Home > 전체기사

[생체정보 보호 가이드라인-5] 생체인식정보 보호 조치-보관·파기 단계

  |  입력 : 2022-01-03 23:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
생체인식정보의 보관 시 안전한 알고리즘으로 암호화해 저장

[보안뉴스 박미영 기자] 개인정보보호위원회(이하 개인정보위)가 지문·얼굴·정맥·홍채 등 생체정보의 보호와 안전한 활용을 위해 2021년 개정한 ‘생체정보 보호 가이드라인’은 기존 가이드라인을 전면 개편한 것으로, 안전한 생체정보 이용환경 조성을 위해 개인정보처리자·관련기기 제조사·이용자 등이 알아야 할 사항을 구체적이고 알기 쉽게 안내하는 것을 최우선으로 했다. 가이드라인에 게재된 생체인식정보의 특성 및 보호 원칙, 생체정보 처리 단계별 보호 조치와 생체정보 적용 대상인 개인정보처리자·제조사·이용자의 자율점검 방법을 시리즈로 소개한다.

[이미지=utoimage]


생체인식정보 보호 조치(개인정보처리자 및 제조사)-생체인식정보 보관·파기 단계
생체인식정보의 보관 시 안전한 알고리즘으로 암호화해 저장한다. 또 특징정보가 생성된 경우, 원본정보는 그 목적이 달성된 것으로 볼 수 있으므로 지체 없이 복구 또는 재생되지 않도록 파기하는 것이 원칙이다. 더불어 법적 근거가 있거나 이용자의 동의를 받아 원본정보를 보관하는 경우, 해당 이용자의 다른 개인정보와 분리해 저장·관리한다.

△생체인식정보 저장 시 암호화(의무/안전성)
생체인식정보 보관 시 제3자에 의한 위·변조, 유출 등의 침해 방지를 위해 안전한 알고리즘으로 생체인식정보(원본정보 및 특징정보 포함)를 암호화해 저장한다. 원본정보는 변경이 불가능하고, 원본정보로부터 인종·건강 등 다른 민감정보가 추출될 수 있는 등의 사생활 침해 우려가 있으며, 특징정보는 유출 시 인증·식별 목적으로 악용될 수 있으므로 암호화 조치가 필수다.

암호화된 개인정보를 안전하게 보관하기 위해 안전한 암호키의 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행한다. 암호키 생성에 필요한 난수는 안전한 난수발생기를 이용해 생성하고, 생성된 암호키는 노출되지 않도록 안전하게 보관하며, 하드웨어 손상 또는 소프트웨어 오류 등으로 인해 소실되지 않도록 별도 장치에 백업한다.

△생체인식정보의 파기(의무/안전성)
이용자로부터 동의받은 보유·이용 기간 경과, 개인정보의 처리 목적 달성 등 생체인식정보가불필요하게 됐을 때 해당 생체인식정보를 지체 없이 파기(복원이 불가능한 방법으로 영구 삭제)한다. 일반적으로 특징정보가 생성되면 원본정보의 수집·이용 목적이 달성된 것이므로, 원본정보는 특징정보 생성 시 지체 없이 파기하는 것이 원칙이다.

△원본정보 보관 시 분리 보관(권장/안전성)
특징정보 생성 시 원본정보를 파기하지 않고 보관하는 경우, 원본정보 유출에 따른 피해를 최소화하기 위해 원본정보는 해당 이용자의 다른 개인정보와 분리해 별도로 저장·관리를 권장한다. 물리적으로 분리해 보관하는 것을 원칙으로 하고, 불가피한 경우 물리적 분리와 대등한 수준으로 논리적으로 분리해 보관 가능하다. 분리 보관된 원본정보에 대한 접근권한을 최소화하고 접근 통제 및 외부 해킹 방지 등의 보호 조치를 이행한다. 이용자의 원본정보와 다른 개인정보를 연결하는 공통 식별자는 임의 값을 활용해 직접적으로 해당 이용자가 식별되지 않도록 조치한다. 특히, 원본정보를 대량으로 보관·이용하는 국가기관·공공기관 등의 개인정보처리자는 원본정보 유출시 피해가 더 클 수 있으므로 분리 보관을 필수로 적용하는 것을 적극 권장한다.
[박미영 기자(mypark@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)