) 및 델파이 조사(Delphi):를 실시하여 IoT서비스제공과정 및 IoT 개인정보처리과정에서의 개인정보보호를 세부 단계, 분야 및 지표로 구성했다. 이렇게 선정한 구성요소들의 중요도 및 우선순위를 분석하기 위해 계층화의사결정방법(Analytic Hierarchy Process: AHP)을 적용한 설문조사를 실시했다.
본 연구에서는 IoT서비스제공자가 준수해야 할 개인정보보호 프레임워크를 IoT서비스제공과정 및 IoT 개인처리과정으로 구분하여 각 단계별로 준수해야 할사항을 제안했다. 이를 위해서 기존 연구를 비롯한 문 헌자료를 검토하여 1차 기준요소들을 도출하였고, 전문 가대상의 FGI 및 Delphi를 통한 세부적인 단계, 분야, 지표들을 범주화했다. 이에 따라 2개 과정별 3개 단계, 9개 분야, 18개 지표에 대한 중요도를 조사하였는데, 2020년 2월 14일부터 28일동안 전자설문조사를 하였고, 이를 활용하여 개인정보보호 프레임워크의 중요도및 우선순위를 분석하였으며, 그 결과의 타당성 및 신뢰성을 검증했다.
본 연구에서는 IoT서비스제공자가 준수해야 할 개인정보보호 프레임워크를 IoT서비스제공과정 및 IoT 개인처리과정으로 구분하여 각 단계별 준수해야 할 사항을 3개 분야 및 각 분야별 2개 지표로 구성했다. 이에 대해 개인정보보호 프레임워크 구성요소의 적합성을 확보하기 위해 전문가대상의 AHP기법을 활용한 설문조사를 했고, 각 구성요소의 중요도 및 우선순위를 분석했다.
이를 위해서 기존 연구를 비롯한 문 헌자료를 검토하여 1차 기준요소들을 도출하였고, 전문 가대상의 FGI 및 Delphi를 통한 세부적인 단계, 분야, 지표들을 범주화했다. 이에 따라 2개 과정별 3개 단계, 9개 분야, 18개 지표에 대한 중요도를 조사하였는데, 2020년 2월 14일부터 28일동안 전자설문조사를 하였고, 이를 활용하여 개인정보보호 프레임워크의 중요도및 우선순위를 분석하였으며, 그 결과의 타당성 및 신뢰성을 검증했다.
이러한 가중치의 신뢰도는 이해관계자의 논리적 일관성정도(Consistency Ratio: CR)를 통해 검토할수 있다. 이에 따라 본 연구는 전문가 대상의 AHP분석을 위해 2020년 2월 14일부터 2월 28일까지 이메일을 이용하여 설문조사를 했다. 본 설문조사는 각 지표의 상대적 가중치를 계산하기 위한 9점 척도의 2개 요소를 비교하는 쌍대비교방식을 적용했다.
먼저, IoT서비스제공과정에서의 개인정보보호를 살펴보면, 3개 단계 9개 분야 18개 지표로 구성했다. 첫째, IoT 제품 및 서비스의 설계 및 개발단계는 IoT 제품 및 서비스의 개발환경 보안 설계, IoT 제품 및 서비 스의 데이터 보안 설계, IoT 제품 및 서비스의 기기 및시스템 보안 설계로 3개 분야를 구성했다. 각 분야별 구성하고 있는 지표를 살펴보면, IoT 제품 및 서비스의 개발환경 보안 설계분야는 목표 시스템보안설계과 인터페이스 보안 설계로 지표를 구성했다.

