개인정보 보호를 위한 한국형 P3P 스펙과 S/W

Slides:



Advertisements
Similar presentations
Duzon Groupware NeoBizbox Ver2.0 Your company will be ’Good Better Best’ through DUZON Solution.
Advertisements

ITQ 시험 가이드 2005 년 신 출제기준에 따른 한국생산성본부 검정사업센터. ITQ 시험 가이드 2 목차 개요 개요 ITQ 시험과목 및 선택 S/W ITQ 시험과목 및 선택 S/W ITQ 시험 과목별 가이드 ITQ 시험 과목별 가이드 아래한글 /MS 워드 아래한글.
Dept. Computer Engineering DBLAB 정보처리개론 담당 교수 : 김정석 2009 년도 1 학기.
Internet Multimedia solutions Internet Multimedia Solutions (Video Chatting) KLC21 ㈜ 본 제안서의 내용은 ㈜ KLC 에 저작권이 있습니다. 본 제안서는 내용이 구성이 잘된 제안서로서 제안서를.
더존다스 경영전략과 비젼 1 ERP 개발부문
㈜다산씨앤씨 The next generation Windows-based Terminal1 교육 정보화를 위한 W B T 제안서.
컴퓨터 통신과 인터넷 2. 컴퓨터 통신 2.1 컴퓨터 통신 장비 ~ 고성능 컴퓨터. 전화선이나 전용선, 모뎀이나 통신카드, 통신용 프로그램 컴퓨터 IBM AT (286) 호환 기종 – 문자 서비스만 IBM AT (486-RAM 16MB) 급 호환 기종이상.
멀티미디어 하드웨어 / 소프트웨어. 이 장에서 배울 것  멀티미디어 하드웨어  멀티미디어 소프트웨어  멀티미디어 표준.
Duzon IT Group Duzon ERP China 1 NEO-Sⁿ 개요시스템구성강점적용화면도입효과 원거리 사업장 적용 예 증빙관리 & 데이터보안 솔루션 표준제안서 증빙관리 & 데이터보안 솔루션 표준제안서 Duzon IT Group Duzon ERP China.
비업무용 사이트 차단 및 웹 모니터링 솔루션 ㈜토탈인터넷시큐리티시스템 TEL : FAX :
컴퓨터 네트워크와 인터넷.
EntumOFFICE 소개 ㈜가온아이 컨설팅팀 이 호.
컴퓨터 일반 모의고사1.
제 09 장 인터넷과 월드와이드웹 한국대학교 홍길동 교수.
Let’s Speak English Well
PC와 인터넷 정강수 컴퓨터 구조와 웹의 이해 PC와 인터넷 정강수
HTML5 웹 프로그래밍 입문 (개정판) 1장. 인터넷과 웹환경의 발전.
WAP, Stinger, Bluetooth 순천향 대학원 전산학과 1학기 정재헌.
APPEON SOLUTION INTRODUCTION.
Web Service XML Security
농림사업통합정보시스템 3차 구축 사업 사용자 지침서 - 사료검사 실적관리
농림사업통합정보시스템 3차 구축 사업 사용자 지침서 농촌마을종합개발사업
정보활용 능력과정 경일대학교 컴퓨터공학과 김 현성
Windows CE 시스템 개발 환경 구축.
오목게임 W32 로봇시스템제어(하) GROUP 7 노성동, 하선웅, 김관준
10장. 웹 서비스 공격 (Attacking Web Service)
네트워크 프로그래밍 <네트워크 주문 프로그램 V1.00 >
iGrafx Consulting Group
Introduction to Web Service Computing
웹 서비스 (Web Services).
1장. JSP 및 Servlet을 활용한 동적 웹 프로그래밍 소개 제1장.
2 장 인터넷의 개요.
뇌를 자극하는 SQL Server 장. SQL Server 2008 설치 및 업그레이드.
사용자의, 사용자에 의한, 사용자를 위한 APT.상가 분양임대관리 System 제안서
2007. Database Term Project Team 2 윤형석, 김희용, 최현대 우경남, 이상제
1. 시멘틱웹(Semantic Web) Preview 항목 상세내역 개요 기출여부 관련KeyWord 추천사이트
The next generation Windows-based Terminal
Internet Multimedia Solutions (Video Chatting)
PDA를 이용한 Remote Service Control
웹사이트 구축 견적서 Hyunbum Entertainment Co., LTD.
Software Engineering Project
악어미디어연구소 심 수 영 치과의료정보와 구강보건교육 악어미디어연구소 심 수 영
디지털미디어론 김 화 동 교 수.
웹 서비스 (Web Services).
04장 웹 보안: 웹, 그 무한한 가능성과 함께 성장한 해킹
학교 홈페이지 회원가입절차.
학생 매뉴얼 5) 학생회원 매뉴얼 Communication with world wide web~ DAON 학생 로그인
The Semantic Web 학 번 발 표 자 이 한 국.
농림사업통합정보시스템 3차 구축 사업 사용자 지침서 - 농업경영컨설팅지원사업
Internet Multimedia Solutions (Video Web Call Center)
학교 홈페이지 회원가입절차.
메일캐리어 제품 소개서 탭스랩주식회사.
투융자집계분석.
MAIL CLIENT 김창우 윤성훈 이경재.
myfood.com 상명대 맛집 홈페이지 구축 제안서
각종 연결 프로그램이 실행되지 않을 때 도움말을 클릭하세요
중 기 사 업 계 획 서 유엔아이㈜.
Introduction to Semantic Web 시맨틱 웹의 개요
Ⅳ. 컴퓨터와 생활.
오토베이스 웹 서버.
2011년 농림사업정보시스템(AgriX) 구축사업
농림사업통합정보시스템 3차 구축 사업 사용자 지침서 향토산업육성사업
제6장 소프트웨어와 정보시스템 김진수
05 ASP.NET 2.0 페이지 및 응용 프로그램 구조 웹 폼(Web Form) 웹 폼 이벤트
S & S smart-book 전산프로그램 제안서 (회계/인사/급여 중심)
학부모 매뉴얼 4) 학부모매뉴얼 Communication with world wide web~ DAON 학부모 로그인
국립중앙의료원 messenger User Guide Ver 3.2.
About Web 2.0.
Lady chatterley 윤형석 장홍현 조재범.
Presentation transcript:

