[이슈칼럼] 생체정보 데이터베이스 위한 보안대책 필요하다

2019-10-21 01:11
  • 카카오톡
  • 네이버 블로그
  • url
생체정보보호 가이드라인 및 관련표준 대한 준용시험·인증 서비스 시행 필요

[보안뉴스= 김재성 KISA 강원정보보호지원센터장] 생체인식기술은 살아있는 사람의 신체적 특징인 지문·얼굴·홍채·정맥정보와 행동학적 특징인 음성·서명·걸음걸이·생체신호(심전도, 심박수, 뇌파 등) 등을 이용해 개인의 신원을 확인하는 기술을 의미한다. 생체인식은 2001년 9월 11일 미국 뉴욕에서 발생한 9·11 테러 사건 이후 전 세계에서 사용자 인증수단으로 널리 활용되고 있으며, 최근 들어 스마트폰 등 모바일기기를 활용한 핀테크 분야와 원격의료 등 민간분야로 확장·보급되고 있다.


▲정보의 위변조 보안위협 증대[자료=한국인터넷진흥원]

전통적으로 생체인식기술은 출입국심사(전자여권, 승무원·승객 신원확인), 출입통제(출입·근태관리), 행정(무인민원발급, 전자조달), 사회복지(미아 찾기, 복지기금관리), 의료(원격의료, 의료진·환자 신원확인), 정보통신(휴대전화 인증, PC·인터넷 로그인), 금융(온라인 뱅킹, ATM 현금인출, 핀테크) 등 다방면에서 폭넓게 보급돼 실생활 깊숙이 활용되고 있다. 특히, 테러리스트·범죄자 색출, 출입국심사, 주요 정보통신 기반 시설 출입통제 등에서 지문·얼굴·홍채 등 대규모의 생체정보를 수집해 활용하고 있다.

현재 미국·유럽·아시아 등 전 세계적으로 NID(신원확인), AFIS(지문감식수사), 전자여권을 이용한 출입국심사 등에서 지문·얼굴·홍채 인식 데이터베이스(DB)가 구축·운영되고 있으며, 영국에서는 지능형 CCTV와 연계한 얼굴인식 DB 등 대규모 생체정보 DB가 범죄수사 등에서 널리 활용되고 있다. 국내에서는 검·경 수사기관의 지문·얼굴 인식 DB, 행자부 전자주민증의 잉크 지문에 의한 지문인식 DB 등이 전 국민 대상으로 구축돼 대국민 민원 서비스 등에서 활용된다. 그러나 이러한 대규모 생체정보 DB 구축에 따라 보안위협과 프라이버시 침해 위협 또한 증대되고 있다.

생체정보는 특히, 개인 민감 정보로, 고유성과 불변성 등의 고유특성을 지니고 있다. 이에 (구)정보통신부와 (구)한국정보보호진흥원에서는 2005년 12월 방대한 생체정보 DB의 불법유출·위변조 등 보안위협에 능동적으로 대처하기 위한 ‘생체정보보호 가이드라인’을 개발했다. 이 가이드라인은 지금까지 3차례에 걸쳐 개정됐다. 그 결과 2018년 1월, 방송통신위원회와 한국인터넷진흥원(KISA)은 ‘모바일기기에서의 생체인식기술 확산에 따른 생체정보 DB의 보안위협을 방지하기 위한 기술적·관리적 보호조치’를 발표했다. 해당 내용을 간략히 정리하면 다음과 같다.

o 생체정보의 수집·입력단계
√ 위·변조된 생체정보가 처리되지 않도록 보호조치
√ 해킹 등의 공격으로 생체정보가 외부에 유출되거나 위·변조 되지 않도록 조치

o 생체정보의 저장·이용단계
√ 안전한 알고리즘을 통해 암호화하여 저장
√ 서버로 전송하여 처리하는 대신 가능한 한 기기내 안전한 영역에서 처리

o 생체정보의 파기단계
√ 원본(생체)정보는 특징(생체인식)정보가 생성된 경우, 그 목적이 달성된 것으로 볼 수 있으므로 지체 없이 복구 또는 재생되지 않도록 파기
√ 법적 근거가 있거나, 이용자 동의를 받아 원본정보를 보관하는 경우 해당 이용자의 다른 개인정보와 분리해 저장·관리

생체정보보호 가이드라인과 함께 생체정보 DB를 보호하기 위한 기술적인 보호대책으로는 한국정보통신기술협회(TTA)의 생체인식프로젝트그룹(PG505)과 국립전파연구원이 보급한 국가표준을 참고 또는 준용해야 한다.

o 개인 식별정보 및 생체인식 정보보호를 위한 저장 및 전송포맷(TTAK.KO-12.0126, ‘09.12)
o 생체인식 정보 및 개인 식별정보 데이터베이스의 분리 운영방법(TTAK.KO-12.0160, ‘10.12)
o 개인인증용 생체신호 정보보호 지침(TTAK.KO-12.0324, ‘17.12)
o 생체인식 정보의 보호를 위한 기술적·관리적 지침(KSX1966, ‘17.1)
o 생체인식 제시형 공격 탐지 제1부: 프레임워크(KSXISO30107-1, ‘17.1)

그러나 이처럼 생체정보에 대한 보안대책 관련 지침과 표준이 공표됐음에도 불구하고 이에 대한 준용을 강제할 수는 없다. 또, 최근 스마트폰을 활용한 모바일 지급결제 등 다양한 모바일 생체인식 응용 서비스 출현과 함께 생체정보의 위·변조 보안사고 또한 증대되고 있어 생체정보 DB에 대한 불법유출 및 프라이버시 침해 위협이 공존하고 있다. 이에 따라, 정부에서는 한국생체인식협의회와 같은 공인기관을 통해 생체정보보호 가이드라인 및 관련표준 대한 준용시험·인증 서비스를 실시해 안전한 생체정보의 유통과 보급을 위한 제도 보완이 필요하다.
[글_ 김재성 한국인터넷진흥원(KISA) 강원정보보호지원센터장(kimjs@kisa.or.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기