데이터처리

끝으로, 응답결과의 타당성 및 신뢰성 검토를 위해 SPSS프로그램을 통한 통계결과로 검증했고, 응답결과의 신뢰성은 AHP분석기법의 일관성지수(Consistency Index: 이하 CI) 및 일관성 정도(Consistency Ratio: 이하 CR)를 산정하여 검증했다. 이처럼 본 연구는 IoT 서비스제공자가 IoT서비스제공과정과 IoT서비스의 개인정보처리과정으로 구분하여 세부 단계별 준수해야할 개인정보보호 프레임워크를 Fig.
본 연구는 IoT서비스제공자가 준수해야할 개인정보 보호 프레임워크를 구성하여, 중요도 및 우선순위를 분석했다. 본 연구에서 전문가대상으로 AHP기법을 적용한 설문결과의 신뢰성은 일관성 지수(Consistency Index: CI) 및 일관성 정도(Consistency Ratio: CR) 로 검증했다. CI의 산정공식은 CI=(λ-N)/(N-1)이며, CR=CI/RI이며,¹⁾ CI<0.
본 연구에서 IoT서비스제공자가 준수해야 할 개인 정보보호 프레임워크를 선정하여 전문가 대상으로 중요도에 관한 조사를 했다. 비록 AHP기법을 이용한 응답결과를 활용하였으나, 응답율에 따른 타당성을 검증 하기 위해 SPSS프로그램, SmartPLS 등의 통계프로그 램을 활용했다. Table 7은 SPSS를 이용한 일표본 통계량 및 일표본 검정(검정값=0.
이렇게 IoT서비스제공자가 준수해야할 개인정보보 호프레임워크에 대한 응답결과는 t검정(p<0.01)을 통해 유의미함을 검증하였고, 상호 지표간의 R Square 및 수정결정계수에서 높은 결과를 통해 타당성을 검증할 수 있었다.
1)으로 신뢰성을 확보할 수 있다. 이를 구성하는 분야의 각 하위지표 간의 신뢰성은 CI=0.0, CRI=0.0으로 검증했다. 이처럼 각 과정별 3개 단계와 9개 분야의 CI/CR값을 통한 신뢰성 검증결과는 Table 8과 같다.

이론/모형

이에 따라 본 연구는 전문가 대상의 AHP분석을 위해 2020년 2월 14일부터 2월 28일까지 이메일을 이용하여 설문조사를 했다. 본 설문조사는 각 지표의 상대적 가중치를 계산하기 위한 9점 척도의 2개 요소를 비교하는 쌍대비교방식을 적용했다.
이를 위해 본 연구에서는 기존 연구논문, 연구보고서, 정부백 서, 정부발간보고서, 뉴스, 잡지, 인터넷자료 등을 검토 하였으며, 개인정보보호 프레임워크의 구성요소를 도출 하기 위해 소그룹으로 구성된 전문가들을 대상으로 심층면접조사(Focus Group interview: FGI) 및 델파이 조사(Delphi):를 실시하여 IoT서비스제공과정 및 IoT 개인정보처리과정에서의 개인정보보호를 세부 단계, 분야 및 지표로 구성했다. 이렇게 선정한 구성요소들의 중요도 및 우선순위를 분석하기 위해 계층화의사결정방법(Analytic Hierarchy Process: AHP)을 적용한 설문조사를 실시했다. 이러한 설문내용을 바탕으로 전문가들의 의견을 반영한 중요도및 우선순위를 분석하였으며, 분석결과에 대한 SPSS를 이용한 타당성 및 CI/CR값을 활용한 신뢰성을 검증했다.