개인정보 보호를 위한 한국형 P3P 스펙과 S/W 김 창 화 강릉대학교 정보전자공학부 컴퓨터공학전공 kch@kangnung.ac.kr

내 용 E-service의 특징 및 P3P 제안배경 P3P 개념 Privacy 침해 발생 원인 범주 P3P S/W 개발 시 고려사항 정책 생성기 개발 시 고려사항 사용자 에이전트 개발 시 고려사항 한국형 P3P S/W 적용 기대효과

P3P 제안 E-service의 특징 및 P3P 제안배경 E-Service의 특징 문제점 필요성 서비스 개인정보 노출 불가피 피해 유연한 개인정보 노출 서비스 체크 및 조건에 따른 노출 경제 서비스 제공자 신용도 물질적 피해 사회 서비스 종류와 내용 문화 필요한 개인 정보 교육 개인 정보 사용 정책 건강 정신적 피해 개인적으로 매우 어려움 오락 전문지식 필요 매우 번거로움 많은 시간 소요 P3P 제안 취미 정보 사회적 피해 세심하지 못한 동의 경직성 복잡성 서비스 이용 약관 난해성

P3P 개념 P3P Protocol 및 시스템 아키텍처 P3P : Platform for Privacy Preferences 서비스 제공자 사용자 서버 사용자 에이전트 서비스 요청 제안서 및 양식 제공 Web 브라우저 Negotiation User Agent 동의 안함 동의 및 개인정보 제공 서비스 요청 Ack 서비스 이용 제안서의 개인정보사용정책과 개인정보보호정책과의 비교 제안서 (개인정보사용정책) 정책 개인정보 보호정책 제안서 P3P : Platform for Privacy Preferences

P3P 개념 (계속) P3P 제안서 내용 개인정보를 수집하는 주체 액세스가 가능한 개인정보의 종류 수집되는 개인정보의 종류 개인정보 보유 정책 (retention policy) 개인정보를 사용하는 목적 분쟁 해결 방법 개인정보에 대한 opt-in, opt-out의 가능성 인간 판독 가능 정책의 위치 개인정보 수령자

P3P 개념 (계속) 프라이버시 보호 정책 표현 (APPEL) 예 예 표현 내용 개인정보 보호를 위한 규칙 표현 <appel:RULESET xmlns:appel="http://www.w3.org/2002/04/APPELv1" xmlns:p3p="http://www.w3.org/2000/12/P3Pv1" crtdby="W3C" crtdon="2001-02-19T16:04:02+01:00"> <appel:RULE behavior="request" prompt="yes" description="Service collects data for marketing, tailoring, or 'other' purposes."> promptmsg="FYI: This service collects data for marketing, tailoring, or 'other' purposes. Continue?"> <p3p:POLICY> <p3p:STATEMENT> <p3p:PURPOSE appel:connective="or"> <p3p:contact/> <p3p:telemarketing/> <p3p:pseudo-analysis/> <p3p:pseudo-decision/> <p3p:individual-analysis/> <p3p:individual-decision/> <p3p:other-purpose/> </p3p:PURPOSE> </p3p:STATEMENT> </p3p:POLICY> </appel:RULE> ………………………… 생략) description="Site collects healthcare information."> promptmsg="FYI: Site collects healthcare information. Continue?"> <p3p:DATA-GROUP> <p3p:DATA> <p3p:CATEGORIES> <p3p:health/> </p3p:CATEGORIES> </p3p:DATA> </p3p:DATA-GROUP> <appel:RULE behavior="request" description="Privacy policy matches Information Only preferences"> <appel:OTHERWISE/> </appel:RULESET> 표현 내용 개인정보 보호를 위한 규칙 표현 APPEL은 규칙들의 집합(rule-set) 들로 표현됨 예

