세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
프라이버시 이슈에 대비하는 IP 카메라 기술 추세
  |  입력 : 2018-02-03 10:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
네트워크 카메라 시스템의 향후 과제와 대책

[보안뉴스= 하세가와 구미·나카다 료타로·세토 요이치] CCTV 시스템은 네트워크에 접속되고 4K가 도입되는 등 나날이 진화하고 있다. 촬영 데이터는 얼굴인식이나 빅데이터 분석 등에 이용되고, 설치 목적도 방범뿐만 아니라 마케팅 등 새로운 영역으로 확대되고 있다1) 2).

이에 따라 일본은 2015년에 개인정보보호법을 개정하고 개인정보의 취급을 명확히 하기로 했다. 디지털화한 얼굴 데이터는 개인정보보호법으로 보호해야 할 ‘개인식별부호’라고 정의했다. 또, 개인정보에 상당하는 개인 데이터는 ‘민감 개인정보’로 정의돼 그 수집과 활용에 관해 규제를 명확히 했다.

[이미지=dreamstime]


개인을 특정할 수 없는 ‘익명 가공 정보’도 정의돼 제3자 제공이 가능하도록 했다3). 그동안 방범 카메라는 주민의 합의가 이루어진 곳에 설치됐으며 피촬영자의 프라이버시 보호를 위해 녹화된 이미지는 필요에 따라 시청하는 운용 방식이 채용됐다. 촬영 영상의 제3자 제공은 조례 등으로 엄격하게 금지돼 있었다4).

하지만 법 개정으로 상황이 달라지고 있다. 그러나 현재 일본 자치단체에 의한 방범 카메라 설치에 관한 조례와 가이드라인에는 몇 가지 문제가 남아 있다. ①개정 개인정보보호법에 준거하고 있지 않는 것과 ②보급된 카메라 시스템의 상황을 바탕으로 한 리스크 대책이 반영되어 있지 않은 것 등이다.

이 때문에 법률이 개정됐어도 데이터의 이용과 활용이 망설여지고 있다3) 4). 여기에서는 IP 카메라 시스템의 프라이버시 및 보안에 대한 과제와 대책에 대해 소개하고자 한다.

네트워크형 카메라를 둘러싼 상황
네트워크형 카메라 시스템의 운용 사례로는 3개 사례를 꼽을 수 있는데 다음과 같다.

자치단체의 새 방재 카메라
일본 도시마구에서는 종전 재해 발생 시의 상황 파악을 구 직원에 의한 현지 확인 등 인적 대응에 의지하고 있어 정보 수집에 시간이 걸렸다. 2011년에 발생한 동일본 대지진 때는 구의 예상을 넘은 귀택 난민자가 역 주변에 집중돼 신속한 대응을 할 수 없었다.

그래서 유사시에 신속히 피난 유도를 실시할 수 있도록 종합 방재 시스템을 도입했다. <그림1>과 같은 종합 방재 시스템에는 사람들이 모이는 것을 군중으로 파악하는 분석 기술인 군중행동 분석 기술이 도입됐다. 군중행동 분석에는 AI(인공지능) 화상인식을 이용한다5).


서점의 절도 방지 방범 카메라
절도하는 사람은 상습자가 많고, 동일 점포에서 반복 범행을 하는 경우도 많다. 따라서 절도는 점포 경영상 무시할 수 없는 손해 요소다. 도난을 억제하기 위해서는 절도 현행범 검지와 재범 방지가 중요하다. 이에 따라 준쿠도 서점은 2014년 6월 절도 상습자에 대응하기 위해 얼굴인식 시스템을 도입했다.

이 시스템은 <그림2>와 같이 매장을 방문자 모두의 얼굴을 카메라로 촬영한 이미지를 바탕으로 서버에 실장된 얼굴인식 엔진을 이용해 수치화 데이터를 작성한 후 서버 내에 보관된 절도 상습자 데이터베이스의 얼굴인식 데이터와 대조한다. 이를 통해 절도 상습범이 입점한 타이밍을 검지할 수 있어 도난을 미연에 방지할 수 있게 됐다6).

