2020.12.18

'인증'과 '인식'은 달라... 생체인식정보 활용과 개인정보보호

Deb Radcliff | CSO
생체인식 데이터가 민감한 정보로 간주된다는 점과 이를 보호하는 규제들을 감안한다면, 이 데이터가 ‘인증’에 어떻게 사용되는지 다시금 생각해봐야 한다. 

‘생체인식(Biometrics)’ 데이터는 엄격한 보호가 필요한 가장 개인적인 정보다. 하지만 아이러니하게도, 생체인식이 또 다른 민감한 정보 액세스를 보호하기 위한 기본 또는 보조 인증 메커니즘으로 점점 더 많이 사용되고 있다. 

프라이버시 및 사이버보험 전문 업체 H&C LLP(Hinshaw & Culbertson LLP)의 파트너 주디 셀비는 “생체인식 정보는 굉장히 엄격한 보호가 필요하다. 내 지문 정보가 유출 당했다고 하느님에게 새로운 지문을 달라고 할 순 없기 때문이다”라고 말했다. 
 
ⓒGetty Images

미국에서는 캘리포니아, 일리노이, 뉴욕의 생체인식 관련 규제가 이러한 데이터의 수집, 사용, 보관 및 재사용을 보호하는 표준으로 여겨지고 있다. 또한 지난 8월 美 의회에 ‘국가 생체인식 개인정보보호법(National Biometric Privacy Act)’이 상정됐고, 이는 연방법으로 제정될 가능성이 크다. 

이들은 모두 ‘유럽연합 일반 데이터 보호 규칙(GDPR)’에 의거해 유럽 국가에서 수립한 생체인식 개인정보보호 규제와 비슷한 포괄적인 프라이버시 규제를 포함한다. 

생체인식 사용 사례 
시장조사업체 스태티스타(Statista)에 따르면 2020년 전 세계 생체인식 시장은 약 200억 달러에 이를 것으로 전망됐다. 또한 미국 시장에서는 생체인식을 통한 인증 및 ID 시장 규모가 올해 약 60억 달러를 기록할 것으로 예측됐다. 

시스코의 전 SVP 겸 CISO였던 스티브 마티노는 “생체인식이 비밀번호를 대체하는 간편하면서도 훌륭한 수단인 건 맞다. 하지만 생체인식은 멀티팩터 인증(multi-factor authentication)의 보조 인증 요소로 사용하는 게 가장 적합하다. 예를 들면 얼굴 인식과 스마트폰 사용 방식을 결합해 본인 여부를 검증하는 것이다. 이렇게 되면 범죄자가 훔친 생체인식 데이터를 사용하기 어렵다”라고 밝혔다. 

미국 외의 지역에서는 생체인식을 B2C 애플리케이션(예: 원격 고객 온보딩자동차 액세스 등)에서 더 보편적으로 사용하고 있다. 사용 사례야 어쨌든, 전문가들은 직원이나 소비자를 지원하고자 생체인식을 사용하는 기업이라면 엄격한 규제 요건에 따라 생체인식 정보를 보호해야 한다고 강조했다. 

셀비는 “한 회사 공장의 책임자가 직원들의 시간 효율성을 향상시키기 위해 지문 판독기를 도입한다고 가정해 보자. 이 생체인식 기술을 사용하려면 프라이버시팀, 컴플라이언스팀, 법무팀, IT 보안팀에 이를 보고해 해당 공장에 적용되는 규정과 법률을 준수하는지 확인해야 한다”라고 전했다.

생체인식의 위험성
보안인증업체 EC 카운실(EC-Council)의 창업주 겸 CEO인 제이 바바시는 생체인식 데이터의 수집, 전송, 처리, 보관은 다른 민감한 데이터와 마찬가지로 공격자가 사용자 데이터를 가로채 악용할 수 있는 위험이 따른다고 지적했다. 