Privacy 침해 발생 원인 범주 P3P 명세 보안 통제 실패 사용자에 의한 개인정보 노출 통제 실패 사용자 혹은 서비스 제공자 컴퓨터에 저장된 개인정보가 해킹 또는 바이러스에 의해 노출, 변경, 파괴 및 통신 상의 보안 통제 실패로 인해 발생하는 프라이버시 침해 P3P 명세 사용자에 의한 개인정보 노출 통제 실패 개인정보 노출 확인 지원 사용자 부주의 혹은 실수로 인하여 프라이버시와 관련된 개인정보를 제 3 자에게 노출시킴으로 인해 발생하는 프라이버시 침해 예) 서비스 제공자의 개인정보 이용 약관을 살핌 없이 동의로 인한 피해 타인(단체) 에 대한 개인정보 사용 통제 실패 개인정보의 부당한 사용 통제 명세 지원 합법적 혹은 불법적으로 제 3 자에게 개인정보가 노출된 후 제 3 자의 부당한 사용 혹은 보호통제 실패로 인해 발생하는 프라이버시 침해

기존의 W3C P3P 스펙은 국내법적 의무고지사항을 충족시키지 못함 한국 실정에 맞는 한국형 P3P 스펙 개발 및 이를 근거로 한 S/W 개발이 필요함

한국형 P3P 개발 목적 개인정보보호를 위해 국내법적 사항을 반영하여 P3P 1.1 스펙과 호환성을 갖는 한국형 P3P 표준 및 S/W 개발 사용자가 컴퓨터를 통하여 수집되는 개인정보 항목, 수집 및 이용 목적, 이용되는 방법 등을 이해하고 자신의 개인정보를 안전하게 제공할 수 있도록 유도 웹 서비스 제공자가 개인정보보호를 위한 국내법적 사항을 충실히 이행하도록 유도

한국형 P3P 스펙 요구사항 국내법적 의무고지사항 반영 호환성 유지 개인정보관리 책임자 고지 수집하는 개인정보 항목 고지 국내법적 의무고지사항 반영 개인정보관리 책임자 고지 수집하는 개인정보 항목 고지 개인정보의 수집 및 이용 목적 고지 개인정보의 보유기간 및 이용기간 고지 제3자에게 개인정보 제공 시 제공 받는자, 제공목적 및 제공할 정보내용 고지 쿠키 등의 설치•운영 및 거부 내용 고지 개인정보 위탁처리 시 위탁사실 고지 이용자 개인정보 열람•정정 및 동의철회 권리와 방법에 대한 고지 아동정보 수집 시 위탁 사실 고지 개인정보 국외 이전 시 고지 호환성 유지 기존 W3C P3P 1.1 스펙과 호환성 유지

P3P1.1 스펙의 확장 방법 및 내용 데이터 스키마 추가 및 확장 개인정보관리책임자, 수집하는 개인항목, 위탁기관, 국외이전기관 등에 대한 데이터 항목을 P3P1.1 데이터 스키마에 추가 EXTENTION 태그를 이용한 데이터 엘리먼트 추가•확장 개인정보의 보유기간 이용기간 쿠키 운영 및 거부 방법 표현 개인정보열람, 정정 동의 철회 방법 표현 아동정보 수집 시 법정대리인의 권리 및 행사방법 표현 개인정보 국외이전 시 관련 고지 정보 표현 새로운 Syntax 도입 코멘트(#)을 이용한 새로운 Syntax (영문 데이터 항목의 의미 표현) 개인정보 수집목적 고지 표현 제3자 제공시 제공받는 자 고지 표현

P3P S/W 개발 시 고려사항 국내법적 요구사항을 반영한 P3P1.1 확장 스펙 정책 생성기 사용자 에이전트 정책 생성의 용이성 일반 사용자 대상 효율적 GUI 처리의 효율성 확장된 P3P 스펙 반영 및 표현 프라이버시보호 정책 표현의 다양성 및 수월성 일반 사용자 대상 효율적 GUI 정책의 이해성 사용의 편리성/처리의 효율성 W3C P3P1.1 스펙과 호환성 유지 국내법적 요구사항을 반영한 P3P1.1 확장 스펙

<EXTENTION> 태그의 애트리뷰트 optional 값의 처리 정책 생성기 개발 시 고려사항 데이터 항목의 필수/선택 구분 정책생성 시 개인정보관리책임자 등 <ENTITY> 내에 들어가는 항목이 필수항목인지 선택항목인지 식별되게 표시하여 정책 개발자가 참고할 수 있도록 함 수집하고자 하는 개인정보 항목에 대하여 필수항목인지 선택항목인지를 정책 생성자가 지정할 수 있게 함 <EXTENTION> 태그의 애트리뷰트 optional 값의 처리 P3P 확장 스펙에서 제시된 <EXTENTION> 태그의 optional 애트리뷰트의 값은 “ yes”로 처리 (즉, <EXTENTION optional=“yes”>)

