생체정보 서비스 제공자 및 이용자 위한 Q&A 등 제공
[보안뉴스 원병철 기자] 스마트폰 등 생체정보를 이용한 기기가 늘어나고 비대면 서비스가 증가하면서 생체정보를 이용한 본인확인이 대중화되고 있다. 문제는 인터넷의 비밀번호와 달리 생체정보는 한 번 노출되면 되돌릴 수 없기에 보호와 관리를 강화해야 한다는 것. 이에 생체정보를 이용한 서비스 업체는 물론 사용자 역시 생체정보 보호에 대한 인식이 필요하다.
[이미지=utoimage]
최근 개인정보보호위원회가 이러한 생체정보 보호에 대한 가이드라인을 공개한 이유도 바로 이 때문이다. 특히, 이번 가이드라인에는 서비스를 제공하는 업체는 물론 사용자가 궁금하고, 꼭 알아야할 내용을 정리해 Q&A로 소개했다.
스마트폰으로 촬영해 SNS와 클라우드에 저장하는 사진과 음성도 생체정보일까?
일반적인 사진 및 음성 등이 개인을 인증·식별하거나 개인에 관한 특징을 알아보기 위해 일정한 기술적 수단을 통해 처리되지 않는다면 일반적인 개인정보에 해당한다.
디지털 광고판에 설치된 카메라로 이용자의 얼굴 사진에서 성별, 연령대, 감정(입술 모양) 등을 추출하는 서비스가 얼굴 사진을 수집할 때 암호화해야 하나?
추출하는 정보가 개인을 인증 또는 식별에 사용할 수 없는 정보라면 생체인식정보가 아닌 일반적인 생체정보이므로 암호화 의무대상은 아니다. 하지만 일반적인 생체정보의 경우에도 유출되거나 오·남용되는 경우 개인정보 침해 위험성이 크고, 언제든지 인증 또는 식별 목적으로 사용될 가능성이 있으므로, 원본정보에 준하는 보호조치를 할 것을 권장한다.
화자인식의 경우 등록된 이용자를 식별하기 위해서 해당 이용자 이외의 목소리를 수집한 뒤 특징정보와 매칭하는 과정을 거치게 되는데, 이 경우 이용자가 아닌 불특정 다수의 음성도 생체인식정보의 활용일까?
개별 서비스의 처리과정에 따라 달리 판단해야 하지만, 등록된 이용자를 식별하기 위해 불특정 다수의 음성이 기기 내에서 매칭된 후, 즉시 파기되는 등 다른 정보와 쉽게 결합해도 특정 개인을 알아볼 수 없도록 처리된다면 개인정보에 해당하지 않는다. 다만, 불특정 다수의 목소리가 서버로 전송되고 특정 개인을 알아볼 수 있는 경우, 정보가 기기 내에서만 처리되나 개인이 식별되는 경우 등은 모두 생체인식정보로서 이용자의 수집·이용 동의를 받아야 한다. 또한, 음성의 처리과정을 누구나 인식할 수 있도록 명확히 고지할 필요가 있다.
화자의 음성에서 성별, 연령, 감정(슬픔, 화남, 기쁨)을 인식하기 위한 정보를 추출할 경우 생체인식정보에 해당될까?
개인을 인증 또는 식별하지 않고 성별, 연령, 감정 등의 정보만을 추출하기 위해 수집하는 음성정보는 생체인식정보에는 해당하지 않으나, 일반적인 생체정보에 해당한다. 이 일반적인 생체정보는 생체인식정보에 적용되는 저장 시 암호화, 원본정보 보관 시 분리보관 등이 의무사항이 아니지만, 해당 정보가 수집, 전송, 보관 등 처리되는 과정에서 유출되거나 오·남용되는 경우에 예상되는 개인정보 침해 위험성을 고려해 생체인식정보에 준하는 보호조치 이행을 권장한다.
이미 수집된 개인정보에서 차후에 특징정보를 추출하려는 경우 동의는 어떻게 받아야 할까?
기존에 받은 수집·이용 동의 목적과 다르기 때문에 원본정보 및 특징정보 모두에 대해 필요한 시점에 수집·이용 동의를 다시 받아야 한다. 특히, 이 경우 민감정보에 해당하는 특징정보에 대한 동의는 다른 개인정보의 처리에 대한 동의와 별도로 받아야 한다.
생체인식 정보를 인증 또는 식별 목적과 그 이외의 용도로 함께 활용할 수 있을까?
개인을 인증 또는 식별하기 위해 수집한 생체인식정보를 그 외의 목적으로 동시에 활용할 수 있다. 다만, 인증 또는 식별 목적으로 동의 받은 생체인식정보를 다른 목적으로 활용하기 위해서는 일반적인 개인정보로서 수집·이용하는 목적 및 보유기간 등을 고지하고 동의받는 등 적법하게 처리해야 한다. 예를 들면, 이용자가 SNS에 올린 사진에서 특정 개인을 식별해 친구태그를 추천하는 기능은 얼굴정보가 생체인식정보로서 활용되는 동시에 개인정보로서 활용되는 것이다.
이용자의 동의를 받아 원본정보를 활용하는 경우에도 해당 이용자의 다른 개인정보와 분리해 별도로 저장·관리해야 할까?
원본정보는 변경이 불가능하므로 유출시 피해를 복구하기 어렵고, 민감정보가 추출될 수 있는 등 개인정보 침해 위험성이 크므로 강화된 보호조치가 필요하다. 특히, 원본정보의 안전한 보관을 위해 저장 시 암호화, 원본정보를 특징정보 생성 후에도 보관하는 경우 다른 개인정보와 분리 보관 등의 보호 조치가 요구된다.
SNS 등에 이미 공개된 사진을 인증·식별 목적으로 활용하는 경우에도 원본정보와 특징정보를 암호화 저장해야 할까?
특징정보의 경우 암호화 저장이 필요하지만, 원본정보는 이용자 스스로 일반 공중에 공개한 사진인 경우, 기밀성이 보장될 이유가 없다는 점에서 암호화 저장의 실익이 없다. 다만, 암호화 저장 이외의 보호 조치(내부관리계획 수립·시행, 접근통제, 전송구간 암호화 등)는 해야 한다.
시행령 개정(2020.8월) 이전에 이용자 동의를 받아 생체인식정보(특징정보 포함)를 처리하고 있었는데, 시행령 개정 이후에 기존 이용자로부터 민감정보인 특징정보의 수집·이용 동의를 추가로 받아야 할까?
시행령 개정 이전에 이용자의 동의를 받는 등 적법하게 수집한 특징정보를 수집 당시의 목적에 따라 이용하는 경우에는 추가적인 동의 없이 이용할 수 있다. 다만, 시행령 개정 이후에 수집하는 특징정보에 대해서는 별도 동의가 필요하다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>