혁신적인 기술의 발전으로 사물인터넷(IoT)이 구현되면서 초연결사회에 들어서게 되었다. 사물인터넷은 시간과 장소에 구애 받지 않고 모든 사물에 연결되는 인터넷을 뜻한다. 이와 같은 정보통신 기술의 발전은 다양한 분야에서 정보의 수집 및 처리를 통한 다양한 활용을 가능하게 하였다. 예컨대, 사물인터넷은 스마트폰을 포함한 개인의 웨어러블 기기부터 스마트카, 스마트팜, 원격의료 등 다양한 산업분야의 생산성 및 공공분야에서 정보 운용의 효율성을 증대시킬 수 있다. 인간의 개입 없는 인터넷 환경의 변화는 모든 분야에 광범위하게 적용될 수 있기 때문에 정보의 보호와 보안 문제가 심각하게 대두 될 수 있다. 다양한 산업분야에서 이용되는 사물인터넷의 정보보안이 철저하지 않으면 정보의 유출 문제뿐만 아니라 인명피해까지 발생 할 수 있다. 우리나라는 정보를 보호하기 위하여 「국가정보화 기본법」, 「정보통신산업 진흥법」, 「정보통신기반 보호법」, 「정보통신 진흥 및 융합 활성화 등에 관한 특별법」, 「전자금융거래법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, 「개인정보 보호법」, 「위치정보의 보호 및 이용 등에 관한 법률」 등을 규정하고 있다. 그러나 앞의 법률들에서 정보보호(Data Protection)와 정보보안(Information Security)을 구체적으로 구분하고 있지 않기 때문에 정보보안에 관한 구체적인 의무 및 책임에 대한 명확한 주체와 기준을 마련하지 못하고 있다. 정보보호는 정보의 가치를 보호하기 위한 행위이다. 한편 정보보안은 정보의 처리 과정 중 정보가 훼손․변조․유출 되는 것 등을 방지하기 위한 관리적․기술적 수단이다. 본고에서는 사물인터넷의 특징을 살펴보고 ‘정보보안’의 필요성과 관련 법률의 문제점을 검토할 것이다. 이에 대하여 정보보안의 불명확한 기준을 구체화하기 위한 방안을 논하여본다. 먼저 정보보안 주체인 사업자의 법적 지위를 명확히 해야 한다. 둘째, 사물인터넷 특성에 따른 당대의 기술 수준을 반영한 보안 기준을 마련해야 한다. 셋째, 이용자의 보안의무를 부과할 필요성이 있다. 마지막으로 사물인터넷의 공공성에 따른 국가의 보안 책무에 대하여 논하고자 한다.

By the innovative development and realization of Internet of Things (IoT) the world is now experiencing the advent of hyper-connected society. The IoT represents the internet that connects every objects, regardless of time and space. Such development in information and communication technology has enabled the information acquisition and processing in various fields. For example, the IoT can enhance productivity in various fields of industry, including personal wearable devices such as smart phones, smart cars, smart farms, and telemedicine, as well as maximize efficiency of information utility in public services. As the change in unmanned internet environment can be applied in every fields surrounding people's life, the issue of information protection and security can be serious case. Without thoroughgoing information security system in various fields of industry, the problem might be occurred not only in information leakage, but also human life casualty. The Republic of Korea government declares a series of laws and frameworks for information protection, including “Framework Act on National Information,” “Information and Communications Technology Industry Promotion Act”, “Act on the Protection of Information and Communications Infrastructure,” “Special Act on Information and Communications Promotion, Convergence, etc,” “Electronic Financial Transactions Act,” “Act on Promotion of Information and Communications Network Utilization and Information Protection, etc,” “Personal Information Protection Act,” and “Act on the Protection, Use, etc.” of Location Information. But there are issues concerning concrete responsibility, liability and standards on information security, for the laws presented do not discriminate data protection from information security. Concerning protecting the value of data, Data protection is an action. However information security is a series of managerial and technical means in order to prevent information from damage, falsification, and leakage during the processing progress. This paper aims to investigate the characteristic of the IoT, and evaluate the necessity of information security and flaws of concerning laws. This paper discusses on the methods to specify the currently ambiguous standards of information security. First, the legal stance of licensee, the subject of information security, must be clearly declared. Second, the security standard reflecting the current technology level regarding the characteristics of th IoT must be provided. Third, the responsibility of security must be imposed to the user. Lastly, the security responsibility of the nation concerning the public nature of the IoT must be discussed.

Internet of Things (IoT), Information Security, Security Liability, Personal Information Protection, The State of the Art, Hyper-connected Society