유출되면 돌이킬 수 없는 '나'만의 정보
유출되면 돌이킬 수 없는 '나'만의 정보
  • 류승현 기자
  • 승인 2017.09.11 04:20
  • 댓글 0
이 기사를 공유합니다

생체인식 기술과 프라이버시

 

▲ 일러스트| 주재민 전문기자

“오늘부터 제 모든 회의와 전화통화, 이메일 내역은 제 선거구민들과 전 세계에 공개됩니다!” 영화 ‘더 서클’에서 한 국회의원이 발표회에서 한 발언이다. 영화 ‘더 서클’은 전 세계의 사람들이 서로를 일거수일투족 감시하고 일상을 공유하는 세상이 안전하다는 이상향을 그린 영화다. 과연 국회의원은 사생활 없이 모든 것이 공개되는 것이 맞는 걸까. ‘삶의 투명화와 편리함을 위해 프라이버시가 침해돼도 괜찮을까’라는 의문을 영화는 관객에게 던진다. 최근 인증수단들이 생체인식으로 바뀌는 추세다. 사람들은 이로 인한 편리함 외에도 프라이버시 침해와 정보 유출을 걱정한다.

 

사생활과 밀접한 생체정보

 최근 인도 정부는 대규모 생체인증 프로그램인 ‘인디아 스택(India Stack)’을 추진했다. 인디아 스택은 디지털 카드를 만들어 국민 12억 명의 지문과 홍채 정보의 디지털화를 시도한 프로젝트다. 이는 세계 최대 규모의 생체 디지털정보 수집이었다. 인도 정부는 인디아 스택을 통해 생체정보를 민간기업에서 상업적으로 활용이 가능하도록 추진하고자 했다. 인도 정부는 생체정보가 각종 거래의 신뢰성을 담보할 수 있다 이유를 밝혔지만, 인권단체들의 거센 반발에 부딪혔다. 인권단체는 자신의 정보가 개인의 동의 없이 정부에서 제공된다는 점에서 프라이버시 침해라고 주장했다. 오랜 공방 끝에 8월 25일 인도 대법원이 오래도록 인정하지 않았던 프라이버시를 기본권으로 인정해 인도 정부에 제동을 걸었다. 2005년 영국 정부도 생체 주민증을 도입했지만, 2011년 프라이버시 문제로 인해 수집한 데이터를 모두 파괴한 사례가 있다.

 프라이버시는 개인 사생활이나 사적인 일을 남에게 간섭받지 않을 권리를 뜻한다. 생체인식 기술은 프라이버시와 가장 연관이 많은 기술이다. 생체인식정보는 사람 그 자체에 대한 정보로, 기술이 발전함에 따라 사람의 신체 일부만으로 식별이 가능하다. 이런 생체정보는 절도나 해킹이 일어나면 회복 불가능한 심각한 피해를 초래할 수 있다. 김승주(정보보호대학원) 교수는 “생체정보는 한번 유출될 경우 변경이나 복구가 불가능한 고유 정보”라며 “생체정보의 보안과 관리가 다른 정보보다 가장 엄격하게 다뤄져야 하는 이유”라고 말했다.

 미국의 경우 2004년부터 생제인식 정보가 기입된 여권을 소지해야 한다. 이에 미국시민권연맹(ACLU)은 여권을 이용한 추적 자료가 범죄자 추적 외에도 사용 가능해 정부가 잠재적 테러리스트로 간주하는 접근법을 펼친다며 비판했다. 익명성의 상실 또한 개인의 자유를 보장하지 못한다고 문제 제기됐다. 김&장 법률사무소의 조성훈 변호사는 “연구된 논문의 경우 동의를 한 사람들만의 정보를 모아 연구해 편향성이 있을 수 있다는 문제도 제기됐다”며 “이런 사생활 연구에 관련된 문제점들은 활용 측면에서 장애가 될 수 있다”고 말했다.

