미국에서의 얼굴인식 기술 도입실태와 개인정보보호 관련 법제 추진현황

[보안뉴스= 고이즈미 유스케 국제사회경제연구소 정보사회연구부 주간연구원] 미국에서는 FBI나 경찰이 범죄 수사를 위해 얼굴인식을 이용하고 있으며, 출입국관리 등을 포함해 공공분야에서도 이용을 확대하는 추세다. 아이폰에도 얼굴인식 기능이 탑재되고, 항공사가 탑승권을 대체하기 위해 얼굴인식 기술을 이용하는 움직임도 일고 있다. 그러나 점포 등 상업시설에서의 도입은 아직 느린 편이다.

일본에서도 2020년 올림픽·패럴림픽과 스마트 사회의 실현을 앞두고 카메라 이미지나 센서 데이터 등 사물인터넷(IoT) 기기에서 대량으로 취득되는 얼굴 이미지의 활용이 확대될 것으로 기대되고 있으나, 데이터를 이용하는데는 ①법령 준수와 ②사회적 합의라는 2개의 큰 산을 넘어야만 해 사업자가 얼굴정보를 활용한 신규 서비스 도입을 주저하는 경우도 많은 상황이다.


미국의 얼굴인식 기술 상업 분야 이용현황
미국에서는 공공분야에서 경찰의 범죄 수사나 공항에서의 출입국관리, 운전면허증의 이중등록 방지 등에 얼굴인식 기술을 보급하고 있다. 상업 분야에서는 SNS에 올릴 사진의 이름 태그 설정이나 스마트폰의 개인인증 기능 등에 이용하고 있다. 이밖에도 스마트폰을 사용한 결제에 사용하려는 움직임도 있다. 그러나 상업시설이나 점포에서의 이용은 영국 등에 비해 뒤처져 있다.


SNS 사진 태그 설정: 페이스북의 ‘태그서제스트(TagSuggest)’는 이용자가 업로드한 사진에 인물이 포함돼 있으면, 해당 이용자와 ‘친구’ 관계에 있는 사람이 누구인지 태그할 수 있도록 추천 기능을 제공
PC 사진 앨범 정리: 자신의 어린 시절 등 태그 설정

보안 액세스·개인인증
PC나 스마트폰 접근권한: 비밀번호를 대체한 본인 인증 수단. 일례는 안드로이드 폰의 페이스 언락, 아이폰의 페이스 아이디 등을 꼽을 수 있음
모바일 결제: 마스터카드의 ‘셀피 페이’는 모바일 사이트에서 신용카드로 결제할 때 얼굴인식으로 본인을 확인하는 앱
건물·보안 분야의 출입통제
항공기 탑승 : 저가항공사 젯블루(JetBlue)는 탑승권의 대체 수단으로 얼굴인식을 사용하는 실증 실험을 진행. 탑승구에 셀프 탑승 단말을 마련해 승객의 얼굴과 미국세관·국경경비국이 가지고 있는 여권 사진을 대조하는 방식

일부 실용화된 이용방법
안전과 보안
소매점: 일부 서점이나 의류매장 등에서는 절도를 방지하기 위한 목적으로 얼굴인식 소프트웨어를 갖춘 방범 카메라 시스템을 운용. 내점 고객의 이미지를 이미 알려진 절도범이나 범죄자 등의 이미지 데이터베이스와 대조하는 방식. 매칭되면 경비원이나 관리자에게 경계 알람을 보내고 해당 인물에 관한 이미 알려진 정보를 보내도록 돼 있음
카지노: 알려진 도박 사기범이나 범죄조직 멤버 등을 식별하기 위해 사용. 카지노는 얼굴인식의 메이저 유저로, 카지노 고객이 걸을 수 있는 통로가 정해져 있어 얼굴 이미지를 찍기 쉬움
금융기관: 일부 금융기관의 방범 시스템에도 강도 용의자 등을 식별하기 위해서 얼굴인식 소프트웨어가 활용되고 있음
아파트: 얼굴인식 시스템으로 주민과 비주민을 식별하는 곳도 있음