정책 생성기 개발 시 고려사항(계속) 수집되는 데이터 항목 설명 : XSD 파일 생성 및 제공 구현되어야 하며, 정책생성자가 정책생성기의 인터페이스를 통하여 기존의 XSD 트리 구조에 자동으로 추가할 수 있도록 함 (P3P1.1 표준 스펙을 따를 경우) 수집되는 데이터 항목 설명 : 코멘트(#) description 태그 이용 표준 데이터 스키마에 존재하지 않은 데이터 스키마의 확장을 위하여, 수집되는 데이터 항목에 대한 <EXTENSION> 부분에 추가하고자 하는 항목을 기술한 후 주석을 이용하여 description 태그를 추가하여 해당 항목의 설명을 기술 할 수 있는 방법 제공을 사용할 수 있도록 함

정책 생성기 개발 시 고려사항(계속) 정책 생성기 개발 시 고려사항 수집목적 선택 및 표현 수집목적의 경우 : W3C P3P 1.1에서 제공되는 목적과 한국형 P3P에서 추가되는 모든 목적이 정책생성기의 메뉴에 나타나 정책 생성자가 선택할 수 있도록 함 기타 목적의 경우 : 직접 입력받아 P3P 확장 스펙에서 제시한 형식에 따라 표현하여 <other-purpose> 태그 범위 내에 포함하거나 혹은 <EXTENTION> 태그를 이용하여 표현 개인정보 보유근거 표현 한국형 P3P에서 제공하는 보유근거를 모두 정책생성기의 메뉴에 포함시켜 정책 생성자가 선택하여 사용할 수 있도록 함 기타의 경우 : 직접 입력 받아 P3P 확장 스펙에서 제시한 형식에 따라 표현하여 <other-basis> 태그 범위 내에 포함

정책 생성기 개발 시 고려사항(계속) 정책 생성기 개발 시 고려사항 개인정보를 제공받는 제 3 자 표현 개인정보를 제공 받는 제 3 자의 경우는 P3P에서 제공하는 제공 받는 자를 정책 생성기의 메뉴에 포함시켜 <other-recipient>를 이용하여 삽입하고, 기타의 경우 정책 생성자로부터 직접 입력 받아 <other-recipient>에 P3P 확장 스펙 형식에 따라 표현하여 삽입 개인정보 위탁 내용 표현 개인정보 위탁처리 시 한국형 P3P에서 지원하는 위탁내용을 정책 생성기의 사용자 인터페이스에 추가하여 정책 생성자가 필요에 따라 복수로 선택할 수 있도록 함 기타의 경우 정책 생성자로부터 직접 입력 받아 삽입

사용자 에인전트 개발자와의 Communication 정책 생성기 개발 시 고려사항 정책 생성기 개발 시 고려사항(계속) 자연어로의 표현 각 정책에 대한 내용을 자연어로 표현할 수 있는 기능 추가 권장 사용자 에인전트 개발자와의 Communication 사용자 에이전트 개발자와의 Communication이 필수적임 기타 사항 기타 사항은 P3P 확장 스펙에 반영됨

<EXTENTION> 태그 처리 사용자 에이전트 개발 시 고려사항 <EXTENTION> 태그 처리 한국형 P3P에 추가되는 엘리먼트의 경우 <EXTENSION optional="yes">로 처리되므로, EXTENSION이 선택사항으로 되어있더라도 한국형 사용자 에이전트는 반드시 내부를 검사하여 한국형 P3P에 추가된 엘리먼트를 검사하여 처리해야 함 개인정보 수집에 대한 사용자의 선택 표현 수집하는 항목 중 선택항목의 경우 사용자가 제공하고자 하는 항목과 제공하기를 거부하는 항목을 선택할 수 있도록 하여야 함

사용자 에이전트 개발 시 고려사항(계속) 수집되는 데이터 항목 설명 : 코멘트 이후의 description 값 이용 수집되는 데이터 항목은 영문 태그로 표기됨 따라서, 이에 대한 한글 의미가 필요하므로 코멘트(#) 표시 이후 ‘description=’ 이후의 한글 의미를 액세스하여 사용자에게 표시하도록 함 수집되는 데이터 항목 설명 : XSD 파일 액세스 및 설명부분 표현 그러나, 코멘트(#) 표시가 없을 경우 웹 사이트로부터 xsd 파일을 액세스하여 수집항목 태그에 대응하는 데이터 스키마 엘리먼트에 대한 한글 의미를 가져와서 사용자에게 표시하도록 함(대응하는 엘리먼트가 없을 경우 적절한 에러 표시를 사용자에게 제공)

국내법적 의무고지사항을 쉽게 인지할 수 있는 사용자 인터페이스 사용자 에이전트 개발 시 고려사항(계속) 수집되는 개인정보 항목의 자동 폼채움 수집되는 항목에 대하여 컴퓨터 내에 저장되어 있는 항목은 (즉, 사용자가 프라이버시 보호를 위해 정보제공과 관련하여 미리 제시한 항목) 자동으로 양식을 채우고, 그렇지 않은 경우 사용자가 직접 입력할 수 있도록 권장 국내법적 의무고지사항을 쉽게 인지할 수 있는 사용자 인터페이스 10가지 국내법적 의무고지사항에 대하여 한국형 P3P에 추가된 내용을 사용자가 쉽게 인지할 수 있는 사용자 인터페이스 제공

