과거 공상과학 영화에서만 볼 수 있었던 바이오정보 인식기술이 이미 스마트폰 등 우리의 실생활에 깊이 들어온 지 오래다. 인공지능과 결합한 IoT 기술이 발달함에 따라 바이오정보는 더욱 폭넓고 정교하게 활용될 것으로 점쳐지고 있다. 나아가 온라인이나 모바일기기에서 비대면 인증수단이 활성화되면서 바이오정보의 활용 분야는 더욱 다양하게 확산되고 있다.
그러나 바이오정보가 널리 활용되면서 위 · 변조의 위협에 직면하고 그로 인한 사생활 침해의 위험도 증가하고 있다. 특히 바이오정보는 이를 통해 많은 부가적인 정보가 유추될 수 있기도 하고, 개인에게 고유한 것이어서 쉽게 변경이 어렵기 때문에 한 번 유출될 경우 지속적으로 정보가 악용될 우려도 있다.
작년 12월 마련
이에 따라 작년 12월 방송통신위원회와 한국인터넷진흥원(KISA)은 바이오정보 보호를 위해 필요한 6대 보호원칙과 기술적 · 관리적 보호조치를 제시하는 「바이오정보 보호 가이드라인」(이하 "가이드라인")을 마련한 바, 이하에서는 가이드라인의 내용과 의의를 살펴보고자 한다.
가이드라인은 바이오정보 개념을 '지문, 홍채, 음성, 필적 등 개인의 신체적 · 행동적 특성에 관한 정보로서 개인을 인증 또는 식별하기 위하여 기술적으로 처리되는 개인정보'로 정의하면서, 바이오정보를 (1)인증 또는 식별 목적으로 입력장치 등을 통해 수집 · 입력된 '원본정보'와 (2)위 원본정보부터 특징 값을 추출하여 생성된 ‘특징정보’로 구분하고 있다.
위 개념 정의에 따르면 바이오정보는 '인증(Verification/Authentication)' 또는 '식별(Identification)'의 목적으로 기술적 처리된 개인정보로 한정된다. 개인을 인증 또는 식별하지 않고 나이, 성별 등의 기준으로 분류하거나 이용자의 움직임을 단순히 탐지하는 '분류(Categorisation)'의 목적으로 기술적 처리되는 경우에는 바이오정보에 해당하지 않는다는 것이 가이드라인의 해석이다.
따라서 사진이나 음성정보 등은 특정 개인을 식별 또는 인증하기 위하여 기술적으로 처리되는 경우에 한해서만 바이오정보에 해당한다. 그러나 바이오정보는 개인정보의 일종이므로, 바이오정보 외 그 자체만으로 특정 개인을 알아볼 수 있거나 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 일반 개인정보로 취급된다는 점도 유의해야 한다.
바이오정보 보호 6대 원칙
가이드라인은 바이오정보 보호를 위한 6대 원칙으로 ①비례성 원칙, ②수집 · 이용 제한의 원칙, ③목적 제한의 원칙, ④통제권 보장의 원칙, ⑤투명성 원칙, ⑥바이오정보 보호 중심 설계 및 운영 원칙을 제시하고 있다.
이 중 ②수집 · 이용 제한의 원칙과 관련하여, 가이드라인은 기존 개인정보 수집 · 이용 동의와 별도로 구분하지 않고 바이오정보 수집 · 이용 동의를 받을 수 있으나, 바이오정보 수집 · 이용에 대한 사항을 명확히 알려야 한다고 하였다. 나아가 특징정보를 생성하면 원본정보는 목적이 달성된 것으로 보아 지체 없이 파기해야 하는 것이 원칙이고, 특징정보 생성 후에도 원본정보의 수집 · 이용이 필요한 경우(예: 인공지능 스피커의 성능 개선을 위한 화자 알고리즘 연구를 위해 원본정보를 이용하고자 하는 경우)에는 그 이유(목적) 및 보유기간을 기존 바이오정보 수집 · 이용 동의와 구분하여 고지한 후 동의를 받아야 한다고 하였다.
