실리콘으로 만든 인공 지문, 녹음된 음성, 캡처된 얼굴이나 홍채 사진 등 위·변조된 바이오정보로 뚫리는 서비스나 기기를 애초에 만들지 못하도록 하는 정부 가이드라인이 나왔다. 바이오정보 수집, 입력 시 전송구간을 암호화하고 원본 정보는 파기해야 한다는 내용도 가이드라인에 담겼다.
12일 방송통신위원회와 한국인터넷진흥원(KISA)은 최근 바이오정보가 유출되거나 위변조 되는 사례가 발생하면서 이에 대한 우려가 높아지는 가운데 바이오정보 보호와 안전한 활용을 위해 '바이오정보 보호 가이드라인'을 발표했다.
우선 가이드라인은 바이오 정보를 지문, 홍채, 음성, 필적 등 개인의 신체나 행동의 특징에 대한 정보로서 개인을 인증하거나 식별하기 위해 기술적으로 처리되는 개인정보로 규정했다. 바이오정보는 인증이나 식별 목적으로 입력장치 등을 통해 수집·입력된 ‘원본정보’와 그로부터 특징값을 추출해 생성된 ‘특징정보’로 구분한다. 사진 등은 특정 개인을 식별 또는 인증하기 위해 기술적으로 처리되는 경우에 한해서만 바이오정보로 인정한다.
가이드라인 적용 대상 사업자는 정보통신서비스 제공자 뿐 아니라 바이오정보를 직접 처리하지 않지만 인증결과 값 등을 전송받는 사업자, 스마트폰 등 기기 제조업자, 바이오정보가 활용되는 앱 개발자 등으로 확대했다.
바이오정보는 개인의 고유한 신체 정보를 활용해 보안성과 편리성이 높지만 한번 유출될 경우 변경이 어려워 지속적으로 사용할 수 없다는 단점이 있다. 최근 위조된 실리콘 지문이나 얼굴, 홍채사진 등을 이용해 스마트폰을 잠금해제하는 장면 등이 인터넷에 공개되면서 정보 유출에 대한 우려를 낳았다.
이에 방통위는 사업자가 개인 식별, 인증에 바이오정보를 활용하려 할 경우 최소한의 정보를 수집할 것을 강조했다. 바이오정보의 수집·이용 목적, 수집하는 정보의 항목과 보유기간 등을 이용자에게 알리고 동의를 구해야 하며 사생활을 침해할 우려가 있는 개인정보는 추출은 물론 수집, 이용되지 않게 하는 것도 사업자의 몫이다.
기기 제조사나 운영체제(OS) 사업자는 이용자가 해당 기기나 웹, 앱 등을 통해 바이오정보를 수정하거나 삭제할 수 있도록 해야 한다. 예컨대 인공지능(AI) 스피커 이용자의 경우 웹페이지나 앱을 통해 바이오정보를 수정하거나 삭제할 수 있는 통제수단을 마련해야 한다는 것.
기술적으로는 서비스 개발, 설계 단계에서부터 이용자의 바이오정보 보호를 고려할 것을 권고했다. 특징정보가 생성될 경우 원본정보는 자동으로 삭제되도록 기본값을 설정하거나 바이오정보의 전송을 최소화하도록 설계하는 것 등이 그 예다.
가이드라인에는 수집에서부터 저장, 이용 후 파기되는 전 과정에 대한 보안 지침도 담겼다. 원칙적으로 원본정보는 특징정보 생성 시 지체없이 복구 또는 재생되지 않게 파기해야 한다. 실리콘 인공지문, 녹음된 음성, 캡처된 얼굴·홍채사진 등과 같이 위·변조된 바이오정보가 수집·입력될 경우, 이를 탐지하고 서비스 이용을 거부할 수 있도록 조치하는 것이 바람직하다는 입장이다.
안전한 알고리즘으로 바이오정보를 암호화해 저장하거나 스마트카드나 보안토큰 등 이용자가 직접 소지할 수 있는 매체에 바이오정보를 저장토록 해야 한다는 점도 권고했다.
김지민 기자 dandi@mt.co.kr
<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
