생체정보 처리후 파기, 정보 암호화해 전송 및 보관 명시

[일간투데이 홍정민 기자] 최근 지문이나 홍채 등 '바이오 정보'를 통해 개인의 신원을 확인하는 경우가 늘어나고 있다. 하지만 이런 바이오 정보는 사용이 편리하나, 유출될 경우 변경 등이 어려워 악용될 가능성이 높다는 우려도 존재한다.

이에 방송통신위원회(이하 방통위)는 한국인터넷진흥원(KISA)과 '바이오 정보 보호 가이드라인'을 13일 공개했다고 밝혔다.

이 가이드라인은 지문이나 홍채 등의 원본 정보를 처리한 후 이를 원칙적으로 파기토록 하고, 모든 구간에서 바이오 정보를 암호화해 전송하고 보관토록 명시했다. 바이오 정보는 '지문, 홍채, 음성, 필적 등 개인의 신체적·행동적 특성에 관한 정보로서 개인을 인증 또는 식별하기 위하여 기술적으로 처리되는 개인정보'로 법적 개념을 명확히 규정했다.

적용 대상 사업자로는 바이오 정보를 직접 처리하는 정보통신 서비스 제공자뿐 아니라, 바이오 정보를 직접 처리하지는 않으나 인증결과 값 등을 전송받는 사업자, 스마트폰 등 기기 제조업자, 바이오 정보가 활용되는 앱을 개발하는 개발자 등도 포함된다.

가이드라인은 대상 사업자들이 지켜야 할 일반적 '6대 원칙'으로 ▲비례성 ▲수집·이용 제한 ▲목적 제한 ▲통제권 보장 ▲투명성 ▲바이오 정보 보호 중심 설계 및 운영 등을 제시하고 있다. 또한 바이오 정보의 유출, 위변조 등을 방지하기 위해 사업자가 처리단계별로 취해야 할 구체적 기술적·관리적 보호조치도 명시했다.

수집·입력 단계에서 관리자가 실리콘 인공지문 등 위·변조된 바이오 정보가 처리되지 않도록 적절한 보안조치를 취하고, 바이오 정보가 암호화 저장되기 전까지 유출되지 않도록 전송구간을 암호화해야 한다.

저장·이용 단계에서는 원본정보와 특징정보 모두 안전한 알고리즘으로 암호화해 저장한다. 이밖에 바이오 정보를 서버로 전송하는 경우에는 유출 피해 범위가 커질 수 있으므로, 기기 내 안전한 영역에서 처리하는 방식을 우선적으로 고려해야 한다.

파기 단계에서 원본정보는 특징정보 생성 시 그 목적이 달성된 것으로 볼 수 있기에 지체 없이 원본정보를 파기토록 했다. 다만 예외적으로 이용자의 별도 동의를 받아 원본정보를 이용하는 경우, 해당 이용자의 다른 개인정보와 분리해 별도로 저장·관리토록 권고했다.

이효성 방통위원장은 "최근 기술 발전에 따라 지문·홍채 등 바이오 정보가 비밀번호 대체수단으로 쓰일 분만 아니라 AI스피커 등 새로운 서비스에도 활용되고 있다"며, "국민이 안심하고 서비스를 이용할 수 있도록 바이오 정보의 특성에 맞춘 구체적인 법령 해석 기준과 사업자가 자율적으로 준수할 수 있는 보호원칙 등을 제시했다"고 전했다.
저작권자 © 일간투데이 무단전재 및 재배포 금지