Personal Identifiable Information (PII)
개인 식별 정보(Personal Identifiable Information, PII)는 개인의 신원을 식별하거나 추적하는 데 사용될 수 있는 정보를 의미한다. 디지털 시대의 도래와 함께 PII의 중요성과 그에 대한 보호 필요성이 크게 증가했다.
PII의 개념 및 정의
정의
개인 식별 정보(PII)는 단독으로 또는 다른 정보와 결합하여 특정 개인을 식별, 연락, 위치 파악할 수 있게 하는 정보이다. 다양한 기관과 법률에 따라 PII의 정확한 정의는 다소 차이가 있을 수 있으나, 기본적인 개념은 동일하다.
미국 국립표준기술연구소(NIST)는 PII를 “개인에 대한 정보로, (i) 개인의 신원을 식별하는 데 사용되거나, (ii) 개인의 신원에 연결되거나 연결 가능한 정보"로 정의한다.
PII와 유사 개념의 비교
PII와 혼동될 수 있는 유사한 개념들이 존재한다:
- 개인정보(Personal Data): EU의 일반 개인정보 보호법(GDPR)에서 사용하는 용어로, PII보다 넓은 범위를 포함하며 온라인 식별자나 위치 데이터와 같은 요소도 포함한다.
- 보호대상 건강정보(PHI): 미국의 건강보험 이전 및 책임에 관한 법(HIPAA)에서 정의하는 용어로, 건강 상태, 의료 서비스 제공, 의료비 지불과 관련된 개인 식별 가능 정보를 의미한다.
- 민감한 개인정보: 인종, 종교, 정치적 견해, 건강 상태, 성적 취향과 같이 추가적인 보호가 필요한 개인 정보의 하위 범주를 의미한다.
PII의 유형 및 분류
PII는 일반적으로 직접 식별 정보와 간접 식별 정보로 분류할 수 있다.
직접 식별 정보
직접 식별 정보는 그 자체만으로 특정 개인을 식별할 수 있는 정보입니다:- 성명
- 주민등록번호/사회보장번호
- 운전면허증 번호
- 여권 번호
- 생체 인식 데이터(지문, 홍채 스캔, DNA)
- 고유 식별자(정부 또는 기관에서 발급한 ID)
- 디지털 신원(이메일 주소, 사용자명)
간접 식별 정보
간접 식별 정보는 단독으로는 개인을 식별할 수 없지만, 다른 정보와 결합하면 특정 개인을 식별할 수 있는 정보이다:- 생년월일
- 출생지
- 우편번호
- 성별
- 인종 또는 민족
- 직업 정보
- 의료 기록
- 교육 기록
- 재정 정보
- 지리적 지표
- IP 주소
- 쿠키 ID
- RFID 태그 데이터
민감성에 따른 분류
PII는 민감성 수준에 따라 다음과 같이 분류할 수도 있다:- 일반 PII
- 성명, 주소, 전화번호와 같이 대체로 공개된 정보나 쉽게 접근 가능한 정보
- 민감한 PII
- 사회보장번호, 의료 정보, 금융 계좌 정보, 생체 데이터와 같이 특별한 보호가 필요한 정보
- 이러한 정보는 오용될 경우 신원 도용, 재정적 손실, 개인적 피해로 이어질 수 있음
- 준-민감한 PII
- 직업, 교육 이력, 출생지와 같이 중간 수준의 민감성을 가진 정보
- 다른 정보와 결합될 경우 위험성이 증가할 수 있음
- 일반 PII
PII 관련 법규 및 규제 프레임워크
세계 각국은 PII 보호를 위한 다양한 법규와 규제 프레임워크를 도입하고 있다.