마케팅과 고객 서비스
전자간판: 얼굴인식 기술이 일부 사용되고 있음. 열람자의 성별과 연령대 등을 추정 하에 그에 따른 광고를 제시. 소매점이나 광고주는 실시간으로 소비자에 관련된 제품이나 세일 정보를 표시할 수 있음. 향후 전자간판을 이용해 고객의 성명을 식별하거나 과거의 구매이력 및 기타 개인정보를 근거로 타깃 광고를 하는 것도 고려하고 있음
전자간판 외 소매점 용도: 전미소매업협회(NRF)에 의하면, 얼굴인식을 이용해 고객의 점내 동선을 추적해 상품 진열을 변경하는 등 서비스 개선에 이용하거나 기존 고객이 방문했을 때 점원에게 신호를 보내는 방안을 고려하고 있음

기타
소개 사이트: 일부 미팅 사이트에서는 얼굴인식 기술을 이용하여 어떤 사용자가 가장 매력적이라고 느끼는 얼굴의 특징을 산출하고, 그와 비슷한 특징을 가진 개인을 회원 데이터 중에서 검색하는 데 사용하고 있음
기억 보조: 스마트폰 기억 보조 앱을 통해 안면실인증 환자 등에게 면회자의 성명 등을 알려주는 활용방법도 있음
도박 의존증 치료 프로그램: 캐나다에서는 환자의 자가 보고에 의한 프로그램으로, 환자가 등록한 얼굴 사진을 카지노에 제공하고 방문을 한 경우 출입할 수 없게 함

미국의 얼굴인식 기술의 상업적 이용에 관한 법령·가이드 라인
얼굴인식 기술에 의한 프라이버시 침해 우려
영화 <마이너리티 리포트(2002년)>에서는 얼굴인식을 활용한 거리의 광고 간판이 주인공 톰 크루즈에게 빈번하게 말을 걸어오는 장면이 나온다. 이처럼 얼굴인식 기술에 의해 개인이 공공 공간에서 항상 추적을 당하거나 익명성을 잃게 되는 경우에 대한 우려가 높다. 얼굴인식 기술은 원거리에서도 개인을 검지할 수 있어 본인이 알아채지 못하는 사이에 이미지를 취득해 처리할 수 있는 특징이 있다.


이에 따라 미국의 개인정보보호 감독기관인 연방거래위원회(FTC: Federal Trade Commission)는 얼굴인식을 둘러싼 프라이버시 침해에 있어 가장 우려되는 점으로 노상이나 점포에서 익명의 개인이 어디에 사는 누구인지 특정될 수 있다는 점을 꼽았다. SNS에 업로드된 사진과 프로필 정보를 이용하면 노상에서 만난 사람도 웨어러블 단말로 촬영해 즉시 얼굴을 대조해 신원을 특정하는 것도 가능해질 수 있다는 것이다. 이를 우려해 얼굴인식을 피하고자 위장하는 메이크업 방법을 소개하는 사이트도 등장하고 있다.

미국의 개인정보보호법 체계
미국 행정부는 프라이버시법(1974년)과 전자정부법(2002년)을 통해 이같은 개인정보침해를 규제하고 있다. 민간분야는 의료보험의 휴대성과 책임에 관한 법률(HIPAA)과 전자통신 프라이버시법, 금융 서비스 근대화법, 공정신용보고법, 아동 온라인 프라이버시 보호법 등의 개별법으로 개별 분야를 규제하는 섹트럴 방식을 채용한다.

이들 개별법에 의해 규제되지 않는 대다수 민간기업은 연방거래위원회(FTC)의 자율적 규제가 권장되고 있다. 민간기업의 개인정보보호 정책에 허위 기재가 있으면 FTC법 제5조(불공정 경쟁방법 및 불공정·기만적 행위 또는 관행 금지)에 따라 FTC가 법을 집행할 수 있다.

