IoT 디바이스에서 GDPR에 부합하는 개인정보 관리 절차 설계
Design of GDPR Compliant Personal Information Management Procedure in the IoT Devices
이용(독립연구자); 김화종(강원대학교); 이구연(강원대학교)
57권 10호, 6~14쪽
초록
IoT 디바이스는 외부에 설치되어있는 경우가 많고, 공격자에 의한 도난 및 복제위험이 상존함에 따라, 저장되어있는 개인정보의 유출방지를 위한 절차 설계가 필요하다. IoT 디바이스 내에서 개인정보는 생성, 수집, 저장, 처리, 전달, 폐기의 생명주기를 거치게 되므로 단계별 보호 절차가 고려되어야 한다. 이에 본 논문에서는 IoT 디바이스에서 GDPR에 부합하는 개인정보관리방법을 연구하며, 공격자에 의한 도난, 복제 등에 따른 개인정보의 유출을 방지할 수 있도록 생명주기 단계별로 개인정보의 관리 절차를 제안한다. 제안하는 방식에서는 사용자별로 암호키를 사용할 수 있도록 하여 다양한 사용자가 접속하는 IoT 환경에 최적화하였으며, IoT 디바이스가 탈취 또는 복제되더라도 공격자가 개인정보를 얻을 수 없도록 하였다. 이와 같이 본 논문에서 제안된 절차는 GDPR에서 규정하고 있는 개인정보 관리 요건을 충족시키며, 따라서 개인정보를 취급하는 IoT 비지니스 분야의 발전에 크게 기여할 것으로 판단된다.
Abstract
Since IoT devices are often installed externally, and theft and duplication risks from attackers exist, it is necessary to design procedures to prevent leakage of stored personal information in the devices. As personal information is created, collected, stored, processed, delivered, and disposed of within IoT devices, stage-by-state protection procedures should be considered. In this paper, we study personal information management method that meets GDPR in IoT devices, and propose personal information management procedure in each life cycle to prevent leakage of personal information due to theft and duplication by attackers. In the proposed method, the encryption key can be used for each user to optimize the IoT environment so that various users access, and even if the IoT device is stolen or replicated, the attacker cannot obtain personal information. As such, the procedure proposed in this paper satisfies the personal information management requirements set by the GDPR, and therefore, it is expected to contribute to the development of the IoT business field that handles personal information.
- 발행기관:
- 대한전자공학회
- 분류:
- 전자/정보통신공학