스마트폰 등 IT 기기 사용 늘면서 생체인식정보 활용 늘어
2021년 9월 8일 생체정보 보호 가이드라인 개정
[보안뉴스 원병철 기자] 최근 세계적으로 인기를 끌고 있는 소셜미디어 서비스 틱톡이 사용자의 생채인식 정보를 수집하는 것이 알려지면서 이에 대한 관심이 뜨겁다. 스마트폰을 비롯한 IT 기기들이 지문이나 얼굴, 지정맥 등 생체인식정보를 활용하면서 이제는 누구나 부담없이 사용하는 생체정보지만, 문제는 수정이 불가능한 탓에 그 정보가 유·노출될 경우 그 피해가 크다는 걸 잘 알지 못한다는 사실이다.
▲박철 개인정보보호위원회 신기술개인정보과 사무관[사진=보안뉴스]
개인정보보호위원회 신기술개인정보과 박철 사무관은 10월 8일 ‘제10회 개인정보보호페어&CPO워크숍(PIS FAIR 2021)’에서 ‘생체정보의 보호와 안전한 이용환경 조성 방안’을 주제로 강연을 펼치며 최근 급속도로 증가한 생체정보의 보호에 대해 설명했다.
박철 사무관은 지난 2019년 8월 이스라엘의 보안전문가가 생체인식정보 제조사의 보안설정이 잘못돼 인터넷에 노출된 서버에서 암호화되지 않은 사용자의 이름과 비밀번호, 지문과 안면정보 등을 발견한 사건이나, 2015년 해커집단의 APT 공격에 의해 미국 연방부처의 DB가 해킹되어 전·현직 공무원의 개인정보 2,200만 건과 지문정보 560만건이 유출된 사건 등 생체정보 유출 및 위변조 사례가 많이 발생하고 있다고 지적했다.
이에 EU 등 주요 국가들은 생체정보를 보호하기 위한 원칙을 담은 가이드라인 등을 발표했다. 폴란드 개인데이터보호사무소는 ‘생체인식정보 사용에 관한 지침’을 발표했으며, 홍콩 개인정보보호위원회는 ‘생체인식정보 수집 및 사용 가이드라인’을, 그리고 유럽개인정보보호 이사회는 ‘영상정보 가이드라인’과 ‘생체인식 기술 발전에 대한 의견’을 각각 발표했다.
우리나라 역시 지난 2017년 바이오정보 보호 가이드라인을 발표했으며, 지난 2021년 9월 8일 생체정보 보호 가이드라인으로 이름을 바꿔 개정했다. 개정된 가이드라인은 현행 개인정보 보호법령 및 관련 고시 등에서 규정하고 있는 생체정보의 개념 및 범위를 명확화하고, 생체인식정보 보호를 위한 기본원칙과 처리 단계별 보호조치 등을 구체적으로 제시했다. 또한 생체인식정보의 안전한 활용기반을 조성했다.
박철 사무관은 생체정보 중 특정 개인을 인증·식별할 목적으로 처리되는 정보를 ‘생체인식정보’라면서, 생체정보는 특정 개인을 인증·식별하기 위한 목적으로 처리되는 생체인식정보와 인증·식별 목적이 아닌, 개인에 관한 특징을 알아보기 위해 처리되는 일반적인 생체정보로 구성된다고 설명했다. 이 개념은 ‘개인정보의 안전성 확보조치 기준’과 ‘개인정보의 기술적·관리적 보호조치 기준’ 고시 개정에서 명확화됐다.
좀 더 쉽게 설명하면, 기업이나 기관에서 사람들의 출입을 통제하기 위해 ‘얼굴인식’을 사용할 경우 이는 ‘생체인식정보’가 되며, 단순히 성별이나 감정상태 등을 확인하기 위해 사용할 경우 ‘생체정보’가 된다. 또한, 인공지능 스피커가 소리만으로 특정인, 예를 들면 ‘주인’을 구분한다면 이는 ‘생체인식정보’가 되며, 단순 ‘명령어’로 사람의 음성을 이용할 경우에는 ‘생체정보’가 된다.
또한 생체인식정보는 생체인식 원본정보와 생체인식 특징정보로 구분되는 데, 생체인식 원본정보는 ‘입력장치 등을 통해 수집·입력된, 특징정보 생성에 이용되는 정보’이며, 생체인식 특징정보는 원본정보로부터 특징점을 추출하는 등의 ‘일정한 기술적 수단을 통해 생성되는 정보’다. 특징정보는 개인정보보호법 시행령 제18조제3호에 따른 민감정보에 해당한다.