이어서 그는 “이를테면 범죄자들은 세션 하이재킹 또는 중간자 공격 등으로 데이터 전송 중에 생체인식 정보를 훔쳐 갈 수 있다. 프로세싱 계층에서 키로거, 서비스 거부, 서버 악용 등을 통해 생체인식 데이터가 유출될 수도 있다. 모든 계층에서 위험이 존재한다는 의미다”라고 덧붙였다. 

여기에 (한국의 주민등록번호와 같은) 美 사회보장번호, 집 주소, 은행 계좌 등의 다른 민감한 데이터가 함께 저장돼 있다면 문제는 더욱더 커진다. 

프리바투스 컨설팅(Privatus Consulting)의 공동 창업주 미셸 피네란 데네디는 “생체인식 및 개인 데이터를 요구하는 앱 또는 기능이 더욱 더 많아지고 있다. 이는 인증의 목적에 적합하지 않을 뿐만 아니라 잠재적으로 더 큰 피해를 초래할지도 모른다. 생체인식을 모든 것에 관한 인증 요소로 사용해선 안 된다. 사용하겠다고 명시한 애플리케이션 또는 기능에만 사용해야 한다”라고 말했다. 

英 얼굴인증 서비스 업체 아이프루브(iProov)의 CEO 앤드류 버드는 유출된 이미지나 음성 녹음본이 딥 페이크 기술로 복제돼 상업적 또는 정치적으로 악용될 수 있다고 언급했다. 

그는 “딥 페이크 기술로 복제된 이미지를 식별할 수 있을 만큼 정확하지 않다면 이미지 자체에는 가치가 없다. 얼굴인증에서 중요한 건 정확하게 일치하는지가 아니다. 진짜 중요한 건 이것이 실제 얼굴인지 아니면 위조된 것인지다. 즉 생체인식을 통한 인증의 핵심은 얼굴인식과는 별 상관이 없다는 의미다”라고 밝혔다. 

아이프루브는 은행 애플리케이션에서 딥 페이크 기술로 생성된 이미지를 식별하고자 사용자 기기를 통해 얼굴에 일정하게 깜빡이는 빛을 비춘다. 이 과정에서 사용자의 피부가 진짜인지, 실제로 표정을 짓고 있는지 등을 확인한다고 회사 측은 설명했다. 

또한 아이프루브는 유럽 고객 기반을 감안해 주요 개인정보 보호법의 핵심 요건인 권한 승인과 투명성을 자동화했다. 즉 사용자가 생체인식 정보를 등록하는 동안 이를 수집하고 사용하기 위한 승인을 받고, 사용자에게 데이터를 어떻게 사용할 것인지 설명하는 과정을 자동화한 것이다. 

마티노는 “지문, 얼굴 이미지, 음성 인식 패턴 등 생체인식 정보는 ‘개인’을 특정 방식으로 인증하고자 사용되는 데이터일 뿐이다. 따라서 생체인식에는 더 넓은 개념의 프라이버시가 적용된다. 데이터 사용 목적이 투명하게 공개돼야 하고, 해당 데이터의 소유자로부터 승인을 받아야 하며, 해당 데이터는 약속한 방식으로만 사용해야 한다”라고 말했다. 

버드는 이러한 데이터 사용에 관한 정보, 동의, 이를 통해 얻을 수 있는 이점 등이 모두 보안 및 프라이버시 정책에 포함돼야 한다고 권고했다. 그는 또한 생체인식 애플리케이션과 하드웨어를 구매하는 경우, 해당 지역의 규제 요건을 준수하는 데 관한 책임을 공급업체와 함께 충분히 검토해야 한다고 덧붙였다. 
 