또한 ③목적 제한의 원칙에 따르면, 이용자에게 동의 받은 인증 또는 식별 목적 이외에 질병검사 등 다른 목적으로 활용해서는 안 된다. 다만 이것이 바이오정보가 인증 또는 식별이외의 목적의 개인정보로서 동시에 활용되는 것을 제한하는 것은 아니므로, 바이오정보이자 동시에 개인정보로서 활용하는 것도 가능하다. 인증 또는 식별 이외의 목적으로 사용하기 위해서는 일반 개인정보로서 이용자의 사전 동의 등 개인정보 관련 법령에 따른 적법한 절차를 따라야 할 것이다.
이외에 가이드라인은 ④통제권 보장의 원칙에 있어 이용자가 바이오정보를 수정하거나 삭제할 수 있도록 하는 통제수단을 제공해야 한다는 점을 언급하면서, 다양한 사업자별로 구현할 수 있는 통제수단을 구체적으로 예시하고 있다.
기술적 · 관리적 보호조치
가이드라인은 바이오정보의 처리단계를 ①수집 · 입력 단계, ②저장 · 이용 단계, ③파기단계로 구분하여, 바이오정보의 유출, 위 · 변조 등을 방지하기 위하여 처리단계별로 필요한 기술적 · 관리적 보호조치도 함께 제시하고 있다.
특히 ①수집 · 입력 단계에서는 바이오정보가 암호화되어 저장되기 전까지 유출되지 않도록 전송구간 암호화 조치를 취해야 하고, ②저장 · 이용 단계에서는 안전한 알고리즘으로 암호화하여 저장해야 한다. 원본정보는 변경 불가능하고 인종 · 병력 등 개인의 권리 · 이익이나 사생활을 뚜렷하게 침해할 우려가 있는 정보가 추출될 수 있다는 점과, 특징정보는 유출되면 변경 전까지 인증 · 식별 목적으로 악용될 수 있다는 점이 고려된 것으로 보인다.
나아가 ③파기단계에서는 원본정보는 특정정보가 생성되면 원본정보의 수집 · 이용 목적이 달성된 것이라는 전제 하에 지체 없이 파기하도록 하면서, 이용자의 동의를 받아 원본정보를 이용하거나 다른 법률에 따라 원본정보를 보존하는 경우에는 해당 이용자의 다른 개인정보와 분리하여 별도로 저장 · 관리할 것을 권고하였다.
마치며
가이드라인은 바이오정보의 특성에 맞추어 안전한 활용을 위한 원칙과 구체적인 법령 해석 기준을 제시하면서 동시에 바이오정보의 불법적인 유출, 위 · 변조를 방지하기 위한 구체적인 방지대책을 마련하고 있다. 바이오정보 관련 기술의 급격한 발전 속에서 바이오정보의 보호도 소홀히 해서는 안 된다는 점에 대해 경종을 울리고 사업자들이 참고할 수 있는 구체적인 방안을 제시했다는 점에서 가이드라인의 의의가 있다고 본다.
가이드라인에는 정보통신망법 및 관련 고시에 따라 정보통신서비스제공자가 준수하여야 하는 의무적 사항 이외에도 권고적 사항에 대한 것도 포함된 것으로 보인다. 그렇기 때문에 가이드라인에서도 여기에 소개된 보호조치는 '사업자가 자율적으로 준수할 수 있는 최소한의 기준'이라고 하여, 각 사업자가 추가적인 보호조치 또는 기술발전에 따른 새로운 방안을 마련할 수 있는 길을 열어놓고 있다.
방송통신위원회는 2018년 1월 1일을 기준으로 매 3년이 되는 시점마다 가이드라인의 타당성을 검토하여 개선 등의 조치를 취할 것이라고 하였다. 바이오정보 관련 기술이 더욱 발전할 것이 예견되는 현 시점에서, 가이드라인을 통해 기술과 법제도가 긴밀하게 조화될 수 있기를 기대해 본다.
이주연 변호사(김앤장 법률사무소, juyoun.lee1@kimchang.com)