전문가칼럼

[ICT법 바로알기 86] 생체정보(바이오정보)와 개인정보보호

김경환

[법무법인 민후 김경환 변호사] 생체실험을 연상시키는 생체정보는 명칭에 대한 거부감에도 불구하고 우리 삶에 이미 가까이 와 있다. 삼성전자는 갤럭시 노트7에 홍채 인식 시스템을 탑재하였고, 금융권은 생체정보를 이용한 금융거래서비스 제공을 시작하며 그 확산에 박차를 가하고 있다.

사실 생체정보란 용어는 일반적인 법적 용어는 아니다. 전자금융거래법에는 접근매체의 한 유형으로 ‘생체정보’란 용어를 쓰고 있지만, 개인정보보호법령 등에서는 ‘바이오정보’라는 표현이 더 많이 쓰이고 있다. 이렇듯 용어조차도 법적으로 정립이 되어 있지 않은 상황이다.

생체정보는 기억이나 보유를 할 필요가 없어 편의성이 극대화되지만 고유성(uniqueness)을 가지고 있고 유출시 심각한 문제를 초래할 수 있다. 때문에 비밀번호, OTP 등과 같은 통상적인 인증수단보다는 훨씬 더 강력한 안전성 확보 수준을 유지하여야 한다.

안전성 확보 수준을 유지하는 방법으로는 기술적인 조치와 규범적인 조치가 있다.

기술적인 조치로 거론되는 것으로는, 생체정보를 서버에 저장하지 않고 단말기에 저장하는 FIDO(Fast Identity Online) 방식이나 금융결제원이 추진하는 '금융권 생체정보 분산관리' 등이 있다. 법적으로 강제되고 있지는 않으나 원본정보를 파기하고 보관하지 않는 조치도 매우 바람직한 기술적 조치로 평가된다.

하지만 규범적 조치에 대하여는 고려가 극히 미미한 상황이다. 규범적 조치에 일부 반산업적 규제가 포함될 수 있지만, 그렇다고 하여 기술적 조치만으로 안전성 확보를 완성할 수 있다고 생각하는 것은 어불성설이다. 규범적 조치의 정비가 시급하다는 전제 하에 몇 가지 고려사항을 제시하고자 한다.

첫째, 용어의 정립이 필요하다. 이미 설명했듯이 금융권에서는 ‘생체정보’란 용어를 사용하고 있다. 전자금융거래법 제2조 제10호에서 이용자의 생체정보를 접근매체의 하나로 칭하고 있기 때문이다.

하지만 비금융권에서는 ‘바이오정보’란 용어가 일반적이다. 행정자치부의 안전성확보조치 기준이나 방송통신위원회의 기술적·관리적 보호조치 기준이 대표적인 예이다. 다만 한국인터넷진흥원 정보보호산업지원센터에서는 ‘바이오인식정보’라는 용어를 사용하고 있다. 국회 보고서에서는 ‘생체인식정보’라는 용어를 사용하기도 하였다.

용어의 통일이 필요하다. 각 영역에서 같은 대상을 다르게 호칭할 필연적인 이유가 존재하지 않는다.

둘째, 바이오정보와 바이오인식정보의 구별이 필요하다. 이 문제는 첫 번째 쟁점과도 밀접한 관련이 있다.

현재 우리법은 biometrics와 biometric data를 구별하지 않고 있다. 하지만 선진국에서는 이 두 용어를 구별하여 사용하고 있다.

예컨대 미국 NTSC(국가과학기술위원회)에서는 biometrics는 자동인식에 사용될 수 있는 생물학적 또는 행동적 특징이지만, biometric data는 식별 또는 인증 등의 자동인식 과정에서 생성되는 원본정보, 특징정보 등의 모든 형태의 정보로 정의하고 있다. 국제생체인식협회(IBIA)도 마찬가지이다.

또 다른 예로, EU GDPR 제4.14조에서도 데이터처리 과정에서 생성되는 biometric data를 정의하면서, 특징에 해당하는 biometrics와 간접적으로 구별하고 있다.

한 개인의 생체적 특징 자체와 데이터처리 과정에서 생성되는 정보는 구별할 수 있고, 구별하는 것이 타당하다.

하지만 우리 법은 예컨대 아래와 같이 biometrics와 biometric data를 구별하지 않고 단지 생체정보 또는 바이오정보라고 정의하고 있다. 우리법의 생체정보 또는 바이오정보가 biometrics와 biometric data 중 어떤 것을 의미하는지도 알 수 없게 되어 있다.

