[WIKI 포커스] 웨어러블 시대, 당신의 생체 정보가 위험하다
[WIKI 포커스] 웨어러블 시대, 당신의 생체 정보가 위험하다
  • 박영근 기자
  • 승인 2023.12.11 09:52
  • 수정 2023.12.11 09:55
  • 댓글 0
이 기사를 공유합니다
음성·행동·심박수 등 생체 정보 데이터화 및 저장 용이
최근 한 보이스피싱범, 얼굴인식 악용해 200만원 인출
EU유럽연합, 지난 8일 '인공지능(AI) 규제법' 최초 합의

■ 일상 속 파고 든 웨어러블, 누적되는 생체 정보

운동 시작 전 스마트워치에서 달리기 모드를 설정한다. 총 몇시간 운동했는지에 대한 기본적인 정보부터 심박수·칼로리 소모량 등 다양한 생체 정보까지 모든 데이터가 저장된다. 심지어 스마트워치는 수면부터 스트레스 수치까지 개인의 신체적·생리적·행동적 특징도 체크해준다. AI 기술이 발전하면서 따로 내 생체정보를 가지고다니거나 기억할 필요가 없어진 것이다.

생체정보는 크게 신체적 특성과 행동적 특성으로 나눌 수 있다. 신체적 특성으론 지문·홍채·정맥·얼굴 등이 있다. 행동적 특성으론 음성·필체·특정 행동·걸음걸이 등을 꼽을 수 있다. 이같은 정보는 크게 4가지 단계를 거쳐 입력되게 된다. ▲센서를 통한 입력 ▲입력된 정보서 특징 추출 ▲특징을 개인정보와 보관 ▲저장된 정보의 비교 판독 인증 등이다.

통상 보안업계는 입력과 추출 단계에서 개인의 고유한 생물학적 특징을 이용하기 때문에 복제가 사실상 불가능하다고 내다보고 있다. 일부 특징만 추출해 이용하기 때문에 홍채나 정맥을 100% 복제할 순 없다는 것이다. 이같은 이유로 생체정보는 금융·의학·개인정보 등에서 활발히 사용되고 있다. 

■ 편리함과 공포, 생체인증 정보의 '두 얼굴'

생체인증의 이같은 신뢰와 장점은 정보 유출시 '최악의 배신자'로 돌변한다. 비밀번호나 공인인증서의 경우 변경이나 재발급이 가능하지만 정맥이나 홍채의 경우엔 손 쓸 방법이 없기 때문이다. 

미국에선 과거 연방인사관리처가 해커의 공격을 받아 공무원 560만 명의 지문 정보가 유출되는 사고가 있었다. 공무원증을 위조할 가능성이 있는 만큼 미 당국은 당시 해당 사안을 심각하게 받아들였다. 

최근 우리나라에서도 생체인증을 악용한 범죄가 발생했다. 수사 결과  검찰 수사관을 사칭한 범인은 게임 사이트 이용자의 정보를 도용해 전화로 결제유도 메시지를 보냈고, 피해자에게 계속 휴대폰 화면을 보도록 유도해 생체 인증을 실시해 약 200만 원을 빼갔다.

그럼에도 불구하고 생체인식 정보 시장은 보안에 가장 효과적인 기술로 인지되고 있다. 특히 IoT, 빅데이터, 인공지능, 블록체인 등의 기술 발달이 생체인식의 불안성을 상쇄시켜주고 있다. Marketsandmarkets에 따르면 세계 생체인식 시스템 시장은 2020년 348억 달러에서 오는 2027년 829억 달러로 연평균 13.2% 증가할 것으로 예상됐다. 

유럽연합은(EU)는 이에 생체인식 정보의 확장과 규제를 정리할 필요성을 느끼고 지난 8일(현지시간) 생체 정보 수집을 업격하게 제한하고 투명성 의무를 강화하는 것을 골자로 한 '인공지능 규제법'에 최초 합의했다.

ⓒLG CNC
ⓒLG CNC

■ 유출되는 생체 정보 방어, 개인·수집가 주의 '필수'

범 세계적 노력도 필요하지만 생체정보 보호를 위해선 개인과 수집자의 주의도 중요하다.

먼저 개인정보 수집·이용 동의서를 꼼꼼히 살펴볼 필요가 있다. 특징 정보는 민감 정보로 분류되는 만큼 다른 개인정보들과는 달리 별도 동의를 받아야 한다. 수집자는 동의서에 정보 수집을 거부할 권리가 있다는 내용과 함께 수집 항목·보유 이용기간·동의 거부에 따른 불이익과 불이익에 대한 내용 등을 담아야 한다.

수집된 생체인식정보는 사용자가 스스로 이용 여부를 결정할 수 있도록 열람·정정·삭제 등 통제가 이뤄져야 한다. 이로인해 수집자는 사용자가 기기상에 등록된 생체인식정보를 수정·삭제할 수 있도록 하는 기능을 제공해야 한다. 아울러  정보통신망을 통해 생체인식정보를 전송해야 할 경우 완전한 알고리즘으로 암호화한 뒤 전송해야 한다. 

끝으로 수집자는 알고리즘 암호화로 전환할 때 사용한 암호키는 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립하고 이에 따라 관리해야 한다. 만약 보유 이용기간이 지나거나 처리 목적이 달성했다면 해당 생체인식은 지체 없이 파기돼야 한다. 이를 위반할 경우 개인정보 보호법 시행령 제18조 제3호와 개인정보 보호법 제23조 등을 통해 법적 처벌을 받을 수도 있다. 

한 업계 전문가는 "생체 인증 과정에 대한 관리가 미흡하면 큰 피해를 입을 수 있다"면서 "예를들어 공인인증서가 폐지되고 난 후 대다수의 인증서들은 간편 비밀번호나 생체 인증을 통해 편의성만을 강조하고 있는 상황이다. 생체인증에 대한 피해 사고를 방지하기 위해선 생체 인증 절차에 대한 보완 대책을 반드시 마련해야 할 것"이라고 강조했다. 

[위키리크스한국=박영근 기자]

bokil8@wikileaks-kr.org

저작권자 © 위키리크스한국 무단전재 및 재배포 금지
박영근 기자
박영근 기자 다른기사 보기
기자가 쓴 기사
  • 서울특별시 마포구 마포대로 127, 1001호 (공덕동, 풍림빌딩)
  • 대표전화 : 02-702-2677
  • 팩스 : 02-702-1677
  • 청소년보호책임자 : 소정원
  • 법인명 : 위키리크스한국 주식회사
  • 제호 : 위키리크스한국
  • 등록번호 : 서울 아 04701
  • 등록일 : 2013-07-18
  • 발행일 : 2013-07-18
  • 발행인 : 박정규
  • 편집인 : 박찬흥
  • 위키리크스한국은 자체 기사윤리 심의 전문위원제를 운영합니다.
  • 기사윤리 심의 : 박지훈 변호사
  • 위키리크스한국 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 위키리크스한국. All rights reserved.
  • [위키리크스한국 보도원칙] 본 매체는 독자와 취재원 등 뉴스 이용자의 권리 보장을 위해 반론이나 정정보도, 추후보도를 요청할 수 있는 창구를 열어두고 있음을 알립니다.
    고충처리 : 02-702-2677 | 메일 : laputa813@wikileaks-kr.org
ND소프트