정책 생성기 개발자와의 Communication 사용자 에이전트 개발 시 고려사항(계속) 웹 브라우저와의 호환성 다양한 종류의 웹 브라우저와 호환 가능하도록 제작 자연어로의 표현 각 정책에 대한 내용을 자연어로 표현할 수 있는 기능 추가 권장 정책 생성기 개발자와의 Communication 정책 생성기 개발자와의 Communication이 필수적

사용자 에이전트 개발 시 고려사항(계속) 기타 사항 기타 사항은 P3P 확장 스펙 내용에 반영함

+ 한국형 P3P S/W 적용 기대효과 서비스 사용자 측면에서의 기대효과 한국형 P3P S/W 사용 기존의 법적 규제 부당한 액세스 (improper access) 통제 한국형 P3P S/W 사용 부당한 수집 (improper collection) 통제 + 부당한 모니터링 (improper monitoring) 통제 부당한 분석 (improper analysis) 통제 기존의 법적 규제 부당한 양도 (improper transfer) 통제 원치 않는 정보전송 (unwanted solicitation) 통제 부당한 저장 (improper storage) 통제

+ 한국형 P3P S/W 개발 기대효과(계속) 서비스 제공자 측면에서의 기대효과 한국형 P3P S/W 사용 기존의 법적 규제 국내법적 의무 고지사항의 올바른 이행 유도 + 프라이버시 관련 분쟁 방지 정보수집 및 이용에 관한 신뢰성 확보 기존의 법적 규제 프라이버시 관련 자체 규제 효과 정보수집 고지에 대한 수월성•편리성 제공

한국형 P3P 규격(안)을 기반으로 한 P3P 개인정보보호정책 생성기 2006년 2월 23일

발표순서 소프트웨어 개요 소프트웨어 개발 배경 3. 소프트웨어 특징 4. 프로세스 5. 개발내용 6. 시연 P3P 개인정보보호정책생성기 발표순서 소프트웨어 개요 소프트웨어 개발 배경 3. 소프트웨어 특징 4. 프로세스 5. 개발내용 6. 시연

1. 소프트웨어 개요 명칭 : P3P 정책생성기 개발기관 : 한국정보보호진흥원(개발기업: ㈜위너다임) 개발개요 주요 특징 W3C의 개인정보보호 플랫폼 P3P V1.1 의 규격을 확장하여 국내의 개인정보보호관련 법적 의무고지사항을 만족하는 한국형 P3P 정책생성기 소프트웨어 개발 주요 특징 개인정보보호방침 및 P3P 정책의 동시/자동 생성 사용자 편의를 고려한 GUI 구현 및 자세한 도움말 제공 Windows 및 리눅스 등 모든 운영체제의 웹서버 운용지원

2. 소프트웨어 개발 배경 국내 법적 의무고지사항을 만족하는 P3P 정책 및 개인정보보호 방침 생성기 필요 필요성 인터넷 사이트의 개인정보보호방침 작성의 어려움 및 오류 개인정보보호방침과 실제적인 개인정보 운영의 불일치 사용자 편의성을 위해 자동분석방식의 개인정보보호정책 적용 필요 최근 개인정보보호기술 국제 표준 플랫폼으로 P3P 기술이 대두 국제 표준 기술을 적용하고 국내 법적 의무고지사항이 반영된 도구 필요 인터넷 사이트 운영자의 편리한 개인정보보호방침 작성 도구 보급 필요

3. 소프트웨어 특징-주요기능 한국형 P3P 규격(안) 준용 개인정보보호방침 생성기능 사용자 편의 기능 P3P 정책생성 기능 국내 법적 의무 고지사항 만족 사용자 편의 기능 프로세스 기반의 데이터 입력 방식 제공 설문지법 형태의 데이터 입력 방식 제공 수집하는 개인정보 등록 추가 시 목록에서 드래그 앤 드롭 기능 제공 모든 단계에서 자세한 도움말 제공 사이트 유형별 템플릿 제공

3. 소프트웨어 특징-운용시스템 구조 P3P 개인정보보호정책생성기 XML 기반 P3P 정책 클라이언트용 관련 파일 웹사이트 이용자 클라이언트용 P3P 에이전트 S/W XML 기반 P3P 정책 관련 파일 웹 서버 1. HTTP가 P3P 정책 요청 2. P3P 정책 전송 3. 개인정보보호 수준 비교 4. HTTP가 웹페이지 요청 5. 웹페이지 전송 HTML 기반 개인정보보호 방침 파일 <사이트의 개인정보보호방침 직접 확인>