생체인식정보는 가이드라인에서 제시하는 보호원칙과 처리 단계별 보호조치 등이 적용돼야 하며, 일반적인 생체정보는 의무사항은 아니지만 생체인식정보에 준하는 보호조치 이행이 권장된다.
생체인식정보는 처리되는 5단계에 따라 각 처리단계에서 필요한 15개 보호 조치를 취해야 한다.
1. 기획·설계 단계에서는 ①생체인식정보의 필요성을 검토하고 ②개인정보보호 중심설계(PbD)를 적용하고 ③대체 수단을 마련해야 한다. 또한 ④개인정보 영향평가를 수행해야 한다.
2. 수집 단계에서는 ⑤적법하게 생체인식정보를 수집하고 ⑥위·변조된 생체인식정보에 대한 대책이 마련돼야 한다. ⑦생체인식정보 수집·입력시 전송구간도 보호해야 한다.
3. 이용·제공 단계에서는 ⑧동의 받은 목적의 범위 내에서만 이용해야 하며 ⑨생체인식정보 통제 수단을 제공해야 한다. 또한 ⑩생체인식정보는 수집·입력 단말에서 처리해야 한다.
4. 보관·파기 단계에서는 ⑪생체인식정보 저장시 암호화하고 ⑫처리목적을 달성할 경우 생체인식정보를 파기해야 한다. 아울러 ⑬원본정보를 보관할 경우 다른 개인정보와는 분리 보관해야 한다.
5. 상시 점검 단계에서는 ⑭개인정보 처리방침 공개와 ⑮개인정보 취급자에 대한 관리·감독을 확인해야 한다.
박철 사무관은 “현장점검시 물리보안 기업의 경우 생체정보의 암호화와 전송시 암호화, 파기 및 삭제에 대해 잘 모르는 경우가 많다”면서 제조사의 역할이 중요하다고 강조했다. 아울러 최근 중고로 판매한 핸드폰에서 개인정보가 유출된 사고가 있었는데, 이를 막기 위해서라도 폐기방법 등을 알려줘야 한다고 강조했다.
마지막으로 박철 사무관은 “기술 환경의 변화 등을 반영해 가이드라인을 지속적으로 현행화하는 것은 물론, 필요할 경우 생체정보 보호 강화를 위해 법령의 제·개정 검토도 추진할 예정”이라고 강조했다.
[원병철 기자(boanone@boannews.com)]
2021년 9월 8일 생체정보 보호 가이드라인 개정
[보안뉴스 원병철 기자] 최근 세계적으로 인기를 끌고 있는 소셜미디어 서비스 틱톡이 사용자의 생채인식 정보를 수집하는 것이 알려지면서 이에 대한 관심이 뜨겁다. 스마트폰을 비롯한 IT 기기들이 지문이나 얼굴, 지정맥 등 생체인식정보를 활용하면서 이제는 누구나 부담없이 사용하는 생체정보지만, 문제는 수정이 불가능한 탓에 그 정보가 유·노출될 경우 그 피해가 크다는 걸 잘 알지 못한다는 사실이다.
▲박철 개인정보보호위원회 신기술개인정보과 사무관[사진=보안뉴스]
개인정보보호위원회 신기술개인정보과 박철 사무관은 10월 8일 ‘제10회 개인정보보호페어&CPO워크숍(PIS FAIR 2021)’에서 ‘생체정보의 보호와 안전한 이용환경 조성 방안’을 주제로 강연을 펼치며 최근 급속도로 증가한 생체정보의 보호에 대해 설명했다.
박철 사무관은 지난 2019년 8월 이스라엘의 보안전문가가 생체인식정보 제조사의 보안설정이 잘못돼 인터넷에 노출된 서버에서 암호화되지 않은 사용자의 이름과 비밀번호, 지문과 안면정보 등을 발견한 사건이나, 2015년 해커집단의 APT 공격에 의해 미국 연방부처의 DB가 해킹되어 전·현직 공무원의 개인정보 2,200만 건과 지문정보 560만건이 유출된 사건 등 생체정보 유출 및 위변조 사례가 많이 발생하고 있다고 지적했다.
이에 EU 등 주요 국가들은 생체정보를 보호하기 위한 원칙을 담은 가이드라인 등을 발표했다. 폴란드 개인데이터보호사무소는 ‘생체인식정보 사용에 관한 지침’을 발표했으며, 홍콩 개인정보보호위원회는 ‘생체인식정보 수집 및 사용 가이드라인’을, 그리고 유럽개인정보보호 이사회는 ‘영상정보 가이드라인’과 ‘생체인식 기술 발전에 대한 의견’을 각각 발표했다.