안전성확보조치 기준 제2조 제16호
“바이오정보”란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.

biometrics와 biometric data를 구별하는 것이 필요하다. 전자는 특정 개인의 생체적 특징 자체를 말하는 것이라면, 후자는 biometrics의 식별 또는 인증 처리 과정에서 생성되는 정보를 의미하며, 전자는 반드시 식별 또는 인증 절차와 관련이 있는 것은 아니지만, 후자는 식별 또는 인증 절차와 밀접한 관련이 있다.

예컨대 단순한 얼굴사진이 있다면 이는 biometrics에는 해당하지만 biometric data에 해당하지 않는다. 하지만 우리 법에 따르면 얼굴사진은 생체정보 또는 바이오정보에 해당한다.

biometrics와 biometric data를 구별하는 것이 타당하다면, 양자를 고려한 명칭 부여를 고려하여야 한다. 양자를 묶어서 생체정보 또는 바이오정보로 통칭하는 것을 피하고, biometrics를 바이오정보라고 칭한다면 biometric data는 바이오인식정보로 칭하는 것도 하나의 방안으로 보인다.

셋째, 생체정보에 대한 보안성 강화가 필요하다. biometrics와 biometric data의 구별은 이 문제 즉 양자의 법적 지위의 차별적 부여와 밀접한 관련이 있다.

현재 우리 법은 생체정보 또는 바이오정보를 일반적인 개인정보와 동등하게 취급하고 있다. 예컨대 개인정보보호법은 ‘주민등록번호 → 민감정보·고유식별정보 → 일반개인정보·바이오정보’ 순서로 보호수준을 달리하고 있다. 즉 바이오정보를 민감정보보다도 낮게 취급하고 있으며 주소 등의 일반적인 개인정보와 똑같이 취급하고 있다.

고유성이 있어 일생을 두고 변경이 불가능한 바이오정보를 일반적인 개인정보와 동등하게 취급하고 있고, 민감정보(사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보)보다도 더 낮게 보호하고 있다는 점은 상식적으로 이해가 되지 않는 부분이다.

사실상 이 문제는 biometrics와 biometric data의 구별 불비에도 그 원인이 있다. 단순한 얼굴사진은 전자에 해당하지만, 얼굴정보를 전자적으로 수집하여 식별 또는 인증 과정에 활용하는 경우에는 후자로 취급하여야 함에도 불구하고, biometrics와 biometric data를 구별하지 않은 우리 법에서는 이러한 법적 지위의 차별적 부여를 할 수 없기 때문이다.

결론적으로 biometrics와 biometric data의 구별을 전제로, biometrics는 일반적인 개인정보로 취급하여도 되지만, biometric data는 민감정보 또는 그 이상의 규범적 보호를 취하는 것이 타당하다.

넷째, biometric data에 대한 보안조치의 의무화가 필요하다. 한번 유출되면 치명적인 피해로 이어질 수 있는 biometric data에 대한 보안조치의 상향조정이 요구된다.

현행법과 같이 biometrics와 biometric data를 구별하지 않는 상황이라면 보안조치의 상향화가 많은 문제를 낳을 수 있지만, biometrics와 biometric data를 구별하는 것을 전제로 한다면 후자에 대한 보안조치 상향화는 규제 측면에서 그 부작용을 최소화할 수 있다.

biometric data에 대한 보안조치 상향화의 대표적인 예로는 원본정보의 파기, 원본정보·특징정보의 분리보관 등의 조치가 있을 수 있다.

biometric data 이용에 대한 많은 우려가 있지만 보안조치의 규범화는 전혀 진전이 되지 않고 있는 상황이다. 최소한의 보안조치는 규범적으로 구비되어야 할 것이다.

생체정보의 이용확대는 피할 수 없는 추세이며 그로 인한 피해도 피할 수 없을 것이다. 이를 방지하고 그 피해를 최소화하기 위하여, 생체정보의 활용 확산에 따른 규범 정비가 시급하며 최소한의 보안조치 구비도 필수적이다. 개인정보 보호는 기술적으로는 완성할 수 없고, 규범적인 대책도 수반되어야 한다. 생체정보 분야의 규범 선진화를 통한 개인정보 보호가 절실한 상황이다.

<법무법인 민후>www.minwho.kr

<기고와 칼럼은 본지 편집방향과 다를 수도 있습니다>

김경환
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널