3. 소프트웨어 특징-시스템환경 소프트웨어 개발환경 소프트웨어 운영환경 P3P 개인정보보호정책생성기 3. 소프트웨어 특징-시스템환경 소프트웨어 개발환경 운영체제 : Windows XP, Windows 2000/2003 등 통합 개발 환경 : JAVA(JDK V.1.4 이상) 소프트웨어 운영환경 운영체제 : Windows, 리눅스 등 모든 운영체제 운영 환경 : JAVA(JDK V.1.4 이상)

4. 프로세스-개발 프로세스 개발 단계: P3P 정책생성기 구현 설계 단계: 소프트웨어 기능 및 구조 설계 GUI 구현 P3P 정책 및 개인정보보호방침 생성기 구현 설계 단계: 소프트웨어 기능 및 구조 설계 DTD 및 데이터스키마 설계 사용자 인터페이스 설계 규격분석 단계: 한국형 P3P 규격 정립 P3P V. 1.1 규격 분석 국내 개인정보보호 관련 법적 의무고지사항 분석

4. 프로세스-실행 프로세스 P3P 정책참조파일 생성기 G U I P3P 정책파일 생성기 개인정보보호방침 생성기 XML 기반 ② 데이터 전송 P3P 정책참조파일 생성기 XML 기반 P3P 정책 관련 파일 참조 ① 데이터 전송 P3P 정책파일 생성기 데이터 입력 생성 P3P 정책생성기 S/W 이용자 HTML 기반 개인정보보호 방침 파일 개인정보보호방침 생성기

P3P 개인정보보호정책생성기 5. 개발내용-로그인(접근제어) 기능

P3P 개인정보보호정책생성기 5. 개발내용-메인 메뉴 개인정보 목록 창 프로세스 기반 입력 창 결과화면 출력 창

P3P 개인정보보호정책생성기 5. 개발내용-프로세스 기반 입력

P3P 개인정보보호정책생성기 5. 개발내용-설문지법 입력

P3P 개인정보보호정책생성기 5. 개발내용-개인정보목록

P3P 개인정보보호정책생성기 5. 개발내용-P3P정책 자동생성

P3P 개인정보보호정책생성기 5. 개발내용-개인정보방침 자동생성

P3P 개인정보보호정책생성기 5. 개발내용- 자세한 도움말

P3P 개인정보보호정책생성기 5. 개발내용-정책참조파일생성

프라이버시보호 지능형 에이전트 개발 현황 보고 2006. 2. 23

목 차 프로젝트 개요 P3P 에이전트 에이전트 기능 소개 향후 발전 방향

1. 프로젝트 개요 용역 명 : 프라이버시 보호 지능형 에이전트 개발 용역 명 : 프라이버시 보호 지능형 에이전트 개발 용역 기간 : 2005년 8월 22일 ~ 2005년 12월 21일 목표 웹 사이트의 개인 정보 데이터 수집 방식 표준화 사이트의 사용자 정보 수집 용도를 자동으로 사용자에게 이해시켜주는 에이전트 개발 사양 웹 사이트가 수집할 수 있는 데이터의 표준 스키마 개인정보 공개 표준 정의 웹 페이지 및 쿠키에 관련된 개인정보 정책 제어 HTTP를 통한 정책전송 메커니즘 제어

1. 프로젝트 개요 프라이버시 보호기술 □ 2003년 IEEE Security & Privacy 에서 현재 응용되고 있는 웹 프라이버시 보호 기술을 트리 구조로 분류 Privacy 보호 솔루션 기술기반 법규기반 자동 협상 형 기술 암호화 기반 기술 클라이언트기반 서버기반 클라이언트-서버 기반 자율 규제 의무 규제 비인증성 정책 인증성 정책 e.g. HIPAA 개인방화벽 경로 제거기 VPNs 방화벽 프락시 기반 라우팅 기반 Mix-망 기반 P2P 기반 e.g. PGP e.g. P3P e.g. onion routing e.g. crowds e.g. TRUSTe 익명화기술 리메일러 e.g. Tarzan e.g. LPWA

1. 프로젝트 개요 P3P 적용 웹 사이트 W3C에서 개인정보보호를 위해 만든 프로젝트로 1998년 첫 Working Draft 1.0이 발표되어 현재 전세계 876개 웹사이트가 P3P를 적용 운영하고 있음(2004.5.17) 주요 웹사이트 Early Adapter(99~00) 기관: 미국 상무성, 미 상하의원 홈페이지 기업: IBM, Microsoft, Lycos, McAfree, World Hotel Reservations … Present Adapter(01-04) 기관: 미국 주택 개발 공사 기업: AT&T, .Net Passport 포함한 550 여개 업체 적용 트랜드 분석 1999년 초 Early Adapter의 경우 대부분 기관 및 대기업 중심으로 구성이 되어 약 300여 곳에서 도입 2000년 이후 P3P 적용사례를 보면 대기업 및 기관 위주에서 중소기업 및 고객의 정보를 활용한 다양한 업종에서의 도입이 두드러지게 나타남 *W3C(World Wide Web Consortium): 1994년 월드와이드웹의 고안자인 팀 버너스리(Tim Berners-Lee)가 만든 조직으로 약 400 개에 달하는 회원조직들과 70명 이상의 정규직 직원들로 이루어진 국제 컨소시엄