- 국제 법규
- EU 일반 개인정보 보호법(GDPR)
- 2018년 시행된 EU의 개인정보 보호법
- 모든 EU 시민의 개인정보에 대한 강력한 보호 조치 제공
- 주요 요소: 동의 요구, 열람권, 삭제권(‘잊혀질 권리’), 데이터 이동권, 처리 제한권
- 위반 시 전 세계 연간 매출의 최대 4% 또는 2천만 유로 중 더 큰 금액의 벌금 부과 가능
- 브라질 일반 개인정보 보호법(LGPD)
- 2020년 시행된 브라질의 개인정보 보호법
- GDPR과 유사한 원칙과 권리 적용
- 위반 시 회사 연간 매출의 최대 2%까지 벌금 부과 가능
- OECD 프라이버시 프레임워크
- 1980년 채택, 2013년 개정된, 데이터 보호 원칙에 관한 국제 가이드라인
- 수집 제한, 데이터 품질, 목적 명시, 사용 제한, 보안 안전장치, 개방성, 개인 참여, 책임과 같은 원칙 포함
- EU 일반 개인정보 보호법(GDPR)
- 미국 법규
- 미국은 포괄적인 연방 수준의 개인정보 보호법이 없고, 대신 분야별, 주별 법률의 패치워크가 존재한다:
- 연방 법률
- 그램-리치-블라일리법(GLBA): 금융 기관의 고객 정보 보호
- 건강보험 이전 및 책임에 관한 법(HIPAA): 건강 정보 보호
- 아동 온라인 개인정보 보호법(COPPA): 13세 미만 아동의 개인정보 보호
- 가족 교육 권리 및 개인정보 보호법(FERPA): 교육 기록 보호
- 연방거래위원회법(FTC Act): 불공정하고 기만적인 관행으로부터 소비자 보호
- 주 법률
- 캘리포니아 소비자 개인정보 보호법(CCPA) 및 캘리포니아 개인정보 권리법(CPRA): 캘리포니아 주민에게 자신의 개인정보에 대한 통제권 부여
- 버지니아 소비자 데이터 보호법(VCDPA): 버지니아 주민의 개인정보 권리 보호
- 콜로라도 개인정보 보호법(CPA): 콜로라도 주민의 개인정보에 대한 권리 강화
- 유타 소비자 개인정보 보호법(UCPA): 유타 주민의 개인정보 보호
- 코네티컷 데이터 개인정보 보호법(CTDPA): 코네티컷 주민의 디지털 개인정보 보호
- 아시아 법규
- 한국 개인정보 보호법
- 2011년 시행, 이후 여러 차례 개정
- 개인정보의 수집, 이용, 제공 등에 관한 규정
- 개인정보 보호위원회를 통한 감독
- 일본 개인정보 보호법(APPI)
- 2005년 시행, 2017년과 2020년에 주요 개정
- 개인정보 취급 사업자의 의무와 개인의 권리 규정
- 국경 간 데이터 전송에 관한 규정 포함
- 중국 개인정보 보호법(PIPL)
- 2021년 시행
- GDPR과 유사한 원칙 채택
- 중국 내 개인정보 처리 및 국외 전송에 관한 규정
- 한국 개인정보 보호법
- 산업 표준 및 프레임워크
- ISO/IEC 27001
- 정보 보안 관리 시스템(ISMS)에 대한 국제 표준
- 조직이 정보 자산의 기밀성, 무결성, 가용성을 보호하기 위한 체계적인 접근 방식 제공
- NIST 개인정보 보호 프레임워크
- 미국 국립표준기술연구소(NIST)에서 개발한 개인정보 위험 관리 도구
- 식별, 관리, 보호, 인지, 대응, 복구의 6가지 핵심 기능 정의
- PCI DSS(Payment Card Industry Data Security Standard)
- 결제 카드 산업에서 개발한 정보 보안 표준
- 카드 소지자 데이터의 보호를 위한 기술적, 운영적 요구사항 규정
- ISO/IEC 27001
PII 보호의 중요성 및 위험
PII 보호의 중요성
- 개인 프라이버시 보호
- 개인의 기본권으로서의 프라이버시 보장
- 개인의 자율성과 존엄성 존중
- 개인 정보의 오용 및 남용으로부터 보호
- 신원 도용 및 사기 방지
- PII 유출은 신원 도용의 주요 원인
- 금융 사기, 세금 사기, 의료 사기 등의 범죄 예방
- 기업의 평판 및 신뢰 유지
- 데이터 침해는 기업의 평판과 고객 신뢰에 심각한 타격
- 데이터 보호는 기업의 사회적 책임의 중요한 측면
- 법적 책임 및 규제 준수
- 데이터 보호 법규 위반 시 상당한 벌금과 법적 제재
- 집단 소송 및 보상 청구의 위험
- 개인 프라이버시 보호
PII 관련 주요 위험
- 데이터 침해 및 사이버 공격
- 해킹, 악성 소프트웨어, 피싱 공격 등을 통한 무단 접근
