인증과 인식의 차이… 개인정보보호에 따른 생체인식 정보 활용 관계

솔루션이나 서비스 이용에 활용되는 소프트웨어적 인증은 ID, 비밀번호를 사용하는 1차 인증 방식과 거기에 이메일이나 SMS를 더하는 2차 인증방식이 있습니다. 이 두 가지를 함께 사용하는 것이 이슈가 되고 있는 공인인증서 방식과 유사하다. 소프트웨어적인 인증이 물리적인 인증 방식보다 상대적으로 보안성이 떨어진다는 것이 일반적 평가이다. 소프트웨어적 인증은 변조를 통해 유동적으로 변할 수 있기 때문에 고정적인 값이나 생체정보를 활용하는 물리적 인증이 더 보안성이 높다고 알려져 있다. 이에 인식은 사람의 신체적(얼굴/홍채/지문/정맥/장문 등), 행동적(음성, 걸음걸이, 서명 등) 특징을 첨단 IT 기술 적용을 통해, 개인의 신원을 확인하는 기술이다.

생체인식(Biometrics) 데이터는 엄격한 보호가 필요한 가장 개인적인 정보다. 하지만 아이러니하게도, 생체인식이 또 다른 민감한 정보 액세스를 보호하기 위한 기본 또는 보조 인증 메커니즘으로 점점 더 많이 사용되고 있다. 미국에서는 캘리포니아, 일리노이, 뉴욕의 생체인식 관련 규제가 이러한 데이터의 수집, 사용, 보관 및 재사용을 보호하는 표준으로 여겨지고 있다. 또한 지난 8월 美 의회에 국가 생체인식 개인정보보호법(National Biometric Privacy Act)이 상정됐고, 이는 연방법으로 제정될 가능성이 크다. 이들은 모두 유럽연합 일반 데이터 보호 규칙(GDPR)에 의거해 유럽 국가에서 수립한 생체인식 개인정보보호 규제와 비슷한 포괄적인 프라이버시 규제를 포함한다.

미국 생체인식 적용 사례 시장조사업체 스태티스타(Statista)에 따르면 2020년 전 세계 생체인식 시장은 약 200억 달러에 이를 것으로 전망됐다. 또한 미국 시장에서는 생체인식을 통한 인증 및 ID 시장 규모가 올해 약 60억 달러를 기록할 것으로 예측됐다. 시스코의 전 SVP 겸 CISO였던 스티브 마티노는 생체인식이 비밀번호를 대체하는 간편하면서도 훌륭한 수단인 건 맞다. 하지만 생체인식은 멀티팩터 인증(multi-factor authentication)의 보조 인증 요소로 사용하는 게 가장 적합하다. 미국 외의 지역에서는 생체인식을 B2C 애플리케이션에서 더 보편적으로 사용하고 있다. 사용 사례야 어쨌든, 전문가들은 직원이나 소비자를 지원하고자 생체인식을 사용하는 기업이라면 엄격한 규제 요건에 따라 생체인식 정보를 보호해야 한다고 말하고 있다.

생체인식의 위험성 보안인증업체 EC 카운실(EC-Council)의 창업주 겸 CEO인 제이 바바시는 생체인식 데이터의 수집, 전송, 처리, 보관은 다른 민감한 데이터와 마찬가지로 공격자가 사용자 데이터를 가로채 악용할 수 있는 위험이 따른다고 지적했다. 따라서 그는 이를테면 범죄자들은 세션 하이재킹 또는 중간자 공격 등으로 데이터 전송 중에 생체인식 정보를 훔쳐 갈 수 있다. 프로세싱 계층에서 키로거, 서비스 거부, 서버 악용 등을 통해 생체인식 데이터가 유출될 수도 있다. 모든 계층에서 위험이 존재한다는 의미다 라고 덧붙였다. 여기에 (한국의 주민등록번호와 같은) 미국 사회보장번호, 집 주소, 은행 계좌 등의 다른 민감한 데이터가 함께 저장돼 있다면 문제는 더욱더 커진다.

소셜 미디어, 웹캐스트, 유튜브, 녹화된 화상통화 등을 보면 사람들은 일말의 거리낌도 없이 이미지를 업로드 하면서 얼굴과 목소리 데이터를 노출한다. 이것이 생체인식을 사용해 건물에 출입하거나 은행 애플리케이션을 인증하는 것과는 어떻게 다를까? 이에 버드는 얼굴 또는 음성인식과 생체인식을 통한 인증은 매우 다르다. 생체인증은 이를 통해 얻을 수 있는 이점을 인지하고 데이터 공유를 동의할 때 이뤄진다. 예를 들면 온라인 뱅킹 서비스를 가입한다고 해보자. 이 과정에서 은행은 사용자 얼굴을 캡처할 것이며, 이를 다음과 같은 내용으로 계정 로그인에 사용할 것인데 동의하는지 묻는다. 사용자가 해당 서비스의 이점을 누리기 위해 동의하는 경우 예를 클릭하면 된다 라고 설명했다.

예를 들어, SNS 사용자가 무료로 사용하고 있다면, SNS 사용자의 데이터로 본인은 모르는 무엇을 할 것이라는 점을 알고 있어야 한다. 하지만 SNS는 자신들이 명시적으로 밝힌 데이터 사용 목적 외에 다른 목적으로 데이터를 사용해선 안 된다. 이게 바로 개인정보보호의 핵심 전제이다.