얼굴인식 기술에 적용할 수 있는 법률
FTC법 등 몇 가지 연방법은 얼굴인식 기술에도 적용할 수 있으나 명시적으로 얼굴인식 기술의 상업적 이용을 규제하는 연방법은 없다. 그러나 일부 주(州)에서는 주법을 통해 얼굴인식 기술의 상업적 이용을 명시적으로 규제하고 있다.

연방법 및 FTC법 제5조
기만적인 행위 또는 관행의 금지: 기업의 개인정보보호 정책에 허위 기재가 있으면, FTC는 FTC법 제5조에 따라 해당 기업을 소추할 수 있다. 얼굴인식 기술을 사용하지 않는다고 표명하면서 실제로는 사용하고 있을 경우나, 얼굴인식 기술로 취득한 데이터를 제3자에게 제공하지 않는다고 표명하면서 실제로는 제공하고 있는 경우에 이 조항에 따라 제재를 받을 수 있다.
불공정한 행위 또는 관행의 금지: 기업의 개인정보 보호정책에 기재가 없을 경우라도 기업이 소비자에게 실질적인 손해를 입혔다면 FTC법 제5조를 적용할 수 있다.

불법 몰래 카메라 촬영 방지법
개인의 ‘사적영역’ 사진을 본인의 동의 없이 의도적으로 촬영하는 것은 범죄로 취급한다. 사적 영역 정의에 개인의 얼굴이 포함되지 않지만, 소매점의 탈의실, 화장실 등 상업공간의 일정 장소에 카메라를 설치하는 것을 규제할 수 있다.

주법
텍사스주와 일리노이주는 얼굴인식 기술로 취득한 얼굴 특징 데이터를 포함한 생체인증 식별자의 상업적 이용에 명시적으로 대처하기 위해 프라이버시법을 제정했다.

텍사스주 하원의 위원회 보고서에서는 생체인증 데이터가 개인정보 탈취를 위한 타깃이 되고 있어 이처럼 법을 제정하게 됐다고 밝혔다. 일리노이주 의회는 생체인증 기술의 이용은 결제 등 비즈니스 분야나 보안 검색 분야에서 확대되고 있으나, 이 기술로 인한 영향은 충분히 인지되지 않았다고 지적했다.

이들 주의 법률은 모두 ①개인의 생체인증 식별 정보 취득에 앞서 민간기업·민간단체는 본인의 동의를 얻어야 한다 ②생체인증 식별 정보를 보유하는 기업·단체는 이 정보를 제2자에게 제공할 수 없다는 2가지 내용을 포함한다. 단, 법 집행기관에의 제공이나 본인이 청구하거나 승인한 금융거래를 수행하기 위해 제공하는 경우는 제외한다.

얼굴인식 기술의 상업적 활용에 관한 멀티 스테이크 홀더 프로세스
미국 정부는 산업 분야별로 그 관계자가 모여 ‘멀티 스테이크 홀더 프로세스(MSHP)’라는 공개된 검토 프로세스를 통해 자율규제 룰을 만들도록 권장하고 있다. MSHP에는 사업자나 지식인뿐만 아니라 소비자 대표도 참가할 수 있어 이곳에서 정해진 룰에 준하면 사업자는 소비자로부터 일정한 합의를 얻었다고 보고 사업을 진행할 수 있다는 이점이 있다.

미국 상무성 주도로 얼굴인식 기술의 상업적 이용에 대해서도 2014년 2월부터 MSHP가 적용되고 있다. 당시는 1년 정도로 행동규범을 책정할 예정이었지만, 업계단체와 소비자단체 사이에 의견 대립이 생겨 2015년 6월에는 참가한 9개의 모든 소비자단체가 공동성명을 발표하고 MSHP에서 일제히 탈퇴함에 따라 2016년 6월에 업계 관계자만으로 ‘베스트 프랙티스’라는 보다 완화된 형식으로 룰이 정리됐다.

