Home > 전체기사
[이슈칼럼] 생체정보 데이터베이스 위한 보안대책 필요하다
  |  입력 : 2019-10-21 01:11
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
생체정보보호 가이드라인 및 관련표준 대한 준용시험·인증 서비스 시행 필요

[보안뉴스= 김재성 KISA 강원정보보호지원센터장] 생체인식기술은 살아있는 사람의 신체적 특징인 지문·얼굴·홍채·정맥정보와 행동학적 특징인 음성·서명·걸음걸이·생체신호(심전도, 심박수, 뇌파 등) 등을 이용해 개인의 신원을 확인하는 기술을 의미한다. 생체인식은 2001년 9월 11일 미국 뉴욕에서 발생한 9·11 테러 사건 이후 전 세계에서 사용자 인증수단으로 널리 활용되고 있으며, 최근 들어 스마트폰 등 모바일기기를 활용한 핀테크 분야와 원격의료 등 민간분야로 확장·보급되고 있다.

▲정보의 위변조 보안위협 증대[자료=한국인터넷진흥원]


전통적으로 생체인식기술은 출입국심사(전자여권, 승무원·승객 신원확인), 출입통제(출입·근태관리), 행정(무인민원발급, 전자조달), 사회복지(미아 찾기, 복지기금관리), 의료(원격의료, 의료진·환자 신원확인), 정보통신(휴대전화 인증, PC·인터넷 로그인), 금융(온라인 뱅킹, ATM 현금인출, 핀테크) 등 다방면에서 폭넓게 보급돼 실생활 깊숙이 활용되고 있다. 특히, 테러리스트·범죄자 색출, 출입국심사, 주요 정보통신 기반 시설 출입통제 등에서 지문·얼굴·홍채 등 대규모의 생체정보를 수집해 활용하고 있다.

현재 미국·유럽·아시아 등 전 세계적으로 NID(신원확인), AFIS(지문감식수사), 전자여권을 이용한 출입국심사 등에서 지문·얼굴·홍채 인식 데이터베이스(DB)가 구축·운영되고 있으며, 영국에서는 지능형 CCTV와 연계한 얼굴인식 DB 등 대규모 생체정보 DB가 범죄수사 등에서 널리 활용되고 있다. 국내에서는 검·경 수사기관의 지문·얼굴 인식 DB, 행자부 전자주민증의 잉크 지문에 의한 지문인식 DB 등이 전 국민 대상으로 구축돼 대국민 민원 서비스 등에서 활용된다. 그러나 이러한 대규모 생체정보 DB 구축에 따라 보안위협과 프라이버시 침해 위협 또한 증대되고 있다.

생체정보는 특히, 개인 민감 정보로, 고유성과 불변성 등의 고유특성을 지니고 있다. 이에 (구)정보통신부와 (구)한국정보보호진흥원에서는 2005년 12월 방대한 생체정보 DB의 불법유출·위변조 등 보안위협에 능동적으로 대처하기 위한 ‘생체정보보호 가이드라인’을 개발했다. 이 가이드라인은 지금까지 3차례에 걸쳐 개정됐다. 그 결과 2018년 1월, 방송통신위원회와 한국인터넷진흥원(KISA)은 ‘모바일기기에서의 생체인식기술 확산에 따른 생체정보 DB의 보안위협을 방지하기 위한 기술적·관리적 보호조치’를 발표했다. 해당 내용을 간략히 정리하면 다음과 같다.

o 생체정보의 수집·입력단계
√ 위·변조된 생체정보가 처리되지 않도록 보호조치
√ 해킹 등의 공격으로 생체정보가 외부에 유출되거나 위·변조 되지 않도록 조치

o 생체정보의 저장·이용단계
√ 안전한 알고리즘을 통해 암호화하여 저장
√ 서버로 전송하여 처리하는 대신 가능한 한 기기내 안전한 영역에서 처리

o 생체정보의 파기단계
√ 원본(생체)정보는 특징(생체인식)정보가 생성된 경우, 그 목적이 달성된 것으로 볼 수 있으므로 지체 없이 복구 또는 재생되지 않도록 파기
√ 법적 근거가 있거나, 이용자 동의를 받아 원본정보를 보관하는 경우 해당 이용자의 다른 개인정보와 분리해 저장·관리

