강은성의 보안 아키텍트ㅣ얼굴인식기술과 글로벌 규제

지난 9월 칼럼과 10월 칼럼에서 ‘생체인식기술과 글로벌 규제’를 다뤘다. 이번 달에는 생체인식기술과 글로벌 규제의 마지막 칼럼으로 ‘얼굴인식기술과 글로벌 규제’에 관해 쓰려고 한다. 

얼굴인식기술은 생체인식기술의 하나이면서도 독특한 지위를 지닌다. 얼굴은 다른 개인정보보다 쉽게 사람을 식별할 수 있는 수단이어서 사람을 감시, 추적하는 데 활용될 수 있어서다. 생체인식기술과 글로벌 규제(2)에서 미국의 민간기업인 클리어뷰 AI(Clearview AI)가 얼굴인식기술을 이용하여 인터넷에 올라간 사진을 무차별 수집, 가공한 것에 대해 그리스를 비롯해 여러 나라에서 제재를 가한 사실을 다뤘는데, 정부기관에서도 얼굴인식기술을 남용하거나 악용할 수 있다는 우려 또한 적지 않다.
 

미국의 연구기관 IPVM에 따르면, 중국의 화웨이는 중국 최대 얼굴인식업체의 하나인 MEGVII와 협업하여 위구르인을 식별하는 ‘위구르 경보’를 테스트했다고 한다. 그동안의 상황을 볼 때 화웨이의 이러한 기술 개발이 중국 정부와 관련되어 있는 것이 아닐지 의심을 받는 것 같다.
 

미국 연방정부도 얼굴인식기술의 오·남용에 관해 우려하는 것 같다. 미국 회계감사원(GAO)에서 작성한 세 차례의 보고서는 몇 가지 흥미로운 결과를 보여준다. 한 설문조사에서는 24개 연방기관 중 18개 기관이 얼굴인식기술을 사용했고, 연방기관에서 접근한 얼굴인식시스템을 소유한 주 정부가 27개에 이른다. 전체 50개 주의 절반이 넘는다는 말이다. 
 

또 다른 설문조사에 따르면, 연방기관에서 얼굴인식기술을 사용하는 목적에는 정부 사이트에 접속하는 사람의 신원 확인이나 국내 법 집행이 많았다. 42개 연방기관 중 14개 기관이 범죄 수사를 위해 얼굴인식시스템을 이용했는데, 그중 13개 기관이 연방정부의 시스템이 아니라 주 정부 또는 상업용 시스템을 사용했고, 이러한 방식으로 1,000건 이상의 얼굴인식 검색을 수행한 사실도 드러났다. 회계감사원은 연방기관에서 주 정부나 상업용 시스템을 이용하면 추적이 되지 않고, 얼굴인식정보가 유출되는 등 개인정보 보호에 영향을 미칠 수 있다고 지적했다.

이러한 우려를 바탕으로 미국의 일부 주에서는 수사기관 등 정부기관의 얼굴인식기술 사용을 엄격하게 제한하는 법률을 제정하고 있다. 켄터키주 상원에서는 2022년에 법 집행기관이 얼굴인식기술을 사용할 수 있는 경우를 규정한 ‘얼굴인식 기술의 사용에 관한 법’(AN ACT relating to use of facial recognition technology)을 통과시켰고, 이보다 앞서 2021년에 메인주에서는 법 집행기관뿐 아니라 공무원이 얼굴인식시스템을 사용할 수 있는 경우를 규정한 ‘정부 부처, 공무원 및 공공기관의 얼굴감시 시스템 사용을 규제하여 프라이버시 및 보안을 강화하는 법률’(An Act To Increase Privacy and Security by Regulating the Use of Facial Surveillance Systems by Departments, Public Employees and Public Officials)을 통과시켰다. 이밖에 매사추세츠주에서도 비슷한 움직임이 있다. 

2023년 5월, 유럽연합에서는 인공지능법(AI Act)이 유럽연합 의회를 통과했다. 이 법에서는 ▲공개된 장소에서 실시간 ‘원격 생체식별시스템’의 사용 금지 ▲인터넷 또는 CCTV 영상에서 얼굴 이미지를 스크래핑하여 얼굴 인식 데이터베이스를 생성 및 확장 금지 ▲사후 ‘원격 생체식별시스템’을 통해 공개된 장소의 녹화 영상을 분석하기 위해 AI 시스템 사용 금지 등 AI시스템에 대한 금지사항을 나열했다. 

특히 현 기술 수준에서 ‘원격 생체식별시스템’(Remote biometric identification system)은 얼굴인식기술을 이용한 시스템을 가리킨다는 점에서 얼굴인식기술 사용을 엄격하게 규제하는 것이 눈에 띈다. 이 기술이 악용될 수 있다는 점에 대한 유럽연합 의회의 우려를 담고 있는 것으로 보인다. 다만 유럽연합의 법률 제정 절차에 따라 EU 의회와 EU 집행위원회, EU 정상회의가 3자 협의를 진행하고 있어서 일부 내용이 변경될 가능성이 있다.
 

국내에서도 정부와 민간에서 얼굴인식기술이 조금씩 도입되는 추세다. 특히 법무부 출입국관리사무소에서 추진한 ‘인공지능 식별추적 시스템 개발사업'은 출입국심사대에서 수집한 국민 5,760만 건, 외국인 1억 2,000만 건의 얼굴정보를 인공지능 알고리즘을 학습하는 데 사용하라고 다수 민간업체에 제공한 것이 문제가 되기도 했다(강은성의 보안 아키텍트ㅣ정부는 개인정보 보호의 수호자인가?).
 

이러한 상황에서 국가인권위원회는 “사생활의 비밀과 자유, 집회 및 결사의 자유 등을 침해할 위험성을 내포”하고 있으므로, “국가에 의한 얼굴인식 기술 도입·활용 시 인권 존중의 원칙을 반영하고, 무분별한 도입과 활용을 제한”하며, 특히 “공공장소에서 실시간 원격 얼굴인식기술을 사용하는 것”은 금지해야 한다는 권고안을 정부와 국회에 제시하였다.

보안기술 측면에서 생체인식기술은 편리성과 보안성을 높여줘서 편리한 보안(Usable security)의 좋은 사례가 되었다. 하지만 기술의 오·남용이나 악용 때문에 발생할 수 있는 위험이 있다면, 그러한 위험을 정확하게 분석하고 충분한 논의를 통해 대응 방안을 찾아 기술적·사회적으로 통제하는 것이 바람직하다. 얼굴인식기술이 여기에 해당하는 문제가 아닐까 싶다. 


* 강은성 교수는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 서울여자대학교 정보보호학과 조교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「팀장부터 CEO까지 알아야 할 기업 정보보안 가이드」(한빛미디어, 2022) 등이 있다.
ciokr@idg.co.kr