가장 의견 충돌이 심했던 부분은 ‘얼굴 이미지나 얼굴 특징 데이터를 보존할 때 본인의 사전 동의를 얻어야 하는가’였다. 소비자단체는 사전동의를 요구했지만, 사업자로서는 불특정 다수의 내점객 얼굴 특징 데이터를 취득해서 마케팅에 활용하고 싶다는 생각에서 의견 일치를 보지 못했다. 소비자 단체가 바라는 규제에서는 불특정 다수의 내점객 얼굴 특징 데이터의 활용이 불가능하고 사전에 회원등록 등을 통해 동의한 고객 외에는 얼굴 특징 데이터를 이용하는 것이 허용되지 않아서다.

또한, 소비자단체는 개인이 자신의 얼굴 특징 데이터에 액세스하거나 그것을 수정·삭제할 권리의 보장을 요구했는데 이에 대해 업계측은 필수 조항으로 인정하지 않았다. MSHP에서는 단장이 없고, 미 상무부도 의사결정 권한이 없었으므로 여러 번에 걸친 관계자 간 논의가 평행선을 그리며 의견 일치를 보지 못하고 끝났다.

미국에서 얼굴인식 기술의 상업적 이용이 진행되지 않는 이유
CCTV나 얼굴인식에 대한 법률 규제(연방법)가 없고 신규 비즈니스의 구축이 활발한 미국에서 카메라 이미지나 얼굴인식 기술의 상업적 이용은 저조한 이유는 ①소비자 평판과 ②정부기관에 의한 공적 규칙의 부재 등 크게 2가지로 볼 수 있다.

①레퓨테이션 리스크
미국 상업 시설에서 얼굴인식 기술 안쓰이는 가장 큰 이유는 사용자 기업이 ‘소비자의 평판(레퓨테이션 리스크)’을 두려워하고 있기 때문이다. NRF에 따르면 미국의 소매점도 마케팅과 고객 서비스를 목적으로 얼굴인식 기술을 이용하는 방법을 모색하고 있지만 고객 반응에 대한 걱정 때문에 움직임이 둔하다.

미국에서는 전통적으로 프라이버시 보호단체 등의 소비자단체가 발언권이 높아 매스컴과 태그를 만들어 네거티브 캠페인을 펼치는 경우도 많다. 실제로 어떤 대형 백화점은 매장 내에서 고객의 동선을 얼굴인식이 아닌 스마트폰 와이파이 기능으로 추적하는 실험을 진행했는데, 프라이버시 침해라는 꼬리표를 붙인 매스컴 보도가 나면서 고객으로부터 부정적인 반응이 일자 서비스 개시를 포기했다.

미국처럼 일본도 매스컴의 비판적 보도를 계기로 일반인들의 비판이 거세지는 현상이 많다. 그 때문에 사용자 기업으로서는 공연히 브랜드에 상처를 내고 싶지 않아 매스컴이나 프라이버시 보호단체의 표적이 되기 쉬운 얼굴인식 기술의 도입에는 소극적일 수밖에 없다.

그 배경으로는 얼굴인식 기술이 소비자에게 충분히 인지되거나 이해되지 않았기 때문이며, 이런 소비자는 정확한 지식이 없는 상태에서 막연한 불안감을 느끼고 있어 프라이버시 보호단체 등의 의견에 좌우되기 쉬운 상황이다. 이러한 상황을 타개하기 위해서는 소비자를 대상으로 한 얼굴인식 기술 홍보 등이 필수적이다.

②정부기관 등 공적 룰 부재
다른 선진국과 달리 미국의 법률 체계에는 민간분야 전체를 규제하는 개인정보보호법(기본법)이 없다. 일부 분야를 제외하고는 기업에 의한 자율 규제에 맡겨지고 있다. 이것은 IT 기업에게는 유리하지만, 상업시설에서의 얼굴인식 기술 활용에서는 오히려 부정적인 효과를 내고 있다. 미국에서는 상업시설에서의 얼굴인식에 관해 부정적으로 보도되고 있기 때문이다.

