Home > 전체기사

[생체정보 보호 가이드라인-4] 생체인식정보 보호 조치-이용·제공 단계

  |  입력 : 2022-01-03 23:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
생체인식정보, 생체인식정보를 수집·입력하는 기기 내 안전한 영역에서 처리

[보안뉴스 박미영 기자] 개인정보보호위원회(이하 개인정보위)가 지문·얼굴·정맥·홍채 등 생체정보의 보호와 안전한 활용을 위해 2021년 개정한 ‘생체정보 보호 가이드라인’은 기존 가이드라인을 전면 개편한 것으로, 안전한 생체정보 이용환경 조성을 위해 개인정보처리자·관련기기 제조사·이용자 등이 알아야 할 사항을 구체적이고 알기 쉽게 안내하는 것을 최우선으로 했다. 가이드라인에 게재된 생체인식정보의 특성 및 보호 원칙, 생체정보 처리 단계별 보호 조치와 생체정보 적용 대상인 개인정보처리자·제조사·이용자의 자율점검 방법을 시리즈로 소개한다.

[이미지=utoimage]


생체인식정보 보호 조치(개인정보처리자 및 제조사)-생체인식정보 이용·제공 단계
이용자로부터 동의받은 목적의 범위 내에서 생체인식정보를 이용하고, 이용자가 생체인식정보를 열람하거나 정정·삭제할 수 있는 통제 수단을 제공하며, 생체인식정보는 서버로 전송·처리하는 대신 가능하다면 생체인식정보를 수집·입력하는 단말의 안전한 영역에서 처리한다.

△동의받은 목적의 범위 내 이용(의무/목적 제한)
인증 또는 식별 목적으로 이용자에게 동의받은 생체인식정보는 무단으로 인사관리, 연구·개발 등 다른 목적으로 활용이 불가하다. 특히, 원본정보로부터 인종·건강상태 등 인증·식별 목적과는 무관한 민감정보가 추출·수집·이용되지 않도록 관리가 필요하다.

생체인식정보를 인증 또는 식별 이외의 목적으로 활용하기 위해서는 일반 개인정보로서 이용자의 사전 동의 등 적법한 절차 준수가 필요하다. 개인정보 수집·이용 동의 시 생체인식정보를 인증 또는 식별 이외로 이용하는 목적 및 보유 기간 등을 고지하고 동의를 받아야 한다. 단, 법령에서 처리를 요구하거나 허용하는 경우에는 동의 없이 처리 가능하다.

법령에서 생체인식정보의 처리를 요구하거나 허용하는 경우라도 해당 법령에서 허용하는 목적 범위 내에서만 이용 가능하다. 국가기관·공공기관 등에서 생체인식정보를 이용자의 동의 없이 처리하는 경우 ①법령상의 처리 근거를 명확히 확인하고 ②생체인식정보가 해당 법령이 허용하는 목적의 범위 내에서 이용되고 있는지 실태점검 등을 통해 확인·관리가 필요하다.

△생체인식정보 통제 수단 제공(의무/통제권 보장)
개인정보처리자는 이용자가 자신의 생체인식정보 제공과 이용을 스스로 결정할 수 있도록 생체인식정보의 열람·정정·삭제 등의 통제 수단을 제공한다. 이용자 보유 기기 또는 개인정보처리자가 제공하는 서비스 앱·웹 등에서 생체인식정보 통제 기능을 지원하고 쉽게 이용할 수 있도록 안내한다.

가. 이용자 보유 기기에서 통제 방법
생체인식정보를 처리하는 기기 제조사 또는 OS사업자는 이용자가 해당 기기 또는 웹·앱 등을 통해 생체인식정보를 수정하거나, 삭제할 수 있도록 통제 수단을 제공한다. AI 스피커 등과 같이 기기에서 직접적인 통제권 행사가 어려운 경우, 웹페이지 또는 앱 등을 통해 통제 수단을 제공한다.

나. 서비스 앱 또는 웹에서 통제 방법
생체인식정보를 개인정보처리자가 직접 수집하거나 사진·음성 등과 같이 이미 수집된 개인정보를 생체인식정보로 활용하는 경우, 해당 서비스에서 이용자가 직접 통제할 수 있는 수단을 제공한다. 생체인식정보를 직접 수집하지 않고 스마트폰 등 기기 내에서 처리된 인증 결과 값 등을 전송받는 경우, 해지 메뉴 등을 통해 이용자가 생체인식정보를 통제하는 방법을 제공한다.

△생체인식정보 수집·입력 단말에서 처리(권장/안전성)
생체인식정보를 서버로 전송해 처리할 경우 침해사고 발생 시 대규모 생체인식정보 유출 등 피해 범위가 커질 우려가 있으므로, 생체인식정보를 수집·입력하는 기기 내 안전한 영역 또는 보안토큰·스마트카드 등 이용자가 직접 소지할 수 있는 매체에서 생체인식정보를 저장·처리하는 방식을 우선적으로 고려할 필요가 있다. 기기 및 보조저장매체 등에 저장할 경우, 생체인식정보를 암호화해야 한다.
[박미영 기자(mypark@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)