성능/효과

구체적으로 살펴보면, 첫째, IoT서비스의 개인정보 수집 및 보유단계를 구성하는 분야를 비교했는데, IoT 서비스의 개인정보 수집 동의(0.2477), IoT서비스의 개인정보 수집 제한(0.1628), IoT서비스의 개인정보의 수집대응(0.0994) 순으로 중요했다. 둘째, IoT서비스의 개인정보 이용 및 제공단계는 IoT서비스의 목적 외 이용 및 제공시 보호조치(0.
1)로 신뢰할 수 있었다. 그 외 지표 간의 쌍대비교는 2개 요소 간의 비교이므로, 모두 CI=0.0, CRI=0.0으로 완전히 신뢰할 수 있었다.
다음으로, IoT개인정보처리과정에서의 개인정보보호는 IoT서비스의 개인정보 수집 및 보유단계, IoT서비스의 개인 정보 이용 및 제공단계, IoT서비스의 개인정보 파기단계에 대한 중요도를 쌍대비교하였는데, CI=0.0573(CI<0.1), CR=0.0988(CR<0.1)로 신뢰성이 높았다.
다음으로, IoT개인정보처리과정에서의 개인정보보호를 구성하는 요소를 살펴보면, 첫째, IoT서비스의 개인정보 수집 및 보유단계는 IoT서비스의 개인정보 수집 동의, IoT서비스의 개인정보 수집 제한, IoT서비스의 개인정보의 수집대응으로 3개 분야를 구성했다. 이 에 대해 IoT서비스의 개인정보 수집 동의분야는 서비스별 이해하기 쉬운 일괄된 동의 기준 마련과 개인정보의 포괄적 사전 동의 및 사후 통제로 지표화했다.
1090) 순으로 응답했다. 둘째, IoT 제품 및 서비스의 구축 및 운영단계는 IoT 제품 및 서비스의 네트 워크 보안 운영(0.1841), IoT 제품 및 서비스의 프로그램 보안 운영(0.1138), IoT 제품 및 서비스의 보안대책 수립 및 운영(0.0493) 순으로 중요한 분야로 보았다. 셋째, IoT 제품 및 서비스의 폐기단계는 IoT 제품 및서비스의 폐기절차 및 계획 수립(0.
둘째, IoT 제품 및 서비스의 구축 및 운영단계를 구성하는 분야는 IoT 제품 및 서비스의 네트워크 보안 운영, IoT 제품 및 서비스의 프로그램 보안 운영, IoT 제품 및 서비스의 보안대책 수립 및 운영이다. 각 분야별 지표를 살펴보면, IoT 제품 및 서비스의 네트워크 보안 운영분야는 네트워크환경의 안전성 확보와 네트워크환 경의 안전성 확보로 구성했다.
0994) 순으로 중요했다. 둘째, IoT서비스의 개인정보 이용 및 제공단계는 IoT서비스의 목적 외 이용 및 제공시 보호조치(0.1879), IoT서비스의 제3자 제공 및 업무위탁시 보호조치(0.1047), IoT서비스의 개인정보 이전시 보호조치(0.0478) 순으로 중요하다고 보았다. 셋째, IoT서비스의 개인정보 파기단계는 IoT 서비스의 개인정보 파기시 보호조치(0.
첫째, 개인정보보호 프레임워크의 구성요소 들은 기존 문헌자료를 바탕으로 도출하였기 때문에, 신기술인 IoT를 도입하여 발생할 수 있는 모든 요인을 차단하는데 한계가 있었다. 둘째, IoT서비스제공자가 개인정보보호를 위해 반드시 준수해야 할 사항을 전문가 의견을 반영하였기에 일반적인 준수사항을 포괄하지 못했다. 그럼에도 불구하고, IoT서비스제공자가 개인정 보보호를 위해 준수해야 할 사항을 기술적 측면뿐만 아니라, 종합적인 관점에서 접근하고 운영상의 안정성을 높일 수 있는 기준으로 활용할 수 있으리라 본다.
먼저, IoT서비스제공과정에서의 개인정보보호를 살펴보 면, IoT 제품 및 서비스의 설계‧개발, IoT 제품 및 서비스의 구축‧운영, IoT 제품 및 서비스의 폐기에 관한 중요도에 대한 응답결과는 CI=0.0413(CI<0.1), CR=0.0794(CR<0.1) 로 신뢰할 수 있었다.
