바이오 인증은 양날의 검... 기업은 개인의 프라이버시 존중 필요
기업 서버에 신체 정보 모두 저장하는 것보다 엔드포인트에서 처리해야
▲ 고객의 소중한 신체 정보, 꼭 움킬게요
[보안뉴스 문가용] 기업들의 관리 부실이나 해커들의 뛰어난 실력으로 고객 정보가 대량으로 유출되었다는 것 자체만으로도 소비자들에겐 큰 타격인데, 요즘 바이오 인식 때문에 기업들마저 무차별적으로 신체 정보를 수집하고 있어 문제가 불거지고 있다. 해킹 사고가 줄어들지 않는 가운데 이런 일들이 일어난다는 건 이제 내 신체 정보도 여기저기 유포된다는 뜻이기 때문이다.
암호와 달리 생체/신체 정보는 사용자가 마음대로 바꿀 수 있는 것도 아니고, 영구적인 것도 많아 같은 정보유출이라도 암호가 유출되는 것과는 무게감이 다르다. 그러나 이건 소비자의 입장이고, 아직 기업들은 신체 정보에 대한 프라이버시 문제를 심각하게 생각하고 있지 않은 듯 하다.
정책을 담당하는 공무원들도 바이오 인증 기술을 뒤쫓기에만 급급하지 프라이버시에 대한 문제를 다룰 여유가 없어 보인다. 유럽연합과 캐나다, 아시아 일부 국가들은 신체 정보의 수집을 어느 정도 금지시키고 있는 것이 다다. 하지만 신체 정보에 대한 탈취가 좀 더 빈번해지고 있고, 그에 따라 사람들의 관심도가 높아지면 - 이미 그렇게 되고 있지만 - 좀 더 유연한 정책이 반드시 필요하게 될 것이다.
이런 주제로 최근 PwC 리갈(PwC Legal)과 녹녹 랩스(Nok Nok Labs)에서 연구 및 조사를 실시해 오늘 보고서를 발표했다. “이미 미국에서는 대량의 신체 정보가 유출된 사건이 있었죠. 바로 미국 인사관리처(OPM) 해킹 사건입니다. 이때 5백 6십만여 명의 지문 정보가 해커의 손에 들어갔습니다. 물론 그로 인한 추가 피해 사례가 있던 건 아닙니다만, 중요한 건 신체 정보를 대중들로부터 수집하는 기관들에게 아직 충분한 보안 방책이 마련되지 않았다는 겁니다. 국가 기관이든 사기업이든 말이죠.” PwC와 녹녹의 설명이다.
또한 보고서는 신체 정보 수집 및 활용 기술이 발전함에 따라 소비자들에게 불리한 조건도 늘어난다고 주장한다. “여태까지 신체 정보를 수집하려면 당사자가 ‘내 신체 정보가 수집되고 있다’는 사실을 알 수밖에 없었어요. 지문이나 홍채, 안면을 기계를 통해 인식하려면 당사자가 기계와 아주 가까운 곳에 있어야만 했기 때문입니다. 하지만 음성 인식이란 기술도 나오고, 영상 분석 장비도 빠르게 발전하고 있어, 이제는 사용자가 전혀 모르는 상태에서 신체 정보를 수집할 수 있게 되었습니다.”
즉, 소비자들의 신체 정보를 활용하기로 한 기업들이 별 다른 통보 없이 고객들의 신체 정보를 수집할 기반이 마련되어 있다는 것이다. 그러므로 기업들은 개인의 프라이버시에 대한 문제를 보다 심각하게 고민해야 하고, 정보 수집을 투명하게 할 필요가 있다. 정보 수집의 투명함이란 어떤 정보가 어떤 방식으로 수집되며 어디에 어떻게 저장되는지를 알리는 것을 말한다. 또한 당사자의 요청에 따라 신체 정보를 아예 삭제할 기반도 마련해야 한다.
PwC 리갈은 “신체 정보 저장에 대한 우려와 잠재적인 문제들은 ‘기업 서버에 저장된 상황’을 전제로 한다”며 “신체 정보를 확인할 수 있는 인프라를 기기들에 구축하면 해결 될 우려 사항”이라고 설명한다. 즉 보안에 있어 큰 장점을 가지고 있는 신체 정보를 활용하되 그 통제권을 사용자에게 일부 양도해야 한다는 뜻이다. “기업이 모든 정보를 저장하는 게 아니니 대형 유출 사고의 위험도 줄어들죠.”
물론 사용자가 가지고 있는 각 기기에 바이오 인식 인프라를 적용했을 때의 리스크가 없는 건 아니다. “엔드포인트에 대한 공격이 적은 것도 아니고, 어쩌면 서버를 공격하는 것보다 쉬울 수도 있습니다. 또한 한 번 공격에 성공하면 피해자 한 사람에 대해서는 보다 많은 것들을 캐갈 수 있게 되죠.”