행동 타깃팅 광고
<그림3>은 JR 히가시니혼 워터 비즈니스가 도입한 카메라가 장착된 음료수 자동판매기다7). 자동판매기 상단에 장착된 카메라로 구입자의 얼굴 특징으로부터 고객의 속성(성별, 연령 등)을 판정해 속성과 기타 정보(계절, 시간대 등)에 맞는 추천 상품을 모니터에 표시한다.

센서로 읽어낸 속성 정보는 마케팅 데이터로 축적된다. 또, 빅데이터 분석을 통해 효과적인 판매 전략을 세우는 데도 활용한다. 얼굴 데이터는 보관하지 않고 속성 정보만 보관해 처리한다.

개정법과 가이드라인
일본은 2015년 9월에 개인정보보호법이 개정돼 2017년 5월부터 전면 시행하고 있다8). 2005년에 개인정보보호법이 시행된 이래 10년이 경과하면서 클라우드 컴퓨팅이나 사물인터넷(IoT) 기술이 급속도로 보급됐고 또 수집되는 개인정보도 다양해져 개인에 관한 데이터를 의미하는 퍼스널 데이터의 이용과 활용에 의한 새로운 비즈니스가 생겨난 것에 대응하기 위해서다.

<표1>은 개정 개인정보보호법의 포인트를 나타낸 것이다. 개정법에서는 새롭게 ‘민감 개인정보’로 정의됐다(2조 3항). 민감 개인정보에는 인종, 신조, 병력, 범죄경력 등이 포함된다. 이런 정보는 본인에게 부당한 차별이나 편견을 갖게 할 수 있기 때문에 특히 신중한 취급이 요구된다. 또 조례나 각 부처가 정한 가이드라인에서는 일정 개인정보에 대해 특별히 취급하도록 하고 있다3).


‘익명 가공 정보’도 정의됐다(2조 9항). 익명 가공 정보란 특정한 개인을 식별할 수 없도록 개인정보를 가공해서 얻을 수 있는 정보로, 해당 개인정보를 복원할 수 없도록 한 것이다. 개인정보를 빅데이터로서 이용하거나 활용하는데 있어 개정법은 익명 가공 정보를 이용 및 활용하기 위한 룰을 규정했다.

‘개인식별부호’에 대한 정의도 내렸다. 개인정보에 포함된다고 생각되는 퍼스널 데이터에 대한 것이다.

퍼스널 데이터란 ①신체 일부의 특징을 데이터화한 문자, 번호, 기호, 기타 부호(<표2>의 ‘1호’에 상당)나 ②서비스의 이용자나 개인에게 발행되는 서류 등에 할당되어 있었던 문자, 기호, 기타 부호 가운데 정령으로 정하는 것(표2의 ‘2호’에 상당)을 ‘개인식별부호’라고 정한 것으로, 이것이 포함되어 있는 것을 개인정보보호 대상으로 한다는 것을 명확히 했다(2조 1항 2항).

이 중 <표2>의 ‘1호’는 생체인증에 사용되는 정보로 지문인식에서 사용되는 특징점이나 얼굴인식에서 사용되는 템플릿이 이에 해당한다9).


개정법은 새롭게 ‘인정개인정보보호단체’도 정의했다. 인정개인정보보호단체란 업계·사업분야마다 민간에 의한 개인정보 보호 추진을 도모할 목적으로 업무의 대상이 되는 개인정보 취급사업자에 관한 불만 처리와 정보 제공 등의 업무를 하는 조직이다(개정법 47조 1항)3)8).

방범 카메라의 조례와 가이드라인
지방자치단체는 방범 카메라의 적정한 이용을 위해 조례와 가이드라인을 제정하고 있다. 각 지자체간 상이점은 크게 없다. 행정관계에서 설치하는 설비뿐만 아니라 민간 이용도 대상으로 하고 있는 경우가 많다1) 2).

<그림4>는 방범 카메라 가이드라인의 예다4). 조례와 가이드라인은 각 지자체가 동일한 구성이며, 목적의 명확화, 데이터 내용, 수집·이용 제한, 정보 공개, 책임 소재가 명기돼 있다.


단, 방범 목적에 한정하고, 고정 카메라 상정, 데이터 제3자 제공 등은 금지되는 등 새로운 기술이나 사회 요구는 반영돼 있지 않다.