Table 3은 IoT개인정보처리과정 중 개인정보 수집 단계와 이용·제공단계를 비교한 예이며, 더 중요하다고 생각하는 지표 쪽에 ‘○’을 표기하거나 동일하게 중요 하다고 생각하는 경우 예와 같이 ‘같음’에 ‘○’을 표기하면 된다. 본 설문은 관련 분야의 전문가들을 대상으로 표본조사를 하였으며, Table 4와 같이 응답한 82명(학자, 실무자, 공무원 등)의 경력과 전공을 정리하였는데, 10년단위로 구분할 때 11년부터 20년 경력자가 34명으로 가장 많았고, 전공에 대한 응답결과를 4개 분야로 정리한 결과, 개인정보보호 및 정보보호 전공자가 36명으로 많았다. 이처럼 본 연구는 전문가대상의 각 지표별 중요도 및 우선순위에 관한 의견을 수렴하기에, 정규분포를 고려할 때 표본수로 충분했다.
1118) 순으로 중요하다고 보았다. 분야별로 보면, 첫째, IoT 제품 및 서비스의 설계 및 개발단계의 준수사항에 대한 분야별 중요도는 IoT 제품 및 서비스의 데이터 보안 설계(0.2163), IoT 제품 및 서비스의 개발환경 보안 설계 (0.2159), IoT 제품 및 서비스의 기기 및 시스템 보안 설계(0.1090) 순으로 응답했다. 둘째, IoT 제품 및 서비스의 구축 및 운영단계는 IoT 제품 및 서비스의 네트 워크 보안 운영(0.
0493) 순으로 중요한 분야로 보았다. 셋째, IoT 제품 및 서비스의 폐기단계는 IoT 제품 및서비스의 폐기절차 및 계획 수립(0.0473), IoT 제품 및서비스의 불필요한 자료 보유 방지(0.0340), IoT 제품및 서비스의 안전한 폐기 관리(0.0204) 순으로 중요하다. 그 외에 세부지표별로 쌍대비교한 결과에 대해 전체 순위를 비교한 결과, IoT서비스 제품 및 서비스 설계·개발단계에서 IoT 제품 및 서비스의 개발환경 보안 설계 분야 중 목표시스템의 보안 설계가 가장 중요하다고 보았다.
셋째, IoT 제품 및 서비스의 폐기단계는 IoT 제품 및서비스의 폐기절차 및 계획 수립, IoT 제품 및 서비스의 불필요한 자료 보유 방지, IoT 제품 및 서비스의 안전한 폐기 관리로 분야를 구성했다. 각 분야별 구성된 지표를 살펴볼 수 있는데, IoT 제품 및 서비스의 폐기절차 및계획 수립분야는 폐기시 처리절차 마련과 폐기대상분류 및 폐기계획 수립으로 구성했다.
0478) 순으로 중요하다고 보았다. 셋째, IoT서비스의 개인정보 파기단계는 IoT 서비스의 개인정보 파기시 보호조치(0.0768), IoT서비 스의 미사용 개인정보의 계정관리 및 파기(0.0515), IoT서비스의 처리목적 달성 후 분리보관(0.0218) 순으로 중요하다고 보았다. 이에 대해서 각 단계의 분야별 지표에 대해서도 중요도를 분석하였는데, 개인정보 수집 및 보유단계 중 IoT서비스의 개인정보 수집동의 분야 중에서 서비스별 이해하기 쉬운 일괄된 동의기준 마련이 가장 중요하다고 보았다.
이에 대해 IoT 제품 및 서비스의 설계 및 개발단계의 각 분야에 대한 중요도에 관해서는 CI=0.0088(CI<0.1), CR=0.0.169(CI<0.1)이었으며, IoT 제품 및 서비스의 구축‧운영단계의 각 분야에 대한 중요도에 대해서는 CI=0.0442(CI<0.1), CR=0.762(CI<0.1)이고, IoT 제품 및 서비스의 폐기단계의 각 분야에 대한 중요도에 대해서는 CI=0.0285(CI<0.1), CR=0.0548(CI<0.1)로 신뢰할 수 있었다.

