법제도/정책

홍채·지문 등 생체정보 관리 대폭 강화된다…정부 ‘가이드라인’ 발표

최민지

[디지털데일리 최민지기자] 방송통신위원회(위원장 이효성)와 한국인터넷진흥원(원장 김석환)은 지문‧홍채 등 바이오정보가 스마트폰 잠금해제, AI 음성비서 등으로 활용이 증가함에 따라 ‘바이오정보 보호 가이드라인’을 마련‧시행한다고 12일 밝혔다.

바이오정보는 신원확인 용도로 널리 쓰이고 있으나 유출 때 변경이 어려워 지속적으로 악용될 수 있고, 인종‧병력 등 부가적인 정보가 추출될 우려도 있어 보호의 필요성이 큰 개인정보다.

그간 바이오정보는 현행 정보통신망법상 개인정보 관련 법령 및 고시에 따라 일반 개인정보로서 보호되고 있었으나 암호화 저장 이외에는 명시적인 규정이 부재했다. 이에, 가이드라인을 통해 바이오정보 보호를 위해 필요한 6대 보호원칙과 기술적‧관리적 보호조치를 제시하고자 했다.

우선, 가이드라인은 바이오정보 개념을 지문, 홍채, 음성, 필적 등 개인의 신체적‧행동적 특성에 관한 정보로서 개인을 인증 또는 식별하기 위해 기술적으로 처리되는 개인정보로 명확히 규정했다.

'기술적 처리'란 센서 입력장치 등을 통해 이미지 등 원본 정보를 수집·입력하고 해당 원본 정보로부터 특징점을 추출하는 등 개인을 인증 또는 식별하기 위해 전자적으로 처리되는 전 과정을 말한다.

이에 바이오정보는 인증 또는 식별 목적으로 입력장치 등을 통해 수집·입력된 ‘원본정보’와 그로부터 특징 값을 추출해 생성된 ‘특징정보’로 구분된다. 사진 등은 특정 개인을 식별 또는 인증하기 위해 기술적으로 처리되는 경우에 한해서만 바이오정보에 해당한다.

가이드라인 적용 대상 사업자에는 바이오정보를 직접 처리하는 정보통신서비스 제공자뿐 아니라 바이오정보를 직접 처리하지 않지만 인증결과 값 등을 전송받는 사업자, 스마트폰 등 기기 제조업자, 바이오정보가 활용되는 앱 개발자 등으로 확대했다.

2007년 정보통신부에서 마련한 ‘바이오정보 보호 가이드라인’은 출입통제 시스템을 운영하는 일반 기업 중심으로 규정했으나 변화된 정보통신환경을 반영하여 현행화한 것이다.

이번에 제시된 바이오정보 6대 보호원칙은 ▲비례성 원칙 ▲수집‧이용 제한의 원칙 ▲목적제한의 원칙 ▲통제권 보장의 원칙 ▲투명성 원칙 ▲바이오정보 보호 중심 설계 및 운영 원칙이다.

비례성 원칙의 경우, 사업자는 바이오정보 활용에 따르는 위험과 예상 편익을 비교해 수집‧이용 여부를 판단하고, 서비스 도입 때 바이오정보의 종류별 특성을 고려해 침해 위험을 최소화할 수 있는 바이오정보를 선택해야 한다.

또한, 사업자는 바이오정보의 수집·이용 목적, 항목, 보유기간을 이용자에게 명확히 알리고 동의 받아야 한다. 특징정보 생성 후 원본정보는 원칙적으로 파기해야 한다. 원본정보를 파기하지 않으려면 그 이유(목적) 및 보유기간을 별도로 고지 후 동의를 받아야 한다.

이와 함께 인증 또는 식별 목적으로 이용자에게 동의 받은 바이오 정보를 무단으로 질병검사 등 다른 목적으로 활용해서는 안 된다. 바이오정보를 다른 목적으로 활용하기 위해서는 이용자의 사전동의 등 적법한 절차를 따라야 한다.

이용자는 자신의 바이오정보를 쉽게 수정하거나 삭제할 수 있도록 기기나 웹‧앱 등을 통한 통제방법을 제공해야 한다. 아동 등 바이오정보 제공을 원하지 않거나 신체적 장애가 있는 경우 등을 대비해 비밀번호 등의 대안을 마련하는 것이 바람직하다.

아울러, 바이오정보 보호에 관한 사항을 이용자에게 적극적으로 안내하고 이용자의 문의 등을 처리하기 위한 피해구제 기능을 마련·운영해야 한다. 바이오정보 보호 중심 설계 및 운영 원칙이다. 바이오정보를 활용한 서비스의 개발‧설계 단계부터 이용자의 바이오정보를 보호할 수 있는 기본 값 설정 등 방안을 고려하도록 권고한다.

또한 바이오정보를 서버로 전송해 대량으로 처리하려면 바이오정보 침해 예방을 위해 개인정보 영향평가를 실시할 것을 권고한다.

가이드라인은 바이오정보의 유출, 위변조 등을 방지하기 위해 처리단계별로 필요한 기술적‧관리적 보호조치도 소개하고 있다.

수집‧입력 단계에서는 실리콘 인공지문 등 위‧변조된 바이오정보가 처리되지 않도록 적절한 보안조치를 취하고, 바이오정보가 암호화 저장되기 전까지 유출되지 않도록 전송구간을 암호화해야 한다.

저장·이용 단계에서는 원본정보와 특징정보 모두를 안전한 알고리즘으로 암호화해 저장해야 한다. 바이오정보를 서버로 전송하는 경우 유출 피해 범위가 커질 수 있으므로 기기 내 안전한 영역에서 처리하는 방식을 우선적으로 고려해야 한다.

원칙적으로 원본정보는 특징정보 생성 때 그 목적이 달성된 것으로 볼 수 있으므로 지체 없이 파기하도록 했다. 예외적으로 이용자의 별도의 동의를 받아 원본정보를 이용하는 경우 해당 이용자의 다른 개인정보와 분리하여 별도로 저장‧관리 하도록 권했다.

이효성 방송통신위원회 위원장은 “최근 기술 발전에 따라 지문‧홍채 등 바이오정보가 비밀번호 대체수단 이외에도 AI 스피커 등 새로운 서비스에도 활용되고 있는 상황에서 가이드라인은 바이오정보의 특성에 맞춘 구체적인 법령 해석 기준과 사업자가 자율적으로 준수할 수 있는 보호원칙 등을 제시했다”며 “가이드라인을 통해 국민이 안심하고 지문‧홍채 등을 활용한 서비스를 이용할 수 있는 토대가 마련되길 바란다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널