---------------------------------------------------------------
프라이버시 인기기사
->칼럼 | '개인정보 보호 vs. 데이터 활용' 두 마리 토끼 잡을 수 있을까?
->블로그 | '투명한 소통? 개인정보 장사 합리화?' AVG의 쉬운 프라이버시 정책 해프닝
->안면 인식 기술의 발전··· 프라이버시는 이제 글렀는가?
->무인 飛行體의 非行!··· 기상천외 드론 악용 사례들
->'합법'은 있으나 '의리'는 없다?··· 소셜 기업과 프라이버시
->'개인정보 거간꾼' 데이터 브로커의 어두운 세계
->'해결책이 없다!' 빅 데이터 보안·프라이버시 문제
->IT 업계 최악의 배신 10가지
-> RSA 참관해보니··· "해커보다 기업들이 더 무섭더라"
-> IT 분야 거대 기업들의 '악질적 행태들'
---------------------------------------------------------------

‘인증(Verification)’은 ‘인식(Recognition)’과 다르다
소셜 미디어, 웹캐스트, 유튜브, 녹화된 화상통화 등을 보면 사람들은 일말의 거리낌도 없이 이미지를 업로드하면서 얼굴과 목소리 데이터를 노출한다. 이것이 생체인식을 사용해 건물에 출입하거나 은행 애플리케이션을 인증하는 것과는 어떻게 다를까? 

버드는 “’얼굴 또는 음성인식’과 ‘생체인식을 통한 인증’은 매우 다르다. 생체인증은 이를 통해 얻을 수 있는 이점을 인지하고 데이터 공유를 동의할 때 이뤄진다. 예를 들면 온라인 뱅킹 서비스를 가입한다고 해보자. 이 과정에서 은행은 사용자 얼굴을 캡처할 것이며, 이를 다음과 같은 내용으로 계정 로그인에 사용할 것인데 동의하는지 묻는다. 사용자가 해당 서비스의 이점을 누리기 위해 동의하는 경우 ‘예’를 클릭하면 된다”라고 설명했다. 

‘얼굴인식’은 이와는 다르다. 예를 들자면 얼굴인식은 기차역의 모니터링 시스템에서 어떤 사람이 오전 7시 47분에 역을 걸어 들어갔다는 사실을 확인할 때 이뤄진다. 

버드는 “내가 이 사실을 알까? 아니다. 그리고 이를 통해 내가 얻는 이점이 있는가? 아니다. 또 프라이버시가 보호되고 있는지 알 수 있는가? 절대로 아니다. 하지만 ‘인식’은 ‘생체인식을 통한 인증’에서 이런 이미지를 사용할 때 적용되는 법이 적용되지 않는다”라고 말했다. 

페이스북은 2015년 일리노이주의 생체인식 정보 보호법(Biometric Information Privacy Act, BIPA)을 위반했다는 이유로 집단소송을 당했고, 긴 법정 공방 끝에 지난 1월 합의금 5억 5,000만 달러를 지급하기로 했다. 이 사건에서 페이스북은 생체인식을 위해 이미지를 사용하지 않았지만 사용자가 모르게 혹은 사용자의 동의 없이 얼굴 이미지를 캡처해 페이스북의 태그를 제안하는 기능과 공유했다. 

마티노는 “일반적인 개인정보보호는 사용자가 공유하는 데이터로 무엇을 할지 투명하게 공개한다. 만약 사용자가 한 기업의 직원이고 액세스 및 인증을 위해 특정 데이터를 공유한다면, 기업은 해당 데이터의 사용 목적을 밝힐 의무가 있다. 그렇지 않다면 개인정보보호법 위반이다”라고 전했다. 

이어서 그는 “반면에 사용자가 페이스북을 무료로 사용하고 있다면, 페이스북이 사용자의 데이터로 무엇인가 할 것이라는 점을 알고 있어야 한다. 하지만 페이스북은 자신들이 명시적으로 밝힌 데이터 사용 목적 외에 다른 목적으로 데이터를 사용해선 안 된다. 이게 바로 개인정보보호의 핵심 전제다”라고 덧붙였다. ciokr@idg.co.kr

 



2020.12.18

'인증'과 '인식'은 달라... 생체인식정보 활용과 개인정보보호

Deb Radcliff | CSO
생체인식 데이터가 민감한 정보로 간주된다는 점과 이를 보호하는 규제들을 감안한다면, 이 데이터가 ‘인증’에 어떻게 사용되는지 다시금 생각해봐야 한다. 

