세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > Security
‘바이오정보 보호 가이드라인’ 6대 원칙은 무엇?
  |  입력 : 2017-12-13 17:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
6대 보호 원칙 규정 및 보호 조치 사항 안내

[보안뉴스 박미영 기자] 방송통신위원회와 한국인터넷진흥원은 지문·홍채 등 바이오정보가 스마트폰 잠금 해제·AI 음성비서 등으로 활용이 증가함에 따라, 바이오정보의 보호와 안전한 활용을 위한 ‘바이오정보 보호 가이드라인’을 마련·시행한다고 밝혔다.

[이미지=iclcikart]


바이오정보는 신원 확인 용도로 널리 쓰이고 있으나 유출 시 변경이 어려워 지속적으로 악용될 수 있고, 인종·병력 등 부가적인 정보가 추출될 우려도 있어 보호의 필요성이 큰 개인정보다.

그간 바이오정보는 현행 정보통신망법상 개인정보 관련 법령 및 고시에 따라 일반 개인정보로서 보호되고 있었으나 암호화 저장 이외에는 명시적인 규정이 부재했다.

이에 가이드라인을 통해 바이오정보 보호를 위해 필요한 6대 보호 원칙과 기술적·관리적 보호조치를 제시하고자 했다.

우선 가이드라인은 바이오정보 개념을 ‘지문, 홍채, 음성, 필적 등 개인의 신체적·행동적 특성에 관한 정보로서 개인을 인증 또는 식별하기 위해 기술적으로 처리되는 개인정보’로 명확히 규정했다.

‘기술적 처리’란 센서 입력장치 등을 통해 이미지 등 원본 정보를 수집·입력하고 해당 원본 정보로부터 특징점을 추출하는 등 개인을 인증 또는 식별하기 위해 전자적으로 처리되는 전 과정을 말한다.

따라서 바이오정보는 인증 또는 식별 목적으로 입력장치 등을 통해 수집·입력된 ‘원본정보’와 그로부터 특징 값을 추출해 생성된 ‘특징정보’로 구분된다. 사진 등은 특정 개인을 식별 또는 인증하기 위해 기술적으로 처리되는 경우에 한해서만 바이오정보에 해당한다.

가이드라인 적용 대상 사업자에는 바이오정보를 직접 처리하는 정보통신서비스 제공자뿐만 아니라 바이오정보를 직접 처리하지 않지만 인증 결과 값 등을 전송받는 사업자, 스마트폰 등 기기 제조업자, 바이오정보가 활용되는 앱 개발자 등으로 확대했다.

2007년 정보통신부에서 마련한 ‘바이오정보 보호 가이드라인’은 출입 통제 시스템을 운영하는 일반 기업 중심으로 규정했으나 변화된 정보통신 환경을 반영해 현행화한 것이다.

가이드라인은 바이오정보의 안전한 활용을 위해 비례성 원칙, 수집·이용 제한의 원칙, 목적 제한의 원칙, 통제권 보장의 원칙, 투명성 원칙, 바이오정보 보호 중심 설계 및 운영 원칙을 바이오정보 6대 보호 원칙으로 제안하고 있다.

첫번째 원칙은 비례성 원칙이다. 사업자는 바이오정보 활용에 따르는 위험과 예상 편익을 비교해 수집·이용 여부를 판단하고, 서비스 도입 시 바이오정보의 종류별 특성을 고려해 침해 위험을 최소화할 수 있는 바이오정보를 선택해야 한다.

둘째는 수집·이용 제한의 원칙이다. 사업자는 바이오정보의 수집·이용 목적, 항목, 보유 기간을 이용자에게 명확히 알리고 동의받아야 하고 특징정보 생성 후 원본정보는 원칙적으로 파기해야 한다. 원본정보를 파기하지 않으려면 그 이유(목적) 및 보유 기간을 별도로 고지 후 동의를 받아야 한다.

셋째는 목적 제한의 원칙이다. 인증 또는 식별 목적으로 이용자에게 동의받은 바이오정보를 무단으로 질병 검사 등 다른 목적으로 활용해서는 아니된다. 바이오정보를 다른 목적으로 활용하기 위해서는 이용자의 사전동의 등 적법한 절차를 따라야 한다.

넷째는 통제권 보장의 원칙이다. 이용자가 자신의 바이오정보를 쉽게 수정하거나 삭제할 수 있도록 기기나 웹·앱 등을 통한 통제 방법을 제공해야 한다. 아동 등 바이오정보 제공을 원하지 않거나 신체적 장애가 있는 경우 등을 대비하여 비밀번호 등의 대안을 마련하는 것이 바람직하다.

다섯째는 투명성 원칙이다. 바이오정보 보호에 관한 사항을 이용자에게 적극적으로 안내하고 이용자의 문의 등을 처리하기 위한 피해구제 기능을 마련·운영해야 한다.

여섯째는 바이오정보 보호 중심 설계 및 운영 원칙이다. 바이오정보를 활용한 서비스의 개발·설계 단계부터 이용자의 바이오정보를 보호할 수 있는 기본 값 설정 등 방안을 고려하도록 권고한다. 바이오정보를 서버로 전송해 대량으로 처리하려면 바이오정보 침해 예방을 위해 개인정보 영향평가를 실시할 것을 권고한다.

가이드라인은 바이오정보의 유출, 위변조 등을 방지하기 위해 처리 단계별로 필요한 기술적·관리적 보호 조치도 제시하고 있다.

수집·입력 단계에서는 실리콘 인공지문 등 위·변조된 바이오정보가 처리되지 않도록 적절한 보안 조치를 취하고, 바이오정보가 암호화 저장되기 전까지 유출되지 않도록 전송구간을 암호화해야 한다.

저장·이용 단계에서는 원본정보와 특징정보 모두를 안전한 알고리즘으로 암호화해 저장해야 한다. 또한 바이오정보를 서버로 전송하는 경우 유출 피해 범위가 커질 수 있으므로 기기 내 안전한 영역에서 처리하는 방식을 우선적으로 고려해야 한다.

파기 단계에서는 원칙적으로 원본정보는 특징정보 생성 시 그 목적이 달성된 것으로 볼 수 있으므로 지체 없이 파기하도록 했다. 예외적으로 이용자의 별도의 동의를 받아 원본정보를 이용하는 경우 해당 이용자의 다른 개인정보와 분리해 별도로 저장·관리하도록 권고했다.

이효성 방송통신위원회 위원장은 “최근 기술 발전에 따라 지문·홍채 등 바이오정보가 비밀번호 대체수단 이외에도 AI 스피커 등 새로운 서비스에도 활용되고 있는 상황에서 가이드라인은 바이오정보의 특성에 맞춘 구체적인 법령 해석 기준과 사업자가 자율적으로 준수할 수 있는 보호 원칙 등을 제시했다”며, “가이드라인을 통해 국민이 안심하고 지문·홍채 등을 활용한 서비스를 이용할 수 있는 토대가 마련되길 바란다”고 밝혔다.
[박미영 기자(mypark@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)