생체정보보호 가이드라인과 함께 생체정보 DB를 보호하기 위한 기술적인 보호대책으로는 한국정보통신기술협회(TTA)의 생체인식프로젝트그룹(PG505)과 국립전파연구원이 보급한 국가표준을 참고 또는 준용해야 한다.

o 개인 식별정보 및 생체인식 정보보호를 위한 저장 및 전송포맷(TTAK.KO-12.0126, ‘09.12)
o 생체인식 정보 및 개인 식별정보 데이터베이스의 분리 운영방법(TTAK.KO-12.0160, ‘10.12)
o 개인인증용 생체신호 정보보호 지침(TTAK.KO-12.0324, ‘17.12)
o 생체인식 정보의 보호를 위한 기술적·관리적 지침(KSX1966, ‘17.1)
o 생체인식 제시형 공격 탐지 제1부: 프레임워크(KSXISO30107-1, ‘17.1)

그러나 이처럼 생체정보에 대한 보안대책 관련 지침과 표준이 공표됐음에도 불구하고 이에 대한 준용을 강제할 수는 없다. 또, 최근 스마트폰을 활용한 모바일 지급결제 등 다양한 모바일 생체인식 응용 서비스 출현과 함께 생체정보의 위·변조 보안사고 또한 증대되고 있어 생체정보 DB에 대한 불법유출 및 프라이버시 침해 위협이 공존하고 있다. 이에 따라, 정부에서는 한국생체인식협의회와 같은 공인기관을 통해 생체정보보호 가이드라인 및 관련표준 대한 준용시험·인증 서비스를 실시해 안전한 생체정보의 유통과 보급을 위한 제도 보완이 필요하다.
[글_ 김재성 한국인터넷진흥원(KISA) 강원정보보호지원센터장(kimjs@kisa.or.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 10월 정보보호정책관을 정보네트워크정책관으로 변경하는 과학기술정보통신부의 조직 개편 움직임이 논란이 된 바 있습니다. 과기정통부에서 정보보호 업무를 총괄하는 조직 위상에 대한 견해는?
과기정통부에서 분리해 별도의 정부부처가 전담해야
과기정통부 내 정보보호정책실(실장급)로 격상시켜야
지금처럼 정보보호정책관(국장급) 조직을 유지해야
네트워크 업무를 통합시키되, 정보보호네트워크정책관(국장급)으로 명명해야
과기정통부의 초안처럼 정보네트워크정책관(국장급)으로 해야
기타(댓글로)
      

이스온
원격감시 / 안전관리

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

AVIGILON
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

피엔에이
CCTV / IP 카메라 모듈

테크스피어
손혈관 / 차량하부 검색기

쿠도커뮤니케이션
스마트 관제 솔루션

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

링크플로우
이동형 CCTV 솔루션

한국씨텍
PTZ CCTV

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

트루엔
IP 카메라

씨오피코리아
CCTV 영상 전송장비

CCTV협동조합
CCTV

디비시스
CCTV토탈솔루션

도마카바코리아
시큐리티 게이트

다민정보산업
기업형 스토리지

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

브이유텍
플랫폼 기반 통합 NVR

윈스
지능형 차세대 방화벽

포티넷
네트워크 보안

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

수퍼락
출입통제 시스템

구네보코리아
보안게이트

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

파이브지티
얼굴인식 시스템

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

지와이네트웍스
CCTV 영상분석

두레옵트로닉스
카메라 렌즈

지에스티엔지니어링
게이트 / 스피드게이트

이후커뮤니케이션
전송장치/CCTV

창우
폴대

넷플로우
IP인터폰 / 방송시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

DK솔루션
메트릭스 / 망전송시스템

싸이닉스
스피드 돔 카메라

다원테크
CCTV / POLE / 브라켓

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트