‘생체인식(Biometrics)’ 데이터는 엄격한 보호가 필요한 가장 개인적인 정보다. 하지만 아이러니하게도, 생체인식이 또 다른 민감한 정보 액세스를 보호하기 위한 기본 또는 보조 인증 메커니즘으로 점점 더 많이 사용되고 있다. 

프라이버시 및 사이버보험 전문 업체 H&C LLP(Hinshaw & Culbertson LLP)의 파트너 주디 셀비는 “생체인식 정보는 굉장히 엄격한 보호가 필요하다. 내 지문 정보가 유출 당했다고 하느님에게 새로운 지문을 달라고 할 순 없기 때문이다”라고 말했다. 
 
ⓒGetty Images

미국에서는 캘리포니아, 일리노이, 뉴욕의 생체인식 관련 규제가 이러한 데이터의 수집, 사용, 보관 및 재사용을 보호하는 표준으로 여겨지고 있다. 또한 지난 8월 美 의회에 ‘국가 생체인식 개인정보보호법(National Biometric Privacy Act)’이 상정됐고, 이는 연방법으로 제정될 가능성이 크다. 

이들은 모두 ‘유럽연합 일반 데이터 보호 규칙(GDPR)’에 의거해 유럽 국가에서 수립한 생체인식 개인정보보호 규제와 비슷한 포괄적인 프라이버시 규제를 포함한다. 

생체인식 사용 사례 
시장조사업체 스태티스타(Statista)에 따르면 2020년 전 세계 생체인식 시장은 약 200억 달러에 이를 것으로 전망됐다. 또한 미국 시장에서는 생체인식을 통한 인증 및 ID 시장 규모가 올해 약 60억 달러를 기록할 것으로 예측됐다. 

시스코의 전 SVP 겸 CISO였던 스티브 마티노는 “생체인식이 비밀번호를 대체하는 간편하면서도 훌륭한 수단인 건 맞다. 하지만 생체인식은 멀티팩터 인증(multi-factor authentication)의 보조 인증 요소로 사용하는 게 가장 적합하다. 예를 들면 얼굴 인식과 스마트폰 사용 방식을 결합해 본인 여부를 검증하는 것이다. 이렇게 되면 범죄자가 훔친 생체인식 데이터를 사용하기 어렵다”라고 밝혔다. 

미국 외의 지역에서는 생체인식을 B2C 애플리케이션(예: 원격 고객 온보딩자동차 액세스 등)에서 더 보편적으로 사용하고 있다. 사용 사례야 어쨌든, 전문가들은 직원이나 소비자를 지원하고자 생체인식을 사용하는 기업이라면 엄격한 규제 요건에 따라 생체인식 정보를 보호해야 한다고 강조했다. 

셀비는 “한 회사 공장의 책임자가 직원들의 시간 효율성을 향상시키기 위해 지문 판독기를 도입한다고 가정해 보자. 이 생체인식 기술을 사용하려면 프라이버시팀, 컴플라이언스팀, 법무팀, IT 보안팀에 이를 보고해 해당 공장에 적용되는 규정과 법률을 준수하는지 확인해야 한다”라고 전했다.

생체인식의 위험성
보안인증업체 EC 카운실(EC-Council)의 창업주 겸 CEO인 제이 바바시는 생체인식 데이터의 수집, 전송, 처리, 보관은 다른 민감한 데이터와 마찬가지로 공격자가 사용자 데이터를 가로채 악용할 수 있는 위험이 따른다고 지적했다. 