 

생체정보 법률. 세계적으로 도입 중

 현재 한국은 주민등록증을 제외한 생체정보 수집이 예전부터 금지됐고, 이를 필요로 저장하는 산업군도 매우 드물다. 또한 북한의 사이버테러와 대규모 해킹 사건 등이 지속해서 발생하며 시민들의 프라이버시에 대한 민감도가 높은 편이다. 2015년 2월에는 생체인식 정보를 개인정보보호 대상으로 지정하고, 이를 암호화시켜 보관하도록 하는 ‘개인정보보호 통합법’이 발의됐다. 유럽연합(EU)은 1995년 발의된 ‘개인정보지침’을 2016년 ‘개인정보보호규칙’으로 대체하면서 생체정보의 개념을 포함시켰다. 일본의 경우 생체정보를 법령에 도입하진 않았지만 개인정보의 하나로 인정해 개인정보 보호체계를 적용하고 있다. 하지만 아직까지 세계적으로 생체정보의 유출 시 따로 마련된 보안책은 없다. 2016년 3월 금융보안원이 발표한 자료에 따르면 △실리콘 위조지문 제작 △독일 해커단체 CCC의 푸틴 러시아 대통령 홍채 복사 △미국 에너지국 직원 정보 해킹 등 생체 정보 위조와 유출 사례는 국내외로 빈번하게 발생 중이다. 국회 입법조사처에 따르면 현재 국내에서 생체정보 보호에 대한 직접적개별적으로 규율하는 법률은 없다. 정부의 가이드라인도 2005년 제정되고 2007년 이후 개정되지 않은 ‘바이오정보 보호 가이드라인’이 전부다. 조성훈 변호사는 “전자서명법 3조에서 공인전자서명의 경우 ‘*부인방지 추정’이 있는데 생체정보에 대해서는 인정이 안 된다”며 “이 점은 법적 문제가 일어났을 경우 상당한 문제가 될 수 있다”고 설명했다.

 

차후 법률 용어부터 확립돼야

 법무법인 민후 김경환 변호사는 국내 법률에서 가장 큰 문제는 통일되지 않은 용어라고 말했다. 김경환 변호사는 “전자금융법에서는 ‘생체정보’라고 지칭하지만, 비금융권에서는 ‘바이오정보’라고 지칭한다”며 “각 영역에서 같은 대상을 다르게 호칭할 이유가 없는데 혼란만 야기하고 있다”고 말했다. 또한 생체정보(biometrics)와 생체인식정보(biometric data)의 용어 구별도 필요하다. 국제생체인식협회(IBIA)와 미국 국가과학기술위원회(NTSC)에 따르면 생체정보는 자동인식에 사용될 수 있는 생물학적 또는 행동적 특징이지만, 생체인식정보는 식별 또는 인증 등의 자동인식 과정에서 생성되는 원본정보, 특징정보 등 모든 형태의 정보다. 유럽 개인정보보호규정(EU GDPR) 또한 제 4.14조에서 간접적으로 이 둘을 구별한다. 두 용어를 구분하지 않으면 보안조치의 상향화가 많은 문제를 낳을 수도 있다. 생체정보는 일반적인 개인정보로 취급해도 되지만, 생체인식정보는 민감정보 또는 그 이상의 보호를 받는 것이 타당하다. 이처럼 생체관련정보는 개념은 인정됐으나, 고유의 통일된 규율체계도 없어 용어에 혼란이 발생한다.

 위조 기술의 발전에 따라 생체정보에 대한 보안성 강화도 필연적이다. 현재 국내 법률에선 생체정보(바이오정보)를 일반적인 개인정보와 동등하게 취급한다. 김경환 변호사는 “고유성의 측면에서 변경이 원천적으로 불가능한 생체정보를 일반적인 개인정보와 동등하게 취급하는 것은 옳지 않다”며 “생체정보 규정의 강화가 필요하다”고 말했다. 생체정보를 별도로 규정할 경우 생체정보 활용 서비스를 설계하는 단계부터 사생활 보호 문제를 반영토록 하는, 보다 안전한 관리가 가능하다. 암호화로만 보안조치가 마련된 생체인식정보의 규정도 상향화가 필요하다. 적어도 원본정보 파기, 원본정보 및 특징정보의 분리보관 등 최소한의 보안조치 규범화가 요구된다.

 생체정보 이용은 기술의 발전에 따라 증가할 수밖에 없는 추세다. 하지만 이로 인한 피해 방지는 이처럼 제대로 마련되지 않았다. 조성훈 변호사는 “사생활 문제는 모든 사람이 알고 있다”며 “이 문제를 해결할 방법을 법률 전문가들이 함께 고려해야한다”고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.