생체인식정보 활용 서비스 안전 이용을 위한 구체적인 이용 방법과 주의사항 안내

[보안뉴스 박미영 기자] 개인정보보호위원회(이하 개인정보위)가 지문·얼굴·정맥·홍채 등 생체정보의 보호와 안전한 활용을 위해 2021년 개정한 ‘생체정보 보호 가이드라인’은 기존 가이드라인을 전면 개편한 것으로, 안전한 생체정보 이용환경 조성을 위해 개인정보처리자·관련기기 제조사·이용자 등이 알아야 할 사항을 구체적이고 알기 쉽게 안내하는 것을 최우선으로 했다. 가이드라인에 게재된 생체인식정보의 특성 및 보호 원칙, 생체정보 처리 단계별 보호 조치와 생체정보 적용 대상인 개인정보처리자·제조사·이용자의 자율점검 방법을 시리즈로 소개한다.


생체인식정보 활용 서비스 이용안내(이용자)
이용자가 생체인식정보 활용 서비스를 이용하기 전에 사전 확인을 위해 알아둬야 할 사항과 생체인식정보 활용 서비스를 안전하게 이용하기 위한 구체적인 이용 방법과 주의사항 등을 안내한다.

1. 생체인식정보를 자신이 통제할 수 있는 서비스인지 확인
서비스 이용 전 생체인식정보를 본인의 스마트폰이나 보안토큰, 스마트카드 등 본인이 직접 소지할 수 있는 매체에 저장·처리하는 서비스 방식인지 여부를 확인한다. 생체인식정보를 서버로 전송해 처리하는 서비스의 경우 침해사고 발생 시 대규모 생체인식정보 유출로 피해가 커질 우려가 있으므로 생체인식정보를 본인이 소지해 통제할 수 있는 경우보다 개인정보 처리방침 및 이용약관을 면밀히 검토하고 본인의 생체인식정보에 대한 통제권을 적극적으로 행사하는 등 서비스 이용 시 주의가 필요하다.

2. 적절한 대체 수단 요구
생체인식정보 제공을 원하지 않거나 본인이 제시하기 어려운 특정한 생체인식정보만을 요구해 서비스 혜택을 받을 수 없는 경우에는 다른 생체인식정보 또는 적절한 대체 수단을 요구할 수 있다. 출입통제·복무관리 등 물리보안 서비스인 경우, 출입카드·비밀번호 등의 대체 수단 또는 대면 확인 절차 마련 등을 요구할 수 있다. 정보통신서비스를 제공하는 앱의 경우 서비스 제공자가 지원하는 핀 번호 입력, ARS 인증, 일회용 비밀번호(One-Time Password) 인증 등 생체인증 서비스 이외의 대체 수단을 선택한다.

3. 적법하게 수집·이용 동의를 받는지 확인
△개인정보처리자가 생체인식정보 수집·이용 동의를 적법하게 받는지 확인
서비스 제공을 위해 필요한 최소한의 정보 외에 과도한 수집·이용 동의를 요구하고 있지 않은지 확인한다. 생체인식정보 수집·이용 동의 시 일괄 전체 동의를 클릭하기 전에 특화된 부가 서비스 제공 등을 위해 수집하는 선택동의 항목을 확인하고 동의 여부를 결정한다. 특징정보 생성 후에도 원본정보를 파기하지 않고 보관하는 경우, 원본정보를 보관하는 목적과 보유 기간 등을 확인하고 동의가 필요하다.

△이용하는 서비스가 원본정보의 서버 저장에 대한 동의를 요구하는지 확인
원본정보는 그 자체로 개인을 유일하게 식별할 수 있고 변경이 불가능한 특성으로 한번 유출되면 그 피해를 복구하기 어려우므로, 해당 서비스를 이용하는 목적을 달성하는데 필수적인 경우가 아니라면 원본정보의 서버 저장에 동의하지 않는 것을 권장한다.

4. 개인정보 처리방침 및 이용약관 면밀히 검토
서비스 가입 시 개인정보 처리방침 및 이용약관을 통해 서비스 제공자가 수집·이용하는 생체인식정보의 이용목적, 항목, 보유·이용 기간, 이용자의 통제권 행사 방법 등을 면밀히 검토한다. 생체인식정보를 포함해 본인의 개인정보를 과도하게 수집하거나, 부당하게 이용하는 부분이 있는지 검토하고 특징정보 생성 후 원본정보를 파기하지 않는다면 그 목적 및 보유 기간 등을 확인해야 한다.

5. 생체인식정보가 동의한 목적으로 사용되는지 확인
서비스 웹사이트 및 앱에 접속해 본인의 생체인식정보가 어떻게 처리되고 있는지, 당초 동의한 목적으로 사용되고 있는지 등을 확인한다. 본인의 생체인식정보가 자신이 동의하지 않은 목적으로 이용되는 등 권리침해가 우려되는 경우 개인정보처리자에게 자신의 개인정보에 대한 열람·처리정지·정정·삭제를 요구할 권리가 있고, 생체인식정보 처리와 관련해 권리 또는 이익을 침해받은 이용자는 개인정보침해신고센터에 침해 사실을 신고 가능하다.

6. 본인의 생체인식정보에 대한 통제권 행사
본인의 기기 등에서 생체인식정보에 대한 통제 방법을 확인하고 필요 시 본인의 생체인식정보를 수정하거나 삭제한다. 생체인식정보를 이용하는 온라인 서비스 등은 이용자의 자기정보 통제권을 제공하기 위해 본인의 생체인식정보의 저장 여부 확인, 삭제, 동의 취소 등의 기능을 지원한다. 이용자는 해당 기능을 이용해 자신의 생체인식정보를 보호하기 위해 적극적인 통제권을 행사한다.

7. 생체인식정보 외 추가적인 인증수단 적용
스마트폰에 등록한 지문·얼굴 등 생체인식정보는 본인 확인·거래 승인 등에 편리하게 이용할 수 있으나 제3자 등이 본인도 모르게 악용할 소지가 있다. 그러므로 금융 거래 등 중요한 서비스인 경우 핀 번호 입력, ARS 인증, 일회용 비밀번호(OTP: One-Time Password) 인증 등 지식·소유 기반의 추가 인증수단을 적용한다.

참고로 생체인식정보 도용 사례로는 ①의뢰인 가정에 파견된 전문 요양보호사가 환자의 휴대폰에 ○○페이 애플리케이션을 몰래 다운로드한 뒤 자신의 계좌에 연동하고, A씨의 돈을 무단으로 갈취 ②전신마비인 환자에게 사진을 찍어주겠다며 접근한 뒤 어플리케이션에서 요구하는 신분 확인 과정을 통과 ③12세 소년이 단체 채팅방에서 방장이 “○○페이 잔액을 캡처해 보내면 10배의 금액을 보내주겠다”는 말에 속아, 새벽 3시 자고 있던 어머니 리모 씨를 흔들어 깨운 뒤 스마트폰으로 얼굴을 스캔해 어머니의 계좌에서 돈을 출금한 사례가 있었다.
[박미영 기자(mypark@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>