이어서 그는 “이를테면 범죄자들은 세션 하이재킹 또는 중간자 공격 등으로 데이터 전송 중에 생체인식 정보를 훔쳐 갈 수 있다. 프로세싱 계층에서 키로거, 서비스 거부, 서버 악용 등을 통해 생체인식 데이터가 유출될 수도 있다. 모든 계층에서 위험이 존재한다는 의미다”라고 덧붙였다. 

여기에 (한국의 주민등록번호와 같은) 美 사회보장번호, 집 주소, 은행 계좌 등의 다른 민감한 데이터가 함께 저장돼 있다면 문제는 더욱더 커진다. 

프리바투스 컨설팅(Privatus Consulting)의 공동 창업주 미셸 피네란 데네디는 “생체인식 및 개인 데이터를 요구하는 앱 또는 기능이 더욱 더 많아지고 있다. 이는 인증의 목적에 적합하지 않을 뿐만 아니라 잠재적으로 더 큰 피해를 초래할지도 모른다. 생체인식을 모든 것에 관한 인증 요소로 사용해선 안 된다. 사용하겠다고 명시한 애플리케이션 또는 기능에만 사용해야 한다”라고 말했다. 

英 얼굴인증 서비스 업체 아이프루브(iProov)의 CEO 앤드류 버드는 유출된 이미지나 음성 녹음본이 딥 페이크 기술로 복제돼 상업적 또는 정치적으로 악용될 수 있다고 언급했다. 

그는 “딥 페이크 기술로 복제된 이미지를 식별할 수 있을 만큼 정확하지 않다면 이미지 자체에는 가치가 없다. 얼굴인증에서 중요한 건 정확하게 일치하는지가 아니다. 진짜 중요한 건 이것이 실제 얼굴인지 아니면 위조된 것인지다. 즉 생체인식을 통한 인증의 핵심은 얼굴인식과는 별 상관이 없다는 의미다”라고 밝혔다. 

아이프루브는 은행 애플리케이션에서 딥 페이크 기술로 생성된 이미지를 식별하고자 사용자 기기를 통해 얼굴에 일정하게 깜빡이는 빛을 비춘다. 이 과정에서 사용자의 피부가 진짜인지, 실제로 표정을 짓고 있는지 등을 확인한다고 회사 측은 설명했다. 

또한 아이프루브는 유럽 고객 기반을 감안해 주요 개인정보 보호법의 핵심 요건인 권한 승인과 투명성을 자동화했다. 즉 사용자가 생체인식 정보를 등록하는 동안 이를 수집하고 사용하기 위한 승인을 받고, 사용자에게 데이터를 어떻게 사용할 것인지 설명하는 과정을 자동화한 것이다. 

마티노는 “지문, 얼굴 이미지, 음성 인식 패턴 등 생체인식 정보는 ‘개인’을 특정 방식으로 인증하고자 사용되는 데이터일 뿐이다. 따라서 생체인식에는 더 넓은 개념의 프라이버시가 적용된다. 데이터 사용 목적이 투명하게 공개돼야 하고, 해당 데이터의 소유자로부터 승인을 받아야 하며, 해당 데이터는 약속한 방식으로만 사용해야 한다”라고 말했다. 

버드는 이러한 데이터 사용에 관한 정보, 동의, 이를 통해 얻을 수 있는 이점 등이 모두 보안 및 프라이버시 정책에 포함돼야 한다고 권고했다. 그는 또한 생체인식 애플리케이션과 하드웨어를 구매하는 경우, 해당 지역의 규제 요건을 준수하는 데 관한 책임을 공급업체와 함께 충분히 검토해야 한다고 덧붙였다. 
 
