Home > 전체기사

[생체정보 보호 가이드라인-7] 안전한 이용환경 조성-제조사의 역할

  |  입력 : 2022-01-03 23:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
생체인식정보를 안전하게 이용할 수 있는 환경 조성을 위해서는 제조사의 역할 중요

[보안뉴스 박미영 기자] 개인정보보호위원회(이하 개인정보위)가 지문·얼굴·정맥·홍채 등 생체정보의 보호와 안전한 활용을 위해 2021년 개정한 ‘생체정보 보호 가이드라인’은 기존 가이드라인을 전면 개편한 것으로, 안전한 생체정보 이용환경 조성을 위해 개인정보처리자·관련기기 제조사·이용자 등이 알아야 할 사항을 구체적이고 알기 쉽게 안내하는 것을 최우선으로 했다. 가이드라인에 게재된 생체인식정보의 특성 및 보호 원칙, 생체정보 처리 단계별 보호 조치와 생체정보 적용 대상인 개인정보처리자·제조사·이용자의 자율점검 방법을 시리즈로 소개한다.

[이미지=utoimage]


안전한 이용환경 조성(제조사의 역할)
이용자의 생체인식정보를 수집·이용하는 자는 개인정보처리자이나 개인정보처리자가 생체인식정보를 안전하게 이용할 수 있는 환경 조성을 위해서는 제조사의 역할이 중요하다.

1. 제조사 역할의 중요성
개인정보 보호 법령에 따라 생체인식정보를 안전하게 처리할 책임과 의무는 개인정보처리자에게 있으나 생체인식정보의 안전한 관리를 위한 기술적·관리적 보호 조치 등은 일반적으로 제조사의 시스템 개발 및 기능 설정에 따라 큰 영향을 받으므로 개인정보처리자의 안전한 생체인식정보 처리를 위해서는 제조사의 역할이 중요하다.

제조사는 제품·서비스의 기획·설계 및 개발 단계에서 생체인식정보의 전송·저장 시 암호화, 안전한 파기 등 생체인식정보의 안전성 확보에 필요한 기술적·관리적 보호 조치 등을 제품·서비스에 적용해야 한다. 또한, 제품·서비스를 도입해 운영하는 개인정보처리자 및 개인이 생체인식정보 처리시스템을 안전하게 관리·운영하는데 필요한 관리 기능을 제공하고 그 이용 방법을 안내해야 한다.

2. 안전한 제품·서비스 개발
△기획·설계 단계부터 개인정보보호 중심 설계(PbD) 원칙을 적용하고 본 가이드라인에서 안내하는 생체인식정보의 안전성 확보에 필요한 기술적·관리적 보호 조치 등을 제품·서비스에 적용해야 한다. 국내외 생체인식정보 보호 관련 표준을 참고해 국제적으로 경쟁력 있는 안전한 제품·서비스를 개발한다.

△(생체인식정보 수집장치 제조사) 지문인식 센서 등 생체인식정보를 이용자로부터 직접 수집해 특징정보를 추출하는 장치를 제조하는 경우, 생체인식정보 유출 및 위·변조에 따른 위험을 최소화하기 위해 특징정보로부터 원본정보가 쉽게 복원되지 않도록 특징정보 생성 알고리즘을 설계한다. 원본정보 수집 시 실리콘 인공지문, 캡처된 얼굴·홍채사진, 녹음된 음성 등 위·변조된 생체인식정보를 이용한 공격에 대한 보안 대책을 마련한다. 고객의 요청 등 특별한 사정이 없다면 원본정보는 특징정보가 생성되면 지체 없이 파기해 원본정보 유출에 따른 개인정보 침해위험을 예방한다.

△(생체인식정보 처리 시스템·서비스 제조사) 출입통제·복무관리 시스템 등 생체인식정보를 이용해 이용자를 인증한 후 특정 서비스를 제공하는 정보처리시스템 제조사와 쇼핑·금융 앱 등 이용자 대상의 온라인 서비스 개발사 등의 경우, 전송 및 보관 과정에서 생체인식정보가 유출 및 위·변조되지 않도록 안전한 알고리즘으로 암호화하고 암호키를 안전하게 관리한다. 원본정보는 특징정보가 생성되면 지체 없이 파기하는 것이 원칙이며, 이용자로부터 동의를 받거나 법령에 근거가 있어 원본정보를 파기하지 않고 보관하는 경우 다른 개인정보와 분리해 보관하도록 설계·제조한다. 쇼핑·금융 앱 등 온라인 서비스인 경우, 이용자가 자신의 생체인식정보 제공과 이용을 스스로 결정할 수 있도록 생체인식정보의 열람·정정·삭제 등의 통제 수단을 제공한다.

△일반적으로 개인정보 처리시스템에 요구되는 접근 권한 관리, 접근 통제, 접속기록 관리 등 기술적·관리적 보호 조치에 필요한 기능을 지원한다.

△본 가이드라인에 소개된 내용 이외에도 생체인식정보가 유출·변조·훼손되지 않도록 추가적으로 소프트웨어 개발보안(시큐어코딩) 적용, 보안 취약점 점검 등을 통해 보안 강화 조치 이행을 권장한다.

3. 개인정보처리자 관련 안내사항
생체인식정보를 안전하게 처리하기 위해 제품·서비스를 관리·운영하는 방법을 제품 설치 설명서, 사용 설명서, 교육 등을 통해 개인정보처리자에게 안내한다. 현관문에 설치된 지문인식 도어락 등 생체인식정보를 업무 목적으로 이용하지 않는 (개인정보처리자가 아닌) 일반 이용자에게도 안내가 필요하다. 주요 안내사항은 ①기기 도입 시 안전한 키 생성 등 초기 설정 방법 ②목적 달성 시 생체인식정보 삭제 및 안전한 데이터 백업 방법 ③고객이 개인정보처리자인 경우, 생체인식정보 수집·이용 동의 필요사항 안내 ④생체인식정보 처리 기기 폐기 시, 기기에 보관된 생체인식정보의 안전한 파기 방법 안내 등이다.
[박미영 기자(mypark@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)