홍채·지문 생체정보 털어가도… 법적 보호장치가 없다

홍채, 정맥, 지문 등 생체정보를 금융거래에 활용하는 바이오 인증이 확산되고 있지만, 보안을 위한 구체적인 법적 규제 장치가 없어 대책이 시급하다. 바이오 정보는 유출돼도 바꿀 수 없어 이중삼중의 보안책 마련이 필요하다는 지적이 나온다.

16일 금융보안원이 발표한 ‘바이오정보 사고사례 및 대응방안 조사’ 보고서를 보면 바이오 정보를 위조하거나 해킹 등으로 정보를 유출한 보안 사고가 이미 국내외에서 발생했다. 지난해 2월 경북에선 소방공무원들이 실리콘으로 위조지문을 만든 뒤 근태관리용 지문인식단말기에 인식시켜 초과근무수당을 챙기다 적발돼 경찰에 입건된 사건도 있었다. 독일 해커단체 CCC는 2014년 구글에서 찾은 블라디미르 푸틴 러시아 대통령의 고해상도 사진을 출력해 홍채를 복제해 공개했다. 생체정보도 얼마든지 복제와 악용이 가능함을 공개 경고한 셈이다. 연구결과 복제된 지문이나 홍채로도 인증에 성공하는 비율이 62.37%에 달하는 것으로 나타났다. 미국에선 보안 서버가 해킹당해 생체정보가 통째로 빠져나간 사례도 있다.

보고서는 “바이오정보 위조를 막기 위해 지문과 홍채 인증을 동시에 진행하는 다중인증 기술과 위조된 바이오정보 식별 기술을 도입해야 한다”고 조언했다. 또 “바이오 정보를 암호화해 개인식별정보와 분리 보관하고, 재발급 가능한 바이오정보 기술(원래 바이오 정보에 변형을 가해 특정 정보만 추출하는 방식)을 검토해야 한다”고 강조했다.

문제는 비용이다. 금융보안원 관계자는 “보안 강화를 위한 기술은 이미 개발돼 있으나 이를 도입해 적용하기엔 비용이 많이 든다”고 말했다. 법적 구속력도 없어 굳이 비용을 더 들이며 이중삼중의 보안장치를 도입할 이유가 없다는 것이다. 현재 금융사가 참고할 수 있는 자료는 금융보안원이 지난달 4일 180여개 회원사에 배포한 ‘금융서비스 바이오정보 인증 가이드라인’ 정도다.

국회 입법조사처에서는 이 같은 법적 공백을 메울 보호 장치를 갖춰야 한다는 보고서를 냈다. 입법조사처 심우민 조사관은 ‘스마트 시대의 생체정보 보호를 위한 입법과제’ 보고서에서 “현재 생체정보 보호에 대해 직접적·개별적으로 규율하고 있는 법률 규정이 없다”며 “개인정보보호법 등 현행 규정을 해석해 개념적 범위를 확정하고 있을 뿐”이라고 지적했다.

정부 차원의 가이드라인도 정보통신부 시절인 2005년 제정된 ‘바이오정보 보호 가이드라인’이 전부다. 이 가이드라인은 2007년 개정된 뒤 현재까지 한 차례도 개정되지 않았다.

심 조사관은 “생체정보가 일반 개인정보와 차별화된 특징을 가지고 있어 핀테크 확산과 함께 생체정보 활용이 증가할 것으로 예측된다”며 “생체정보를 암호화해 보관하고, 이름·주민등록번호 등 개인정보와 분리해 저장하는 등의 내용을 담은 규정을 개인정보 법률에 별도로 두는 방안을 고려해야 한다”고 밝혔다. 또 생체정보 활용 기기와 서비스를 설계하는 단계부터 프라이버시 보호 문제를 반영토록 하는 규정을 법에 넣는 방안도 필요하다고 제안했다.

박은애 기자 limitless@kmib.co.kr