• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[칼럼] 바이오정보와 바이오인식정보 2006.03.29

< 니트젠 배영훈 대표 >

바야흐로 바이오인식의 시대가 도래하고 있는 것 같다. 미국의 US-VISIT를 비롯해서 대부분의 선진국들이 여권에 바이오정보(지문과 얼굴)를 필수적으로 포함시키는 것을 골자로 법안을 만들어가고 있고, 우리나라도 새로운 주민등록증에 지문을 삽입하는 것을 기정사실화하고 있다.


또한 바이오정보는 출입통제와 PCㆍ네트워크ㆍ데이터 보안 등 에서도 광범위하게 사용이 확장되고 있다. 이제는 바이오인식기술이 본인확인의 대표적인 수단으로 자리매김을 하고 있는 것이다.


바이오인식이란 단어는 얼마 전까지 생체인식으로 불리웠던 것으로 ‘생체’라는 단어가 국민들에게 그 본질과는 다르게 부정적인 이미지를 주기 때문에 이를 해소하기 위해 용어를 변경한 바 있다. 다른 나라와 달리 바이오인식 산업의 발전에 있어서 걸림돌은 일부 시민단체가 끊임없이 주장하는 인권 문제이다. 자신의 바이오정보 즉 지문이나 얼굴 등을 남에게 그 정보를 주는 것 자체를 인권문제로 부각시키고 있는 것이다.


시민단체가 주장하는 것같이 바이오정보는 중요한 개인정보로 반드시 보호되어야 하는 것만은 틀림이 없다. 2005년도에 생체(바이오)정보보호가이드라인이 정통부에 의해 발표가 되어 바이오정보를 보다 안전하게 보호하기 위한 토대를 마련한 것도 이것과 맥락을 같이 한다.


바이오정보보호가이드라인을 살펴보면 세계에 유래가 없는 강력한 보호수단을 총망라하고 있다. 본인의 동의를 받지 않고는 수집도 못하고, 보관, 사용, 폐기에 대해서도 엄격한 규정들이 만들어졌다. 단 이 가이드라인은 강제성이 없기 때문에 일정기간 이 가이드라인에 따라 운영을 해 보고 문제점을 보완한 후, 정식으로 특별 법안까지 마련하기 위해 정통부와 일부 의원들이 추진중이다. 


얼마 전에 국가인권위원회에서 서울대에 정맥인식 출입통제기의 인권침해 여부를 조사하기 위해 방문한 적이 있었다. 방문 목적은 과연 서울대가 바이오정보보호가이드라인을 준수하는 지 여부를 조사하기 위해서이다.


그러나 여기서 우리가 크게 오해할 부분이 있어 이를 바로잡고자 한다. 즉 바이오정보와 바이오인식정보는 본질적으로 다른 것이다. 바이오정보는 지문이나 얼굴, 정맥 들 그 이미지를 말하는 것이고, 바이오인식정보는 개인의 바이오정보를 이용해서 수백자리의 비밀번호를 만들어내는 것이다.


이 둘은 엄연히 다르다. 개인정보라 하는 것은 이름과 주민증, 주소와 같이 그 정보를 알게 되면 그 개인에 대해서도 알게 되는 정보를 뜻한다. 그러나 비밀번호는 개인정보로 분류하지 않는데, 그것은 비밀번호만을 가지고 그 개인을 알아낼 수 없다. 비밀번호는 수시로 바꿀 수 있고, 여러 사람이 같은 비밀번호를 사용할 수도 있기 때문이다. 다만 비밀번호는 자신을 증명하고자 할 때 사용되는 중요한 기법이며, 개인정보와는 달리 어느 누구도 이를 알게해서는 안된다.


지문이나 얼굴과 같은 바이오정보는 그 정보를 가지고 개인을 알아낼 수 있기 때문에, 개인정보와 같이 취급을 해야 하나 바이오인식정보는 비밀번호와 같은 부류로 취급되며 본인 외에는 어떤 경우에도 남이 알게 해선 안된다. 일반 비밀번호는 4~12 자리인데 반해 바이오인식정보는 수백자리이니 도용하기도 불가능하고, 자신이 외울 필요도 없는 매우 편리하고 안전한 수단이 아닐 수 없다.


또 하나 중요한 것은 이러한 바이오인식정보를 이용하여 바이오정보 즉 원본 이미지의 복원은 불가능하다.


따라서 바이오정보보호가이드라인은 바이오정보에 대해 보호기준을 세운 것이지 바이오인식정보를 보호하겠다는 가이드라인이 아니다. 그래서 이 가이드라인의 적용대상여부는 그 원본이미지 즉 바이오정보를 보관하느냐 아니냐에 따라 결정돼야 하는 것이다.


그런데 대부분의 출입통제시스템은 어디에든 바이오정보를 보관하지를 않는다. 단 바이오인식정보 즉 비밀번호를 바이오정보를 통해 손쉽게 만들어서 이를 사용하는 것뿐이다. 바이오인식정보는 유일한 식별자도 아니어서 기기마다 다 다르고 심지어는 같은 기기라 할지라도 인증시마다 매번 그 수치가 다르다. 즉 유일한 식별자도 아니며 단 매칭율에 따라 본인여부를 판단하는 것이다.


따라서 서울대의 경우는 바이오정보를 수집보관하지 않으므로 바이오정보보호가이드라인 적용대상이 아닌 것이다.


그러나 주민증이나 바이오인식여권 등과 같이 원본 이미지를 보관하는 경우에는 가이드라인의 준수가 요구되어질 수 있다고 생각한다. 단 한 가지, 본인의 동의를 구할 것인가 아닌가에 대해서는 공공의 목적 상 다르게 해석되어질 수 있는 여지가 있다.


향후 시민단체나 국가인권위원회에서는 바이오정보와 바이오인식정보에 대한 정확한 구분과 이해를 하고, 바이오인식기기에 대한 인권침해여부를 판단해야 할 것이다.


그동안 바이오인식업계가 ‘생체’ 라는 부정적인 단어와 오해로 말미암아 시민단체, 언론 등에서 늘 곱지않은 시각으로 보여져 왔고, 이로 인해 일반 국민들 사이에 있어서도 커다란 오해가 있었다. 아무쪼록 바이오인식이 인류를 보다 안전하고 편하게 해주는 매우 필요한 기술로서 자리매김을 하고, 모든 국민들로부터 사랑받게 되는 날이 오기를 기대한다.

[글: 배영훈 (주)니트젠 대표]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지.>