또, 프라이버시 보호에 대한 불만 대응 기술이나 정보 공개에 대한 대응도 충분하다고는 할 수 없다. 2005년에 시행된 개인정보보호법에 준거한 상태 그대로다. 개정법에 준거하지 않고 있는 것이 문제다4).

네트워크 카메라 시스템의 보안
네트워크 카메라(IP 카메라) 시스템의 보안은 2가지 관점에서 검토가 필요하다. 하나는 카메라 시스템 패스워드의 부적절한 설정에 의한 정보 유출이다. 또 다른 하나는 네트워크 카메라가 악성 소프트웨어에 감염돼 디도스(DDoS) 공격의 발판이 될 수 있다는 것이다10) 11).


부적절한 패스워드 설정 문제
CCTV는 실내외의 다양한 장소에 설치되고, 인터넷 사이트를 통해 영상을 언제든지 열람할 수 있는 경우도 있다. 일본에서만 6,000곳의 CCTV가 촬영한 영상을 장소와 시간의 제약없이 모니터링할 수 있는 것으로 파악된다.

전 세계적으로는 약 2만 8,000곳에 달하는 것으로 알려져 있다10). <그림5-(a)>와 같이 이발소에 설치된 카메라는 이발 중인 손님의 모습이 선명하게 촬영한다. 일반적으로 패스워드를 적절히 설정하면 촬영된 영상이 제3자에게 함부로 공개될 우려는 없지만 영상 데이터의 유출이 일어난 사례를 살펴보면 패스워드가 초기 설정 그대로 인 경우가 많다.

또, 카메라 영상에는 주차장(<그림5-(b)>의 혼잡 상태를 나타내는 등 공개를 목적으로 하고 있는 것도 있는데 이 경우 촬영되는 것을 원하지 않는 개인도 찍히게 돼 프라이버시 침해가 발생할 수 있다10).

CCTV 등을 발판으로 한 대규모 사이버 공격
2016년 가을 미라이(Mirai)라 불리는 IoT 기기를 노린 악성 코드를 이용한 대규모 사이버 공격이 발생했다. 문제는 인터넷에 접속된 카메라도 일종의 IoT 기기로 볼 수 있어 이로부터 안전하지 않다는 것이다.

<그림6>에 나타낸 것과 같이 미라이 공격에 의해 기업이나 가정에서 사용되고 있는 CCTV와 웹 카메라, 비디오 레코더 등이 정보를 탈취당했다. 이들 IoT 기기를 통해 인터넷의 근간이 되는 DNS 서버에 디도스 공격도 행해졌다.

그 결과 트위터나 아마존 등을 일시적으로 이용할 수 없었다. 이에 따라 IT 카메라도 사이버보안 대책이 필요하다. 그러나 카메라를 설치하는 벤더나 이용자의 보안인식이 낮으면 이런 보안사고가 발생하기 쉽다11).

맺음말
IP 카메라는 사용 목적이 방범에서 마케팅으로 확대되고 있다. 인터넷과 접속된 카메라는 IoT 기기로 사이버 공격의 타깃이 돼, PC나 서버에 행해진 공격과 같이 촬영 데이터의 정보 유출 등의 문제가 발생한다.

개정 개인정보보호법에서는 촬영 데이터의 이용 및 활용이 가능하다고 돼 있으나, 개인정보보호를 배려하면서도 안전하게 운용하기 위해서는 현재의 조례나 가이드라인을 활용하는 것이 어려운 실정이란 게 일본 전문가들의 의견이다. 법률을 적정하게 준거하는 것과 시스템에 대한 리스크 평가를 함께 실시하는 것이 중요하다.
[글_ 하세가와 구미·나카다 료타로·세토 요이치 산업기술대학원대학]


[김성미 기자(sw@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
오는 7월부터 근로시간이 주 52시간으로 단축되는 조치가 점차적으로 시행됩니다. 이번 조치가 보안종사자들과 보안업계에 미칠 영향은?
보안인력 확충과 워라벨 문화 확산으로 업계 근로여건 개선
보안인력 부족, 인건비 부담 상승으로 업계 전체 경쟁력 약화
기타(댓글로)