제한된 장소 출입 시 암호를 입력하는 대신 홍채나 얼굴 인식으로 본인을 인증하는 장면은 예전에는 SF영화에서나 볼 수 있었던 장면인데요. 최근 관련 기술의 빠른 발전으로 안면인식, 지문인식, 홍채인식 등은 이제 실생활에서 흔히 사용되는 기술이 되었습니다.
이와 함께 이러한 기술을 가능하게 만드는 생체정보의 활용도 급증하게 되었는데요.
오늘 브런치에서는 생체정보 관련 개인정보 이슈 및 개인정보보호위원회에서 발간한 ‘생체정보 보호 가이드라인' 내용을 중심으로 생체인식정보 처리 시 개인정보 관련 주의가 필요한 사항에 대해 살펴보도록 하겠습니다.
생체정보(생체인식정보)란?
21년 9월에 발표된 개인정보보호위원회의 「생체정보 보호 가이드라인」에 따르면, 생체정보는 일반적인 생체정보와 특정 개인을 인증, 식별할 목적으로 처리되는 ‘생체인식정보'로 나눌 수 있습니다.
생체인식정보는 다시 ‘생체인식 원본정보’와 원본정보에서 일정한 기술적 수단을 통해 생성되는 ‘생체인식 특징정보'로 분류할 수 있습니다.
개인정보보호법 시행령 제18조에서 “개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보" 를 민감정보 중 하나로 규정하고 있으며, 이러한 정의에 따라 ‘생체인식정보’ 중 ‘생체인식 특징정보'는 민감정보에 해당합니다.
생체정보(생체인식정보 포함) 처리 시 준수사항
일반적인 생체정보는 개인정보에 해당하기 때문에 처리 시 정보주체로부터의 동의, 안전성 확보조치 등 개인정보 처리 시 적용되는 일반적인 법적 의무사항을 준수하여 처리해야 합니다.
‘생체인식정보'의 경우, ‘개인정보 안전성 확보조치 기준' 고시에 따라 암호화 대상에 해당하기 때문에 암호화하여 저장이 필요합니다. 또한 생체인식정보 중 ‘생체인식 특징정보'의 경우, 현행법상 민감정보에 해당하기 때문에 수집 시 기타 개인정보와는 별도로 민감정보 처리에 대한 정보주체의 동의를 받아야 합니다.
21년 9월 발표된 개인정보보호위원회의 ‘생체정보 보호 가이드라인'에서는 ‘생체인식정보'를 처리하는 개인정보처리자의 의무를 규정하고 있습니다.
가이드라인의 주요 보호조치 내용을 살펴보면, 첫 번째로 (1)생체정보 처리 시 위∙변조된 생체인식정보에 대한 대책을 마련해야 합니다.
최근 실리콘 인공지문, 캡처된 얼굴∙홍채사진, 위∙변조된 생체인식정보를 이용한 해킹 사례가 지속적으로 발생하고 있는데요. 이에 따라 위∙변조 탐지 기술 관련 프레임워크 등의 내용을 참고하여 위변조를 탐지할 수 있는 알고리즘을 적용하여 해킹 방지를 위한 대책을 마련할 것을 권장하고 있습니다.
또한 (2)이용자가 자신의 생체인식정보를 통제할 수 있는 수단을 마련해야 합니다. 이용자가 보유한 기기 또는 서비스(앱/웹)에서 생체인식정보를 손쉽게 등록, 수정 및 삭제할 수 있는 기능을 제공해야 합니다.
(3)수집∙입력 단계에서는 생체인식정보를 단말에서 처리하는 것이 권장됩니다. 가이드라인 내용에 따르면 생체인식정보를 서버로 전송하여 침해사고 발생 시 피해 범위가 커질 우려가 있기 때문에 생체인식정보를 수집∙입력하는 단계에서는 서버로 전송하지 않고 단말에서 저장∙처리하는 방식을 우선적으로 고려해야 합니다.
마지막으로 (4)생체인식정보의 원본정보는 분리하여 보관하는 것이 권장됩니다. 특징정보 생성 후 원본정보를 파기하지 않고 보관하는 경우, 원본정보 유출에 따른 피해를 최소화하기 위해 다른 개인정보와 분리하여 보관이 필요합니다. 물리적 분리를 원칙으로 하되, 불가피한 경우 논리적으로 분리하여 보관할 수 있습니다.
가이드라인 <부록3> 내용에 따르면, 생체인식정보가 아닌 일반적인 생체정보의 경우에도 개인정보 침해 위험성이 크기 때문에 전송구간 암호화 / 저장 시 암호화 / 보관 시 기타 개인정보와 분리보관 등과 같은 보호조치를 적용할 것을 권장하고 있습니다.
생체정보 관련 입법 동향
올해 8월에 발표된 입법조사처의 ‘생체정보의 안전한 활용을 위한 입법 과제' 보고서(링크)에서는 생체정보의 활용이 크게 증가하고 있음에도 불구하고 미국이나 유럽과 같은 국가보다 관련 법적 기반이 미흡하다는 점을 지적하고 있습니다. 현재 국회에 민감정보의 유형으로 생체인식정보를 대통령령이 아닌 법률에 명시해야 한다는 내용과 안면인식정보 처리를 제한하는 개정안이 발의되어 있다고 합니다.
그 외에도 생체인식정보 처리 관련 규율을 개인정보보호법이 아닌 미국 일리노이주에서 채택한 ‘생체정보 관련 법률(BIPA, Biometric Information Privacy Act)’과 같이 별도 법률을 마련하여 규제해야 한다는 의견도 있으며, 현재 가이드라인의 권장사항을 법령 등으로 상향하는 방안도 고려되고 있다고 합니다. 생체정보의 중요성이 늘어나는 사회적 분위기에 따라 관련 법적 규제도 더 강화될 것으로 예상됩니다.
카카오는 앞으로도 kakaoprivacy 브런치를 통해 다양한 주제의 개인정보보호 관련 소식 및 정보를 전달드리도록 하겠습니다. 감사합니다.