이에 정부는 생체정보보호 가이드라인을 연말까지 내놓기로 하고, 초안을 내달 말까지 완성한다는 계획을 세웠다. 위조방어 식별 기술도 개발된다. 이와 관련한 시험인증 서비스는 2019년에 시작된다.

최근 웹 개발자로 알려진 한 사용자가 실제 얼굴 대신 사진으로 ‘갤럭시노트8’ 잠금해제에 성공한 영상을 트위터에 공개했다. 스마트폰 2대를 사용해 한 기기에서 얼굴 사진을 띄우고, 이를 다른 기기에 인식하게 했는데, 사진을 정상 사용자로 인식하고 사용을 허가했다.

지난 5월 독일 해킹그룹 CCC(Chaos Computer Club)는 카메라, 레이저프린터, 콘택트렌즈 등을 이용해 ‘갤럭시S8’ 홍채인식을 해킹해 잠금을 해제하는 영상을 올렸다. 물론, 복수의 조건을 충족시킨 해킹 시연이라 현실에서 발생할 가능성은 낮지만, 생체정보 중에서도 위조하기 어려워 보안성이 높은 것으로 알려진 홍채마저 뚫린 것이다.

이 해킹그룹은 독일 국방장관의 사진을 이용해 위조지문을 제작하기도 했고, 스마트폰에 묻은 지문을 스캔한 후 PCB에 부착, 목공풀에 붙여 위조지문을 완성해 타인의 스마트폰을 해킹하기도 했다.

이러한 해킹사례로 인해 생체정보의 중요성 또한 커지고 있다. 생체정보는 기존의 비밀번호 등과 달리 고유한 정보다. 생체인증에 활용되는 홍채, 지문, 정맥 등은 해킹당해다고 해서 값을 바꿀 수 있는 정보가 아니다.

그럼에도 생체인증 시장은 점점 커지고 있다. 글로벌 시장조사기관인 AMI에 따르면 모바일 기반 바이오인식 시장은 2020년까지 연평균 67% 성장하며 346억달러(약 38조2000억원)를 기록할 것으로 예상된다. 2020년 스마트폰, 태블릿PC, 웨어러블 등 모든 스마트기기에 100% 바이오 인식 기술이 적용될 전망이다.

이에 방송통신위원회(이하 방통위)는 연내 생체정보보호 가이드라인을 발표하기로 로드맵을 세웠다. 현재 한국인터넷진흥원(KISA)을 비롯해 학계·업계·법조계 전문가들과 작업반을 구성해 내용을 검토하고 있다. 내달 말 가이드라인 초안을 내놓은 후 11월경 의견수렴을 거쳐 최종안을 도출할 계획이다.

방통위 관계자는 “생체정보 성격상 원본정보가 유출되면 변경 불가능하기 때문에 원칙적으로 원본정보는 파기하도록 해야 한다”며 “가이드라인 적용 대상은 모든 생체 관련 정보가 아니라 인식 식별 목적의 바이오 정보”라고 말했다.

다만, 시장에서는 알고리즘 등을 개선하려면 데이터가 필요하다고 요청하고 있어 특수 경우 때 정보주체와 서비스 제공자 간 합의 도출을 어떻게 이룰 것인지에 대해 논의하고 있다.

바이오인식 정보는 확률에 대한 매칭이다. 알고리즘 고도화나 서비스 개선이 필요한데, 개인을 익명화하는 등의 조치를 취할 수 있다. 이 때 이용자 동의와 원본데이터의 보호조치 등과 관련한 세부사항이 결정돼야 한다. 기본적인 원칙인 원본파기를 따르면서 예외의 경우에 대해서도 고민하고 있다는 입장이다.

이와 함께 KISA는 바이오인식 안정성을 인증 받을 수 있도록 모바일 기반 성능 시험 기술과 위조 방어 식별 기술 개발에 돌입하고 내년까지 기술 개발을 완료키로 했다. 2019년경 시험인증 서비스를 시작하는데, 위조 방어 식별 기술은 모바일뿐 아니라 고정형 등 모든 바이오인식 제품을 대상으로 한다.

김승주 고려대 정보보호대학원 교수는 “해외 정부보고서에도 아직 생체인식 기술이 완전하지 않으니 반드시 비밀번호 등 다른 인증수단과 함께 사용하라고 권고하고 있다”며 “3D 프린터로 얼굴을 구성해 해킹하는 등 상용화된 안면인식을 모두 우회할 수 있다는 언급도 나온바 있다”고 말했다.

이어 “생체인증은 아직 발전하고 있기 때문에 완전무결한 것처럼 과대 포장하는 마케팅은 지양해야 한다”고 지적했다.

<최민지 기자>cmj@ddaily.co.kr