후속연구

둘째, IoT서비스제공자가 개인정보보호를 위해 반드시 준수해야 할 사항을 전문가 의견을 반영하였기에 일반적인 준수사항을 포괄하지 못했다. 그럼에도 불구하고, IoT서비스제공자가 개인정 보보호를 위해 준수해야 할 사항을 기술적 측면뿐만 아니라, 종합적인 관점에서 접근하고 운영상의 안정성을 높일 수 있는 기준으로 활용할 수 있으리라 본다.
또한, 본 연구의 성과는 IoT서비스가 확대됨에 따라 IoT서비 스주체를 위한 적극적인 보호대책을 마련하도록, IoT 서비스제공자의 개인정보보호를 위한 투자와 노력을 이끄는 기준이 될 것이다. 더욱이, 본 연구의 성과를 바탕으로, 향후 수요자인 이용자가 요구하는 개인정보보 호관리체계 및 대책을 마련하는 후속 연구가 진행된다 면, IoT 및 개인정보보호 분야를 이해관계자별로 차별 화된 대책을 수집하는 연구성과로 활용되리라 본다.
이처럼 본 연구는 IoT서비스제공자가 신기술을 도입하면서 발생할 수 있는 침해요인을 차단 하여 IoT서비스주체를 보호대책을 마련해 나갈 수 있는 개인정보보호 프레임워크로 활용하리라 본다. 또한, 본 연구의 성과는 IoT서비스가 확대됨에 따라 IoT서비 스주체를 위한 적극적인 보호대책을 마련하도록, IoT 서비스제공자의 개인정보보호를 위한 투자와 노력을 이끄는 기준이 될 것이다. 더욱이, 본 연구의 성과를 바탕으로, 향후 수요자인 이용자가 요구하는 개인정보보 호관리체계 및 대책을 마련하는 후속 연구가 진행된다 면, IoT 및 개인정보보호 분야를 이해관계자별로 차별 화된 대책을 수집하는 연구성과로 활용되리라 본다.
이에 따라 Table 1과 같이 기존 연구와 본 연구의 차이를 비교하여, 본 연구가 IoT서비스제공과정 및 IoT개 인정보처리과정에서 IoT서비스제공자가 서비스설계부터 페기까지 운영과정과 개인정보의 수집부터 파기까지 상호 연계한 안전한 개인정보보호 프레임워크를 제언하고자 한다. 특히, IoT서비스제공과정 및 IoT개인정보처 리과정에서의 보안위협 및 취약성으로부터 개인정보를 보호할 수 있는 기준을 마련하고자 한다.
이처럼 전문가입장에서 안전한 IoT환경을 구현하기 위해 개인정보보호의 필요성을 강조했으며, AHP기법을 통해 전문가 검증을 거친 개인정보보호 프레임워크이므 로, IoT서비스제공자가 준수해야 할 기준으로 활용성을 높일 수 있다. 이처럼 본 연구는 IoT서비스제공자가 신기술을 도입하면서 발생할 수 있는 침해요인을 차단 하여 IoT서비스주체를 보호대책을 마련해 나갈 수 있는 개인정보보호 프레임워크로 활용하리라 본다. 또한, 본 연구의 성과는 IoT서비스가 확대됨에 따라 IoT서비 스주체를 위한 적극적인 보호대책을 마련하도록, IoT 서비스제공자의 개인정보보호를 위한 투자와 노력을 이끄는 기준이 될 것이다.
그러나, 본 연구를 수행하는데, 몇 가지 연구의 한계가 있었다. 첫째, 개인정보보호 프레임워크의 구성요소 들은 기존 문헌자료를 바탕으로 도출하였기 때문에, 신기술인 IoT를 도입하여 발생할 수 있는 모든 요인을 차단하는데 한계가 있었다. 둘째, IoT서비스제공자가 개인정보보호를 위해 반드시 준수해야 할 사항을 전문가 의견을 반영하였기에 일반적인 준수사항을 포괄하지 못했다.

질의응답

핵심어	질문	논문에서 추출한 답변
	델파이조사 (Delphi)는 무엇인가?	먼저, IoT서비스제공자가 준수해야 할 사항을 도출하기 위해 사용한 심층면접조사(Focus Group Interview: 이하 FGI)는 소수관계자와의 집중화된 대화를 통한 면접 방법으로 전문가집단토의로 진행하며, 델파이조사 (Delphi)는 2∼3회 전문가들의 의견을 듣고 피드백하여 예측하는 조사방법이다[011]. 본 연구에서는 개인정보보호 프레임워크 요소를 도출하기 위해 5차례 FGI와 2차례 Delphi를 적용한 분석과정은 Table 2와 같다.
	IoT서비스의 안전성을 확보하는 방안 중 관리적 접근을 보완하기 위해 제시된 내용은?	특히, IoT서비 스제공과정에서는 기술적 접근에 치중한 보안요소를 반영하였기에, 관리적 접근을 보완할 필요가 있다. 따라서, 본 연구에서는 IoT서비스제공과정에서 IoT 제품 및 서비스의 생애주기와 개인정보의 생애주기를 연계하여, IoT제품 및 서비스 설계단계부터 폐기단계까지 개인정보보호를 위한 준수사항을 비롯하여, IoT 개인정보처리과정에서의 개인정보 수집단계부터 파기 단계까지 필수사항을 선정하여 실천할 수 있도록 개인 정보보호 프레임워크를 제안하고자 한다.
	IoT개인정보처리과정에서 가장 중요한 것은 무엇인가?	그 결과, IoT서비스제공과정에서는 IoT제품 및 서비스의 설계·개발단계(0.5413)가 가장 중요하며, IoT개인정보처리과정에서는 개인정보의 수집·보유단계(0.5098)에서의 개인정보보호가 가장 중요하다. 따라서, 본 연구를 바탕으로 IoT서비스가 확산되는 가운데, 보안위협 및 개인정보 침해사고를 예방하여 안전한 개인정보보호 프레임워크가 구현되리라 본다.