- 랜섬웨어 공격으로 인한 데이터 암호화 및 인질 상황
- 내부자 위협
- 악의적인 직원에 의한 데이터 유출
- 실수나 부주의로 인한 우발적 노출
- 불안전한 데이터 처리 관행
- 취약한 암호화 및 접근 통제
- 불충분한 데이터 최소화 및 보존 정책
- 제3자 위험
- 공급업체, 서비스 제공업체, 파트너의 불충분한 보안 조치
- 데이터 처리자의 책임 소홀
- 국경 간 데이터 전송 위험
- 다양한 국가의 데이터 보호 체제 차이
- 국경 간 데이터 전송에 대한 법적 제한
- 데이터 침해 및 사이버 공격
PII 보호를 위한 기술적 조치
- 데이터 보안 기술
- 암호화
- 저장 데이터 암호화(Data at Rest): 저장된 데이터를 암호화하여 무단 접근으로부터 보호
- 전송 중 데이터 암호화(Data in Transit): SSL/TLS와 같은 프로토콜을 사용하여 통신 보호
- 사용 중 데이터 암호화(Data in Use): 동형 암호화와 같은 기술로 처리 중인 데이터 보호
- 토큰화
- 민감한 데이터를 무의미한 토큰으로 대체하여 원래 데이터에 대한 직접적인 접근 없이 처리 가능
- 결제 처리, 의료 연구 등에서 사용
- 해싱
- 단방향 암호화 기술을 사용하여 데이터를 고정 길이의 문자열로 변환
- 비밀번호 저장 등에 적합
- 암호화
- 접근 통제
- 최소 권한 원칙
- 업무 수행에 필요한 최소한의 권한만 부여
- 불필요한 접근 제한으로 위험 감소
- 역할 기반 접근 통제(RBAC)
- 사용자의 조직 내 역할에 따라 접근 권한 할당
- 권한 관리 간소화 및 일관성 유지
- 다중 인증(MFA)
- 지식(비밀번호), 소유(토큰, 휴대폰), 생체 정보와 같은 여러 인증 요소 조합
- 단일 인증 방식보다 훨씬 강력한 보안 제공
- 최소 권한 원칙
- 데이터 익명화 및 가명화
- 익명화(Anonymization)
- 데이터에서 식별자를 제거하여 개인과의 연결을 영구적으로 차단
- k-익명성, l-다양성, t-근접성과 같은 기술 활용
- 가명화(Pseudonymization)
- 식별자를 가명으로 대체하여 추가 정보 없이는 개인을 식별할 수 없게 함
- 비식별화의 한 형태로, GDPR에서 권장하는 보호 조치
- 차등 프라이버시(Differential Privacy)
- 데이터셋에 통계적 노이즈를 추가하여 개인 정보를 보호하면서도 유용한 통계적 분석 가능
- 애플, 구글 등이 데이터 분석에 활용
- 익명화(Anonymization)
- 데이터 거버넌스 도구
- 데이터 발견 및 분류
- 조직 내 PII의 위치와 유형을 식별하고 분류하는 도구
- 보호가 필요한 데이터의 가시성 확보
- 데이터 손실 방지(DLP) 솔루션
- 민감한 데이터의 무단 전송이나 유출을 감지하고 방지
- 이메일, 웹, 엔드포인트 등 다양한 채널 모니터링
- 감사 및 모니터링 도구
- 데이터 접근 및 사용 패턴 추적
- 의심스러운 활동 감지 및 알림
- 데이터 발견 및 분류
용어 정리
| 용어 | 설명 |
|---|---|
참고 및 출처
규제 기관 및 표준
- 유럽 데이터 보호 위원회(EDPB) - https://edpb.europa.eu/
- 미국 연방거래위원회(FTC) - https://www.ftc.gov/privacy-security
- 국제표준화기구(ISO) - ISO/IEC 27001, 27018
- 미국 국립표준기술연구소(NIST) - 개인정보 보호 프레임워크
법률 및 규제
- 일반 개인정보 보호법(GDPR) - https://gdpr.eu/
- 캘리포니아 소비자 개인정보 보호법(CCPA) - https://oag.ca.gov/privacy/ccpa
- 건강보험 이전 및 책임에 관한 법(HIPAA) - https://www.hhs.gov/hipaa/
전문가 조직 및 리소스
- 국제 개인정보 전문가 협회(IAPP) - https://iapp.org/
- 개인정보 보호 권리 정보 센터(EPIC) - https://epic.org/
- 전자 프런티어 재단(EFF) - https://www.eff.org/
기술 리소스
- 개인정보 보호 도구 - https://www.privacytools.io/
- 오픈 웹 애플리케이션 보안 프로젝트(OWASP) - https://owasp.org/