개인정보위, 휴대전화 안면인증 제도 개선 권고

개인정보보호위원회(이하 개인정보위)는 휴대전화 개통 때 안면인증을 활용하는 제도와 관련해 과학기술정보통신부에 개선을 권고하기로 의결했다고 28일 밝혔다.

개인정보위는 지난 27일 제10회 전체회의를 열고 과기정통부가 휴대전화 개통 시 안면인증 제도를 시범 도입하는 과정에서 개인정보 보호 관점의 제도 운영 방안을 충분히 검토하지 않았다고 판단했다.

과기정통부는 정부 합동 ‘보이스피싱 근절 종합대책’의 하나로 지난해 12월 23일부터 휴대전화 개통 시 제시된 신분증 얼굴 사진과 신분증 소지자의 실제 얼굴을 실시간으로 대조하는 안면인증 제도를 시범 운영하고 있다.

이 제도는 이동통신 3사와 알뜰폰사가 민감정보 수집·이용에 대한 별도 동의를 받은 뒤 안면인증 업무 수탁사가 운영하는 시스템을 통해 동일인 여부를 판별하는 방식이다. 시스템은 촬영된 신분증과 실시간 얼굴 사진에서 안면특징점을 추출해 대조한다.

개인정보위는 시민단체 진정과 언론 보도 등을 통해 개인정보 침해 우려가 제기되자 실태를 조사했다.

개인정보위는 생체인식정보가 개인정보 보호법상 민감정보에 해당한다고 설명했다. 민감정보는 정보주체의 동의나 법령상 근거가 있을 때만 처리할 수 있다

하지만 현행 전기통신사업법 등 관계 법령에서 휴대전화 개통 때 안면정보를 본인인증 수단으로 사용할 수 있는지 명확하지 않다고 봤다. 또 이용자가 다른 수단을 선택하기 어려운 상태에서 동의를 받으면 실질적으로 거부가 곤란하다는 문제가 있다고 판단했다.

개인정보위는 수탁사 시스템에서 처리되는 정보도 최소화할 필요가 있다고 봤다. 안면인증 과정에서 원본 사진과 안면정보가 불필요하게 저장되지 않도록 관리해야 한다는 취지다.

개인정보위는 과기정통부에 제도 정식 시행 전 안면인증 도입 필요성과 적용 범위, 방식의 실효성·적절성·비례성을 충분히 사전 검토하라고 권고했다.

또 개인정보 보호 중심 설계(PbD)를 적용해 제도를 설계하라고 했다. 개인정보 보호 중심 설계는 제도를 만들 때 사후 보완이 아니라 설계 단계부터 개인정보 침해 가능성을 줄이는 접근 방식이다.

개인정보위는 제도 도입 목적이 정당하고 적용 범위와 방식이 적합하다고 판단될 경우에도 개인정보보호법 준수 방안을 갖춰야 한다고 밝혔다.

구체적으로는 민감정보를 활용하지 않는 대체 인증수단을 마련해 정보주체의 실질적 선택권을 보장해야 한다. 또는 관계 법령에 민감정보 처리 근거를 마련해야 한다.

개인정보 처리 목적도 명확히 해야 한다. 개인정보위는 제도 시행 이후에도 실효성을 주기적으로 평가하고 이용자 의견을 수렴해 운영에 반영하라고 권고했다.

투명성 확보 방안도 요구했다. 과기정통부는 주요 개인정보 처리 정책과 제도 필요성을 국민이 알기 쉽게 안내해야 한다. 통신사는 개인정보 처리방침을 통해 실제 개인정보 처리 과정을 이용자에게 공개해야 한다.

침해 최소화 조치도 포함됐다. 수탁사의 안면인증 시스템에서는 최소 정보만 처리해야 한다. 통신사는 대조 뒤 원본 사진과 안면정보를 저장하지 않고 즉시 파기하는 등 수탁사의 안면정보 처리를 관리·감독해야 한다. 개인정보위는 주무부처인 과기정통부가 이를 지속적으로 지도·점검해야 한다고 권고했다.

개인정보위는 앞으로 개선권고 이행 여부를 점검한다. 또 안전한 개인정보 처리 환경에서 범정부 보이스피싱 예방 대책이 추진될 수 있도록 지원할 계획이다.

글. 바이라인네트워크
<곽중희 기자>god8889@byline.network