참고문헌 (26)

McKinsey. (2015). THE INTERNET OF THINGS: MAPPING THE VALUE BEYOND THE HYPE. www.mckinsey.com/mgi
A. R. Lee. S. M. Son, H. J. Kim & B. S. Kim. (2016. 8). Improving Personal Data Protection in IoT Environments. Journal of the Korea Institute of Information Security & Cryptology, 26(4), 995-1012. DOI : 10.13089/JKIISC.2016.26.4.995

원문보기 상세보기
Y. J. Shin. (2018). A Study on Developing Policy Indicators of Personal Information Protection for Expanding Secure Internet of Things Service. Informatization Policy, 25(3), 29-51. DOI : 10.22693/NIAIP.2018.25.3.029
D. J. Choi. (2019. 9. 18). Net generation IoTsecurity in 5G era. Weekly Technology Trend Institute of Information & Communications Technology Planning & Evaluation.
Y. R. Lee & J. S. Kim. (2014). "Persona information protection framework in IoT environment." 2014 SpringSpring Conference Proceeding, The Korea Contents Association 277-278.9
Y. R. Lee, S. M. Kang, S. K. Seo & H. S. Lim. (2016). A study on information security framework according to the introduction of defense IoT. Defense technology, 448, 98-107.
S. H. Park & J. G. Park (2014. 10). A7ctivation plan with analysis on technology and market of IoT, 2014 Fall academic conference, Korea Technology Innovation Society, 85-91.
S. P. Hong, H. M. Jang, K. J. Kim, H. R. Kim & S. M. Park. (2015). Research on personal information protection issues and policy suggestions in IoT environment. KISA.
N. J. Park et al. (2016). A Research on IoT production security certification and security maintenance promotion. KISA.
J. S. Lee. (2009). Public Administration Dictionary. DYM Book.
T. L. Saaty. (1980). The analytic hierarchy process: planning, priorisetting, resource allocation. New York. McGraw-Hill International Book Company.
N. H. Kang. (2015). IoT convergence service security requirements. The Journal of The Korean Institute of Communication Sciences, 32(12), 45-50.
Korea Internet & Security Agency. (2019). Internet of Things (IoT) Security Test and Certification Standards Commentary.. KISA.
Ministry of Science and ICT & Korea Internet & Security Agency. (2018). Information protection pre-inspection guide. Ministry of Science and ICT & KISA.
IoT security alliance. (2016). IoT Common Security Guidelines. IoT security alliance.
Korea Internet & Security Agency. (2007). RFID Personal Information Protection Guidelines. Korea Internet & Security Agency.
H. K. Kong, H. K. Gu, H. W. Cho & J. S. Kang. (2015). Research on based security certification of IoT device. KISA.
S. Li & L. Da Xu. (2017). Securing the internet of things. Acorn publishing Co.
Finance Security Institute. (2016. 12. 12). IoT security threats and accidents. IoT Common Security Guide.
Y. S. Jeong. (2017). Data Storage and Security Model for Mobile Healthcare Service based on IoT. Journal of Digital Convergence, 15(3), 187-193. DOI : 10.14400/JDC2017.15.3.187

원문보기 상세보기
Ministry of Science and Technology Information and Communication, Ministry of Public Administration and Security.Korea, Korea Communications Commission, & Korea Internet & Security Agency. (2019). Information protection and personal information protection management system certification system guide.
Ministry of Public Administration and Security & Korea Internet & Security Agency. (2017). Personal information protection level diagnosis manual. MOPAS & KISA.
ISO. (2013). ISO/IEC 27001:2013(en): Information technology - Security techniques - Information security management systems - Requirements. https://www.iso.org/obp/ui/#iso:std:iso-iec:27001:ed-2:v1:en
Ministry of Public Administration and Security & Korea Internet & Security Agency. (2018). Personal Information Impact Assessment Guide..MOPAS & KISA.
Ministry of Public Administration and Security & Korea Internet & Security Agency. (2019). 2019 Personal information protection level diagnosis manual. in public agencies..MOPAS & KISA.
S. H. Choi. DRESS is a software for AHP. http://blog.daum.net/_blog/BlogTypeView.do?blogid0FE2P&articleno11045124&_bloghome_menurecenttext

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증