암호의 몰락 이면에 떠오르는 신체 정보 혹은 바이오 인증은 더 높은 보안성과 더 높은 위험성 모두를 가져오고 있다. 프라이버시에 대한 보다 명확한 정의와 고민, 민감한 정보를 투명하게 다룬다는 것에 대한 가이드라인이 필요하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
기업 서버에 신체 정보 모두 저장하는 것보다 엔드포인트에서 처리해야
▲ 고객의 소중한 신체 정보, 꼭 움킬게요
[보안뉴스 문가용] 기업들의 관리 부실이나 해커들의 뛰어난 실력으로 고객 정보가 대량으로 유출되었다는 것 자체만으로도 소비자들에겐 큰 타격인데, 요즘 바이오 인식 때문에 기업들마저 무차별적으로 신체 정보를 수집하고 있어 문제가 불거지고 있다. 해킹 사고가 줄어들지 않는 가운데 이런 일들이 일어난다는 건 이제 내 신체 정보도 여기저기 유포된다는 뜻이기 때문이다.
암호와 달리 생체/신체 정보는 사용자가 마음대로 바꿀 수 있는 것도 아니고, 영구적인 것도 많아 같은 정보유출이라도 암호가 유출되는 것과는 무게감이 다르다. 그러나 이건 소비자의 입장이고, 아직 기업들은 신체 정보에 대한 프라이버시 문제를 심각하게 생각하고 있지 않은 듯 하다.
정책을 담당하는 공무원들도 바이오 인증 기술을 뒤쫓기에만 급급하지 프라이버시에 대한 문제를 다룰 여유가 없어 보인다. 유럽연합과 캐나다, 아시아 일부 국가들은 신체 정보의 수집을 어느 정도 금지시키고 있는 것이 다다. 하지만 신체 정보에 대한 탈취가 좀 더 빈번해지고 있고, 그에 따라 사람들의 관심도가 높아지면 - 이미 그렇게 되고 있지만 - 좀 더 유연한 정책이 반드시 필요하게 될 것이다.
이런 주제로 최근 PwC 리갈(PwC Legal)과 녹녹 랩스(Nok Nok Labs)에서 연구 및 조사를 실시해 오늘 보고서를 발표했다. “이미 미국에서는 대량의 신체 정보가 유출된 사건이 있었죠. 바로 미국 인사관리처(OPM) 해킹 사건입니다. 이때 5백 6십만여 명의 지문 정보가 해커의 손에 들어갔습니다. 물론 그로 인한 추가 피해 사례가 있던 건 아닙니다만, 중요한 건 신체 정보를 대중들로부터 수집하는 기관들에게 아직 충분한 보안 방책이 마련되지 않았다는 겁니다. 국가 기관이든 사기업이든 말이죠.” PwC와 녹녹의 설명이다.
또한 보고서는 신체 정보 수집 및 활용 기술이 발전함에 따라 소비자들에게 불리한 조건도 늘어난다고 주장한다. “여태까지 신체 정보를 수집하려면 당사자가 ‘내 신체 정보가 수집되고 있다’는 사실을 알 수밖에 없었어요. 지문이나 홍채, 안면을 기계를 통해 인식하려면 당사자가 기계와 아주 가까운 곳에 있어야만 했기 때문입니다. 하지만 음성 인식이란 기술도 나오고, 영상 분석 장비도 빠르게 발전하고 있어, 이제는 사용자가 전혀 모르는 상태에서 신체 정보를 수집할 수 있게 되었습니다.”
즉, 소비자들의 신체 정보를 활용하기로 한 기업들이 별 다른 통보 없이 고객들의 신체 정보를 수집할 기반이 마련되어 있다는 것이다. 그러므로 기업들은 개인의 프라이버시에 대한 문제를 보다 심각하게 고민해야 하고, 정보 수집을 투명하게 할 필요가 있다. 정보 수집의 투명함이란 어떤 정보가 어떤 방식으로 수집되며 어디에 어떻게 저장되는지를 알리는 것을 말한다. 또한 당사자의 요청에 따라 신체 정보를 아예 삭제할 기반도 마련해야 한다.
PwC 리갈은 “신체 정보 저장에 대한 우려와 잠재적인 문제들은 ‘기업 서버에 저장된 상황’을 전제로 한다”며 “신체 정보를 확인할 수 있는 인프라를 기기들에 구축하면 해결 될 우려 사항”이라고 설명한다. 즉 보안에 있어 큰 장점을 가지고 있는 신체 정보를 활용하되 그 통제권을 사용자에게 일부 양도해야 한다는 뜻이다. “기업이 모든 정보를 저장하는 게 아니니 대형 유출 사고의 위험도 줄어들죠.”
물론 사용자가 가지고 있는 각 기기에 바이오 인식 인프라를 적용했을 때의 리스크가 없는 건 아니다. “엔드포인트에 대한 공격이 적은 것도 아니고, 어쩌면 서버를 공격하는 것보다 쉬울 수도 있습니다. 또한 한 번 공격에 성공하면 피해자 한 사람에 대해서는 보다 많은 것들을 캐갈 수 있게 되죠.”
암호의 몰락 이면에 떠오르는 신체 정보 혹은 바이오 인증은 더 높은 보안성과 더 높은 위험성 모두를 가져오고 있다. 프라이버시에 대한 보다 명확한 정의와 고민, 민감한 정보를 투명하게 다룬다는 것에 대한 가이드라인이 필요하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
