생체정보 처리후 파기, 정보 암호화해 전송 및 보관 명시
이 가이드라인은 지문이나 홍채 등의 원본 정보를 처리한 후 이를 원칙적으로 파기토록 하고, 모든 구간에서 바이오 정보를 암호화해 전송하고 보관토록 명시했다. 바이오 정보는 '지문, 홍채, 음성, 필적 등 개인의 신체적·행동적 특성에 관한 정보로서 개인을 인증 또는 식별하기 위하여 기술적으로 처리되는 개인정보'로 법적 개념을 명확히 규정했다.
적용 대상 사업자로는 바이오 정보를 직접 처리하는 정보통신 서비스 제공자뿐 아니라, 바이오 정보를 직접 처리하지는 않으나 인증결과 값 등을 전송받는 사업자, 스마트폰 등 기기 제조업자, 바이오 정보가 활용되는 앱을 개발하는 개발자 등도 포함된다.
수집·입력 단계에서 관리자가 실리콘 인공지문 등 위·변조된 바이오 정보가 처리되지 않도록 적절한 보안조치를 취하고, 바이오 정보가 암호화 저장되기 전까지 유출되지 않도록 전송구간을 암호화해야 한다.
저장·이용 단계에서는 원본정보와 특징정보 모두 안전한 알고리즘으로 암호화해 저장한다. 이밖에 바이오 정보를 서버로 전송하는 경우에는 유출 피해 범위가 커질 수 있으므로, 기기 내 안전한 영역에서 처리하는 방식을 우선적으로 고려해야 한다.
파기 단계에서 원본정보는 특징정보 생성 시 그 목적이 달성된 것으로 볼 수 있기에 지체 없이 원본정보를 파기토록 했다. 다만 예외적으로 이용자의 별도 동의를 받아 원본정보를 이용하는 경우, 해당 이용자의 다른 개인정보와 분리해 별도로 저장·관리토록 권고했다.
이효성 방통위원장은 "최근 기술 발전에 따라 지문·홍채 등 바이오 정보가 비밀번호 대체수단으로 쓰일 분만 아니라 AI스피커 등 새로운 서비스에도 활용되고 있다"며, "국민이 안심하고 서비스를 이용할 수 있도록 바이오 정보의 특성에 맞춘 구체적인 법령 해석 기준과 사업자가 자율적으로 준수할 수 있는 보호원칙 등을 제시했다"고 전했다.
홍정민 기자
jmhong04@naver.com