바이오정보 보호 가이드라인
방통위·KISA, 세미나서 발표
개념 규정·6대 보호원칙 제정

OS사업자·스마트폰 제조사 등
정보 활용사업자도 대상 포함
위변조 정보 처리안되게 암호화

정부가 지문, 홍채 등 바이오정보(생체정보)를 안전하게 활용하기 위한 가이드라인을 만든다.

최근 스마트폰, 핀테크, 인공지능(AI) 비서서비스 등에 바이오정보가 도입되면서 활용도가 증가하는 동시에 해킹 위협 역시 높아진데 따른 것이다.

이미 위조 실리콘 지문과 녹음된 음성, 캡처된 얼굴ㆍ홍채 사진 등을 이용해 스마트폰의 잠금을 해제하는 사례가 보고되며 이용자의 불안감이 높다. 바이오정보는 해킹을 당한다고 해도 바꿀 수 없어 지속적으로 정보가 악용될 가능성이 높아 정보보호 필요성이 강하게 제기된다. 


방송통신위원회와 한국인터넷진흥원(KISA)은 13일 서울 서초구 양재동 엘타워에서 세미나를 열고 ‘바이오정보 보호 가이드라인(안)’을 발표했다.

이 가이드라인은 바이오정보의 개념을 명확히 하고, 바이오정보 활용시 지켜야 할 6대 보호원칙을 규정했다. 대상은 바이오정보를 처리하는 정보통신서비스 제공자뿐만 아니라 운영체제(OS) 사업자, 스마트폰 등 기기 제조사, 바이오정보를 직접 수집하지는 않지만 인증결과 값 등을 전송받는 사업자 등이 모두 포함된다.

구체적으로 바이오정보 활용에 따르는 위험과 예상편익을 비교해 수집, 이용할 바이오정보의 정보와 서비스를 판단하는 ▷비례성 원칙, 원본정보를 파기하지 않을 경우 그 이유와 보유기간을 별도로 고지하고 동의를 받도록 하는 ▷수집ㆍ이용제한의 원칙, 인증 또는 식별 목적으로만 활용토록 하는 ▷목적제한의 원칙, 이용자가 자신의 바이오정보를 쉽게 수정하거나 삭제할 수 있도록 하는 ▷통제권 보장의 원칙, 바이오정보 보호 관련 사항을 이용자에게 적극 안내하고 피해구제 기능을 마련하는 ▷투명성 원칙, 바이오정보 서비스 개발시 설계 단계부터 정보보호를 고려하는 ▷바이오정보 보호 중심 설계 및 운영 원칙 등을 규정했다. 또, 수집ㆍ입력 단계, 저장ㆍ이용 단계, 파기 단계마다 지켜야 할 기술적ㆍ관리적 보호조치를 강화하는 내용도 담았다. 이를 통해 위변조된 바이오정보가 처리되지 않도록 보안조치를 취하고, 암호화돼 저장되기 전까지 전송구간을 암호화하도록 했다.

또, 서버 전송보다 기기 내 안전한 영역에 저장토록 하고, 원본정보는 원칙적으로 인증, 식별을 위한 특징정보 생성 후에는 지체없이 파기토록 했다. 이미 바이오정보는 우리 생활 속에서 인증, 식별 등에 다양하게 활용되고 있다.

지문이나 홍채 인식으로 스마트폰 잠금을 해제하거나, 거실에 놓인 음성인식 인공지능(AI) 스피커가 가족들의 목소리를 구별해 각각의 상황에 맞는 서비스를 추천하는 식이다.

그러나 기존에 바이오정보는 개인정보보호 법령에 따라 ‘개인정보’로서 보호되고 있을 뿐, 암호화 저장 외에는 명시적인 규정이 없었다. 또, 현행 정보통신망법 시행령과 고시에는 ‘식별 가능한 정보’라고만 돼있어 단순 얼굴사진도 바이오정보에 포함된다고 해석될 소지가 있는 등 개념이 모호한 상황이었다.

KISA 관계자는 “지난 2007년에 마련한 ‘바이오정보 보호 가이드라인’의 경우 오프라인 출입통제 시스템에 바이오정보가 활용되는 사례만을 중심으로 한 것”이라며 “최근 기술 발전에 따라 스마트폰과 AI 스피커 등에 바이오정보가 도입되면서 가이드라인을 현행화했다”고 설명했다.

정윤희 기자/yuni@heraldcorp.com