1. 프로젝트 개요 P3P 구성요소 구성 요소 설명 P3P 헤더 P3P 적용 웹 사이트의 경우 P3P 정책 참조 파일이 있는 URL을 포함한 HTTP 응답 헤더를 갖는다. 정책 참조 파일 P3P정책 참조 파일은 정책이나 데이터 스키마에 대한 정보를 가지며 모든 P3P적용 웹 사이트는 적어도 한 개 이상의 참조 파일을 갖는다. 데이터 스키마 P3P정책에 의해 참조되는 데이터 요소들을 정의 하기 위한 정보를 가지며, 데이터 구조 또는 데이터 유형에서 정의 된다. P3P 정책 웹 사이트의 프라이버시 관행에 대해 기술한 XML문서. 모든 P3P 적용 웹 사이트의 경우 적어도 하나 이상의 정책을 수립해야 하며, 이는 독립적인 파일이거나 P3P정책 파일에 포함된 형태이다. 개인 정보보호 정책 인간의 언어로 기술된 프라이버시 정책을 말하며 모든 P3P 적용 웹 사이트는 반드시 개인 정보 보호 정책을 가져야 한다. 또한 P3P정책의 기술 내용이 개인 정보보호 정책에 부가적인 내용을 요구할 수도 있다. 옵트 인/아웃 인간의 언어로 기술된 개인 정보보호 정책과 동일하며, 이 옵션이 제공된 모든 웹 사이트에서는 옵트인 혹은 옵트아웃 정책을 가지고 있어야 한다. 콤팩트 정책 P3P 콤팩트 정책이란 인터넷 쿠키와 관련된 프라이버시 관행의 간소화된 버전이다. 콤팩트 정책은 쿠키와 함께 제공되는 HTTP 응답 헤더에 추가되어 사용된다.

2. P3P 에이전트 에이전트 동작원리 비교/분석 사용자 웹사이트 요청 엔진 프락시 서버 요청 수신 웹 서버에 위치한 정책 파일 수신 사이트에 대한 정책 파일 없음 사용자 선호정책 로드 & 파싱 사용자 알림 전체 요청 사이트에 관련된 모든 정책 의 위치 파싱 사이트에 대한 정책 없음 사용자 알림 제한 요청 정책 다운로드 사용자 알림 중단 정책 파싱 및 유효성 체크 정책 문법 에러 개인 프라이버시 정보 전송

2. P3P 에이전트 개발 범위 시스템 구성 내역 비고 에이전트 Back-End 웹 브라우저와 연동. 브라우저 다중 세션 지원 에이전트 상태 및 보안 상태들을 알려주는 “알림”인터페이스 지원 슬라이딩 윈도우를 사용한 “알림 창” 기본적으로 트레이아이콘을 사용한 백그라운드 실행 확장 메뉴 및 사용자의 입력이 필요한 경우, 에이전트 활성화 정책 편집기 P3P Specification 1.1 Working Draft 표준을 따른다. 사용자 선호정책의 구현은 W3C에서 제시한 최신 APPEL Rule Set을 사용한다. Front 기본 설정 기능 제공 초급 사용자들을 위하여 높음/보통/낮음/최소의 카테고리로 보안 등급 레벨을 구분 보안 등급 레벨만 선택하면 세부적인 설정 항목들이 디폴트 값으로 세팅 된다. 상세 설정 기능 제공 고급 사용자들을 위한 기능 보안 설정 레벨에 해당하는 세부적인 설정 항목들에 대해서 사용자 지정 설정을 제공한다.

2. P3P 에이전트 개발 범위 개발 범위 시스템 구성 내역 비고 정책 비교/분석 엔진 Back-End 웹 사이트의 정책 파일을 지정한 장소에서 읽어 들여 사용자 정책과, 비교/분석 수행. 웹 사이트에 대한 정책과 사용자 선호 정책에 대한 단순 비교 기능. 웹 사이트에 대한 정책과 사용자 선호 정책에 대한 종합 비교 기능. 비교 분석된 결과는 자체적으로 로그를 기록하여 관리할 수 있는 기능을 제공한다. Front 정책 비교 결과에 따른 5가지 상태 아이콘 출력 P3P 정책 요약 및 사업자 의무 고지사항 출력 P3P 정책 원문 출력 P3P 소스 출력 “General Assertion”과 “Data Specific Assertion”항목에 대한 단순 비교 결과 출력

3. 에이전트 기능 운영 환경 지원 항목 권장 사양 최소 사양 OS Windows XP 이상 Windows 98/ME/XP/2000 CPU Pentium III 450 이상 Pentium II 233 이상 RAM 256 MB 64 MB HDD 100 MB 이상 50 MB 이상 Resolution 1280 * 1024 1024 * 768 Internet Explorer Internet Explorer 6.0 이상 Internet Explorer 5.0 이상