---------------------------------------------------------------
프라이버시 인기기사
->칼럼 | '개인정보 보호 vs. 데이터 활용' 두 마리 토끼 잡을 수 있을까?
->블로그 | '투명한 소통? 개인정보 장사 합리화?' AVG의 쉬운 프라이버시 정책 해프닝
->안면 인식 기술의 발전··· 프라이버시는 이제 글렀는가?
->무인 飛行體의 非行!··· 기상천외 드론 악용 사례들
->'합법'은 있으나 '의리'는 없다?··· 소셜 기업과 프라이버시
->'개인정보 거간꾼' 데이터 브로커의 어두운 세계
->'해결책이 없다!' 빅 데이터 보안·프라이버시 문제
->IT 업계 최악의 배신 10가지
-> RSA 참관해보니··· "해커보다 기업들이 더 무섭더라"
-> IT 분야 거대 기업들의 '악질적 행태들'
---------------------------------------------------------------

‘인증(Verification)’은 ‘인식(Recognition)’과 다르다
소셜 미디어, 웹캐스트, 유튜브, 녹화된 화상통화 등을 보면 사람들은 일말의 거리낌도 없이 이미지를 업로드하면서 얼굴과 목소리 데이터를 노출한다. 이것이 생체인식을 사용해 건물에 출입하거나 은행 애플리케이션을 인증하는 것과는 어떻게 다를까? 

버드는 “’얼굴 또는 음성인식’과 ‘생체인식을 통한 인증’은 매우 다르다. 생체인증은 이를 통해 얻을 수 있는 이점을 인지하고 데이터 공유를 동의할 때 이뤄진다. 예를 들면 온라인 뱅킹 서비스를 가입한다고 해보자. 이 과정에서 은행은 사용자 얼굴을 캡처할 것이며, 이를 다음과 같은 내용으로 계정 로그인에 사용할 것인데 동의하는지 묻는다. 사용자가 해당 서비스의 이점을 누리기 위해 동의하는 경우 ‘예’를 클릭하면 된다”라고 설명했다. 

‘얼굴인식’은 이와는 다르다. 예를 들자면 얼굴인식은 기차역의 모니터링 시스템에서 어떤 사람이 오전 7시 47분에 역을 걸어 들어갔다는 사실을 확인할 때 이뤄진다. 

버드는 “내가 이 사실을 알까? 아니다. 그리고 이를 통해 내가 얻는 이점이 있는가? 아니다. 또 프라이버시가 보호되고 있는지 알 수 있는가? 절대로 아니다. 하지만 ‘인식’은 ‘생체인식을 통한 인증’에서 이런 이미지를 사용할 때 적용되는 법이 적용되지 않는다”라고 말했다. 

페이스북은 2015년 일리노이주의 생체인식 정보 보호법(Biometric Information Privacy Act, BIPA)을 위반했다는 이유로 집단소송을 당했고, 긴 법정 공방 끝에 지난 1월 합의금 5억 5,000만 달러를 지급하기로 했다. 이 사건에서 페이스북은 생체인식을 위해 이미지를 사용하지 않았지만 사용자가 모르게 혹은 사용자의 동의 없이 얼굴 이미지를 캡처해 페이스북의 태그를 제안하는 기능과 공유했다. 

마티노는 “일반적인 개인정보보호는 사용자가 공유하는 데이터로 무엇을 할지 투명하게 공개한다. 만약 사용자가 한 기업의 직원이고 액세스 및 인증을 위해 특정 데이터를 공유한다면, 기업은 해당 데이터의 사용 목적을 밝힐 의무가 있다. 그렇지 않다면 개인정보보호법 위반이다”라고 전했다. 

이어서 그는 “반면에 사용자가 페이스북을 무료로 사용하고 있다면, 페이스북이 사용자의 데이터로 무엇인가 할 것이라는 점을 알고 있어야 한다. 하지만 페이스북은 자신들이 명시적으로 밝힌 데이터 사용 목적 외에 다른 목적으로 데이터를 사용해선 안 된다. 이게 바로 개인정보보호의 핵심 전제다”라고 덧붙였다. ciokr@idg.co.kr

 

X