우리나라 역시 지난 2017년 바이오정보 보호 가이드라인을 발표했으며, 지난 2021년 9월 8일 생체정보 보호 가이드라인으로 이름을 바꿔 개정했다. 개정된 가이드라인은 현행 개인정보 보호법령 및 관련 고시 등에서 규정하고 있는 생체정보의 개념 및 범위를 명확화하고, 생체인식정보 보호를 위한 기본원칙과 처리 단계별 보호조치 등을 구체적으로 제시했다. 또한 생체인식정보의 안전한 활용기반을 조성했다.
박철 사무관은 생체정보 중 특정 개인을 인증·식별할 목적으로 처리되는 정보를 ‘생체인식정보’라면서, 생체정보는 특정 개인을 인증·식별하기 위한 목적으로 처리되는 생체인식정보와 인증·식별 목적이 아닌, 개인에 관한 특징을 알아보기 위해 처리되는 일반적인 생체정보로 구성된다고 설명했다. 이 개념은 ‘개인정보의 안전성 확보조치 기준’과 ‘개인정보의 기술적·관리적 보호조치 기준’ 고시 개정에서 명확화됐다.
좀 더 쉽게 설명하면, 기업이나 기관에서 사람들의 출입을 통제하기 위해 ‘얼굴인식’을 사용할 경우 이는 ‘생체인식정보’가 되며, 단순히 성별이나 감정상태 등을 확인하기 위해 사용할 경우 ‘생체정보’가 된다. 또한, 인공지능 스피커가 소리만으로 특정인, 예를 들면 ‘주인’을 구분한다면 이는 ‘생체인식정보’가 되며, 단순 ‘명령어’로 사람의 음성을 이용할 경우에는 ‘생체정보’가 된다.
또한 생체인식정보는 생체인식 원본정보와 생체인식 특징정보로 구분되는 데, 생체인식 원본정보는 ‘입력장치 등을 통해 수집·입력된, 특징정보 생성에 이용되는 정보’이며, 생체인식 특징정보는 원본정보로부터 특징점을 추출하는 등의 ‘일정한 기술적 수단을 통해 생성되는 정보’다. 특징정보는 개인정보보호법 시행령 제18조제3호에 따른 민감정보에 해당한다.
생체인식정보는 가이드라인에서 제시하는 보호원칙과 처리 단계별 보호조치 등이 적용돼야 하며, 일반적인 생체정보는 의무사항은 아니지만 생체인식정보에 준하는 보호조치 이행이 권장된다.
생체인식정보는 처리되는 5단계에 따라 각 처리단계에서 필요한 15개 보호 조치를 취해야 한다.
1. 기획·설계 단계에서는 ①생체인식정보의 필요성을 검토하고 ②개인정보보호 중심설계(PbD)를 적용하고 ③대체 수단을 마련해야 한다. 또한 ④개인정보 영향평가를 수행해야 한다.
2. 수집 단계에서는 ⑤적법하게 생체인식정보를 수집하고 ⑥위·변조된 생체인식정보에 대한 대책이 마련돼야 한다. ⑦생체인식정보 수집·입력시 전송구간도 보호해야 한다.
3. 이용·제공 단계에서는 ⑧동의 받은 목적의 범위 내에서만 이용해야 하며 ⑨생체인식정보 통제 수단을 제공해야 한다. 또한 ⑩생체인식정보는 수집·입력 단말에서 처리해야 한다.
4. 보관·파기 단계에서는 ⑪생체인식정보 저장시 암호화하고 ⑫처리목적을 달성할 경우 생체인식정보를 파기해야 한다. 아울러 ⑬원본정보를 보관할 경우 다른 개인정보와는 분리 보관해야 한다.
5. 상시 점검 단계에서는 ⑭개인정보 처리방침 공개와 ⑮개인정보 취급자에 대한 관리·감독을 확인해야 한다.
박철 사무관은 “현장점검시 물리보안 기업의 경우 생체정보의 암호화와 전송시 암호화, 파기 및 삭제에 대해 잘 모르는 경우가 많다”면서 제조사의 역할이 중요하다고 강조했다. 아울러 최근 중고로 판매한 핸드폰에서 개인정보가 유출된 사고가 있었는데, 이를 막기 위해서라도 폐기방법 등을 알려줘야 한다고 강조했다.
마지막으로 박철 사무관은 “기술 환경의 변화 등을 반영해 가이드라인을 지속적으로 현행화하는 것은 물론, 필요할 경우 생체정보 보호 강화를 위해 법령의 제·개정 검토도 추진할 예정”이라고 강조했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
