홍채·지문·음성 등 '바이오정보' 관리 깐깐해진다

방통위, 바이오정보 보호 가이드라인 마련
수집 후 이용목적 달성 후에는 즉시 파기해야
인증·식별 외 다른 목적으로 무단사용도 안돼

지문·홍채 등 바이오정보를 활용하는 사업자는 이 정보를 반드시 암호화해 저장해야한다. 원본정보는 그 목적이 달성되면 지체없이 파기해야 한다. 또 인증·식별을 목적으로 취득한 바이오정보를 무단으로 다른 목적에 사용해선 안된다.

12일 방송통신위원회과 한국인터넷진흥원(KISA)은 이같은 내용을 담은 '바이오정보 보호 가이드라인'을 마련해 오늘부터 시행한다"고 밝혔다.

지문·홍채 등이 스마트폰 잠금해제, 인공지능(AI) 음성비서 등에 활용됨에 따라 바이오정보의 보호와 안전한 활용을 위한 가이드라인 마련의 필요성이 제기돼 왔다.

바이오정보는 신원확인 용도로 널리 쓰이고 있으나 유출 시 변경이 어려워 지속적으로 악용될 수 있다. 인종·병력 등 부가적인 정보가 추출될 우려도 있어 보호의 필요성이 큰 개인정보다.

그간 바이오정보는 현행 정보통신망법상 개인정보 관련 법령 및 고시에 따라 일반 개인정보로서 보호되고 있었으나 암호화 저장 이외에는 명시적인 규정이 부재한 상황이었다.

이에 방통위는 바이오정보의 개념 명확화, 비례성 원칙 등 6대 보호 원칙과 기기내 처리 등 기술적·관리적 보호조치 안내를 담은 가이드라인을 마련했다.

우선, 가이드라인은 바이오정보 개념을 '지문, 홍채, 음성, 필적 등 개인의 신체적·행동적 특성에 관한 정보로서 개인을 인증 또는 식별하기 위하여 기술적으로 처리되는 개인정보'로 명확히 규정했다.

바이오정보는 인증 또는 식별 목적으로 입력장치 등을 통해 수집·입력된 '원본정보'와 그로부터 특징 값을 추출해 생성된 '특징정보'로 구분된다. 사진 등은 특정 개인을 식별 또는 인증하기 위해 기술적으로 처리되는 경우에 한해서만 바이오정보에 해당한다.

가이드라인 적용 대상 사업자에는 바이오정보를 직접 처리하는 정보통신서비스 제공자 뿐만 아니라 바이오정보를 직접 처리하지 않지만 인증결과 값 등을 전송받는 사업자, 스마트폰 등 기기 제조업자, 바이오정보가 활용되는 앱 개발자 등으로 확대했다.

가이드라인은 바이오정보의 안전한 활용을 위해 비례성 원칙, 수집·이용 제한의 원칙, 목적제한의 원칙, 통제권 보장의 원칙, 투명성 원칙, 바이오정보 보호 중심 설계 및 운영 원칙을 제안하고 있다.

수집·이용 제한의 원칙에서는 △사업자는 바이오정보의 수집·이용 목적, 항목, 보유기간을 이용자에게 명확히 알리고 동의 받아야 하고, △특징정보 생성 후 원본정보는 원칙적으로 파기해야 한다. 원본정보를 파기하지 않으려면 그 이유(목적) 및 보유기간을 별도로 고지 후 동의를 받아야 한다고 명시하고 있다.

목적제한의 원칙에서는 △인증 또는 식별 목적으로 이용자에게 동의 받은 바이오정보를 무단으로 질병검사 등 다른 목적으로 활용해서는 안된다고 적었다. 또 바이오정보를 다른 목적으로 활용하기 위해서는 이용자의 사전동의 등 적법한 절차를 따라야 한다.

가이드라인은 바이오정보의 유출, 위변조 등을 방지하기 위해 처리단계별로 필요한 기술적·관리적 보호조치도 제시하고 있다.

이에 따라 사업자는 바이오정보 수집·입력 단계에서, 실리콘 인공지문 등 위·변조된 바이오정보가 처리되지 않도록 적절한 보안조치를 해야한다. 바이오정보가 암호화 저장되기 전까지 유출되지 않도록 전송구간도 암호화해야 한다.

이효성 방통위원장은 "바이오정보의 특성에 맞춘 구체적인 법령 해석 기준과 사업자가 자율적으로 준수할 수 있는 보호원칙 등을 제시했다"면서 "가이드라인을 통해 국민이 안심하고 지문·홍채 등을 활용한 서비스를 이용할 수 있는 토대가 마련되길 바란다"고 밝혔다.

김동표 기자 letmein@asiae.co.kr