3. 에이전트 기능 사이트 정책/사용자 정책 충돌 사이트 정책 파일 존재하지 않음 사이트 정책/사용자 정책 일치 Embedded 윈도우 사이트 정책/사용자 정책 충돌 사이트 정책 파일 존재하지 않음 사이트 정책/사용자 정책 일치 알 수 없음(정책 비교 불가) 신뢰 사이트(정책 비교 안 함)

3. 에이전트 기능 Embedded 메뉴

각 사용자 별 개인보호정책을 별도로 가져야 하므로 개인별 로그인 기능 추가 3. 에이전트 기능 다수 사용자 지원 각 사용자 별 개인보호정책을 별도로 가져야 하므로 개인별 로그인 기능 추가

3. 에이전트 기능 열려 있는 브라우저 목록을 보여준다. 브라우저 상태 목록 개발 범위 열려 있는 브라우저 목록을 보여준다. 서핑 하는 사이트들에 대한 개인정보 보호 정책 충돌 상태를 아이콘을 통해 바로 확인할 수 있다.

웹 사이트 관리 웹사이트 등록을 통해 개인적으로 가지고 있는 정책의 유형별로 에이전트를 운영

3. 에이전트 기능 정책 로그 웹사이트 방문 이력을 로그 기록으로 가지고 있으면서, 본인의 정책과 일치한 사이트 및 불일치한 사이트 등을 한눈에 확인해 볼 수 있는 기능 제공

3. 에이전트 기능 프라이버시 도구 프라이버시 도구 - 개인적인 웹 방문 히스토리 및 임시파일을 삭제하여 개인의 웹 서핑 습관/정보 등을 주기적으로 관리

3. 에이전트 기능 환경 설정 환경설정 - 업데이트 서버 지정(디폴트) - 에이전트 업데이트 시간 지정 - 사용자 알림 기능 제공

3. 에이전트 기능 사용자 정책 편집기 개발 범위 쉬운 설정은 높은/중간/낮음 항목에 대한 체크 포인트를 사용자에게 설명한 후, 슬라이더를 통해 레벨만 지정하면 자동으로 사용자 정책이 카테고리 별로 생성되는 초보자용 편집기이다.

3. 에이전트 기능 사용자 정책 편집 개발 범위 고급편집기능 - 개인 선호 정책을 더 상세히 편집할 수 있도록 항목화 하고 - 이에 대한 자세한 설명을 제공

3. 에이전트 기능 사용자 정책 편집 개발 범위 기본 편집이나 고급 편집에서 편집하고 있는 내용에 대해서 APPEL문법에 대한 XML 소스코드를 확인할 수 있다.

“개인정보 판매 허가제” 도입 에이전트를 통한 프라이버시 보호 P3P 에이전트 도입 효과 “개인정보 판매 허가제” 도입 이르면 2007년부터 통신 사업자들이 개인 정보를 판매 제공하기 위해 정부의 사전 허가를 필요로 하게 된다. 개인 정보 보호 지침을 기계어로 적용. 에이전트를 통한 개인 정보 제공의 적법성 여부를 판단. 에이전트를 통한 프라이버시 보호 사용자가 에이전트를 통해 스스로 정보의 노출 범위를 조절. 개인 정보의 이용 목적을 쉽게 파악할 수 있게 된다. 프라이버시 보호 문제에 대한 기술적 해결

5. 에이전트 향후 발전 방향 한국형 P3P 에이전트로의 특성화 지원 사용자 정책 편집기 기능의 보강 웹 브라우저의 호환성 향후 개발 방향 한국형 P3P 에이전트로의 특성화 지원 국내법적 의무 고지사항 관련 자동화 정책 비교 사용자 정책 편집기 기능의 보강 국내 웹 사이트 유형에 따른 사용자 정책 편집 기능 강화 자동화 템플릿 웹 브라우저의 호환성 웹 브라우저의 호환성 제공 Internet Explorer이외의 웹 브라우저를 위한 프로그램 개발 에이전트를 위한 서버 모듈 개발 각종 로그 수집 및 자동화 서비스를 위한 에이전트 서버 프로그램의 개발

6. P3P 에이전트 시연 시나리오 P3P 에이전트 시연 시나리오 1. 로그인 2. 브라우저 아이콘 3. 브라우저 메뉴 4. 정책 편집기 Admin계정 로그인 5가지 상태를 갖는 사이트 방문 브라우저 아이콘 설명 각 메뉴에 대한 실행 결과 확인 사업자 의무고지사항 확인 정책 생성기를 사용하여 사용자 정책 편집 시연 8. 프라이버시 도구 7. 정책 로그 6. 사이트 관리자 5. 에이전트 메인 프라이버시 도구 설명 사용 및 결과 확인 시연 정책 로그 탭 기능 시연 정책 종합결과 시연 정책 편집 카테고리 설명 사이트 관리자를 통한 부가 정책 편집 시연 에이전트 사용 시연 브라우저 상태 목록 보기 설명 9. 환경설정 환경 설정 기능 설명 사용 및 결과 확인 시연