이런 상황에서 소매점이 얼굴인식 기술을 도입하려면, 이를 소비자에게 숨기거나 소비자의 불안·걱정을 상회하는 이익을 제공해야 한다. 업계 등에 따르면, 전자의 경우 소비자에게 통지하지 않고 얼굴인식 기술을 도입한 곳도 있으며, 후자의 경우에는 스마트폰의 개인인증이나 SNS의 사진 태그 설정 등 도입이 진행되고 있는 서비스도 있지만 대부분의 상업시설은 아직 소비자에게 직접적인 이익을 제시할 이용방법을 찾지 못한 것으로 나타났다.

소비자에게 직접적인 이익이 없다는 것은 미국에 버금가는 CCTV 선진국인 영국도 다르지 않지만, 영국에서는 상업시설에서 얼굴인식 기술을 이용하는 경우가 미국보다 많다. 영국에는 CCTV나 얼굴인식을 규정하는 법률(1998년 데이터 보호법, 2012년 자유보호법) 및 그에 의거해 정부기관이 작성한 행동규범(CCTV 행동규범, 감시카메라 행동규범)이 있지만 미국은 이런 규정이 없기 때문이다.


자율적 규제가 권장되는 미국에서 업계가 책정한 자율 규제(앞에서 기술한 MSHP 베스트 프랙티스 등)에 따른 운용을 하는 것은 기업에는 규제가 엄격하지 않아 시행이 쉬울지도 모른다. 그러나 소비자 입장에서는 기업에서 책정한 규정을 완전히 신뢰할 수 없고 그것을 준수하는 것이 소비자의 권리를 보장한다는 느낌이 들지도 않는다. 특히, 얼굴인식 기술과 같이 소비자 측의 ‘거부감’이 큰 기술에 대해서는 정부기관이 보증해 주는 어떠한 공적인 지침이 필요하다.

사용자 기업과 얼굴인식 기업의 온도차
얼굴인식 기술의 보급 상황에 대해 소매점 등 얼굴인식 기술 사용자 기업과 얼굴인식 기술을 제공하는 기업이 피부로 느끼는 것은 차이가 있다.

사용자 기업 입장에서는 얼굴인식 기술의 상업적 이익은 아직 먼 이야기다. 어떠한 계기가 없는 한 보급되지 않으리라는 생각이다. 반면, 벤더 기업은 이미 얼굴인식 기술의 상업적 이용이 진행되고 있고, 특별한 시책을 시행하지 않아도 보급이 될 것이라는 전망이다.

향후 얼굴인식 기술의 발전이나 새로운 이용 방법을 위해서는 과도한 규제는 지양돼야 한다. 그러나 미국을 보면 정부의 규제가 모든 기업 활동에 마이너스가 된다고는 할 수 없고, 오히려 정부가 얼굴인식 기술에 대한 가이드라인을 제시하는 것이 오히려 더 도입을 촉진할 수 있을 것으로 보인다. 이는 다른 나라도 마찬가지일 것이다.

얼굴인식 기술의 활용 규칙은 소비자의 프라이버시를 배려해야 하고 동시에 기업에게는 준수 가능한 것이어야 한다. 앞으로의 서비스 개발이나 기술 혁신의 족쇄가 돼서도 안 된다. 이에 대한 합의점을 찾는 것은 쉽지 않지만 일본에서도 사물인터넷(IoT) 추진 컨소시엄 등에서 검토가 진행되고 있다. 정부의 가이드라인이 균형이 맞는 것이라면 사업자에게도 바람직할 것이며, 얼굴인식의 활용 활성화를 위해 소비자를 대상으로 이해도를 제고할 수 있는 활동도 필요하다.
[글_ 고이즈미 유스케 국제사회경제연구소 정보사회연구부 주간연구원]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>