Home > 전체기사 > 정책

SNS에 공개된 사진이나 동영상도 생체정보일까?

  |  입력 : 2021-09-10 13:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
개인정보위, 생체정보 보호에 대한 가이드라인 공개
생체정보 서비스 제공자 및 이용자 위한 Q&A 등 제공


[보안뉴스 원병철 기자] 스마트폰 등 생체정보를 이용한 기기가 늘어나고 비대면 서비스가 증가하면서 생체정보를 이용한 본인확인이 대중화되고 있다. 문제는 인터넷의 비밀번호와 달리 생체정보는 한 번 노출되면 되돌릴 수 없기에 보호와 관리를 강화해야 한다는 것. 이에 생체정보를 이용한 서비스 업체는 물론 사용자 역시 생체정보 보호에 대한 인식이 필요하다.

[이미지=utoimage]


최근 개인정보보호위원회가 이러한 생체정보 보호에 대한 가이드라인을 공개한 이유도 바로 이 때문이다. 특히, 이번 가이드라인에는 서비스를 제공하는 업체는 물론 사용자가 궁금하고, 꼭 알아야할 내용을 정리해 Q&A로 소개했다.

스마트폰으로 촬영해 SNS와 클라우드에 저장하는 사진과 음성도 생체정보일까?
일반적인 사진 및 음성 등이 개인을 인증·식별하거나 개인에 관한 특징을 알아보기 위해 일정한 기술적 수단을 통해 처리되지 않는다면 일반적인 개인정보에 해당한다.

디지털 광고판에 설치된 카메라로 이용자의 얼굴 사진에서 성별, 연령대, 감정(입술 모양) 등을 추출하는 서비스가 얼굴 사진을 수집할 때 암호화해야 하나?
추출하는 정보가 개인을 인증 또는 식별에 사용할 수 없는 정보라면 생체인식정보가 아닌 일반적인 생체정보이므로 암호화 의무대상은 아니다. 하지만 일반적인 생체정보의 경우에도 유출되거나 오·남용되는 경우 개인정보 침해 위험성이 크고, 언제든지 인증 또는 식별 목적으로 사용될 가능성이 있으므로, 원본정보에 준하는 보호조치를 할 것을 권장한다.

화자인식의 경우 등록된 이용자를 식별하기 위해서 해당 이용자 이외의 목소리를 수집한 뒤 특징정보와 매칭하는 과정을 거치게 되는데, 이 경우 이용자가 아닌 불특정 다수의 음성도 생체인식정보의 활용일까?
개별 서비스의 처리과정에 따라 달리 판단해야 하지만, 등록된 이용자를 식별하기 위해 불특정 다수의 음성이 기기 내에서 매칭된 후, 즉시 파기되는 등 다른 정보와 쉽게 결합해도 특정 개인을 알아볼 수 없도록 처리된다면 개인정보에 해당하지 않는다. 다만, 불특정 다수의 목소리가 서버로 전송되고 특정 개인을 알아볼 수 있는 경우, 정보가 기기 내에서만 처리되나 개인이 식별되는 경우 등은 모두 생체인식정보로서 이용자의 수집·이용 동의를 받아야 한다. 또한, 음성의 처리과정을 누구나 인식할 수 있도록 명확히 고지할 필요가 있다.

화자의 음성에서 성별, 연령, 감정(슬픔, 화남, 기쁨)을 인식하기 위한 정보를 추출할 경우 생체인식정보에 해당될까?
개인을 인증 또는 식별하지 않고 성별, 연령, 감정 등의 정보만을 추출하기 위해 수집하는 음성정보는 생체인식정보에는 해당하지 않으나, 일반적인 생체정보에 해당한다. 이 일반적인 생체정보는 생체인식정보에 적용되는 저장 시 암호화, 원본정보 보관 시 분리보관 등이 의무사항이 아니지만, 해당 정보가 수집, 전송, 보관 등 처리되는 과정에서 유출되거나 오·남용되는 경우에 예상되는 개인정보 침해 위험성을 고려해 생체인식정보에 준하는 보호조치 이행을 권장한다.

이미 수집된 개인정보에서 차후에 특징정보를 추출하려는 경우 동의는 어떻게 받아야 할까?
기존에 받은 수집·이용 동의 목적과 다르기 때문에 원본정보 및 특징정보 모두에 대해 필요한 시점에 수집·이용 동의를 다시 받아야 한다. 특히, 이 경우 민감정보에 해당하는 특징정보에 대한 동의는 다른 개인정보의 처리에 대한 동의와 별도로 받아야 한다.

생체인식 정보를 인증 또는 식별 목적과 그 이외의 용도로 함께 활용할 수 있을까?
개인을 인증 또는 식별하기 위해 수집한 생체인식정보를 그 외의 목적으로 동시에 활용할 수 있다. 다만, 인증 또는 식별 목적으로 동의 받은 생체인식정보를 다른 목적으로 활용하기 위해서는 일반적인 개인정보로서 수집·이용하는 목적 및 보유기간 등을 고지하고 동의받는 등 적법하게 처리해야 한다. 예를 들면, 이용자가 SNS에 올린 사진에서 특정 개인을 식별해 친구태그를 추천하는 기능은 얼굴정보가 생체인식정보로서 활용되는 동시에 개인정보로서 활용되는 것이다.

이용자의 동의를 받아 원본정보를 활용하는 경우에도 해당 이용자의 다른 개인정보와 분리해 별도로 저장·관리해야 할까?
원본정보는 변경이 불가능하므로 유출시 피해를 복구하기 어렵고, 민감정보가 추출될 수 있는 등 개인정보 침해 위험성이 크므로 강화된 보호조치가 필요하다. 특히, 원본정보의 안전한 보관을 위해 저장 시 암호화, 원본정보를 특징정보 생성 후에도 보관하는 경우 다른 개인정보와 분리 보관 등의 보호 조치가 요구된다.

SNS 등에 이미 공개된 사진을 인증·식별 목적으로 활용하는 경우에도 원본정보와 특징정보를 암호화 저장해야 할까?
특징정보의 경우 암호화 저장이 필요하지만, 원본정보는 이용자 스스로 일반 공중에 공개한 사진인 경우, 기밀성이 보장될 이유가 없다는 점에서 암호화 저장의 실익이 없다. 다만, 암호화 저장 이외의 보호 조치(내부관리계획 수립·시행, 접근통제, 전송구간 암호화 등)는 해야 한다.

시행령 개정(2020.8월) 이전에 이용자 동의를 받아 생체인식정보(특징정보 포함)를 처리하고 있었는데, 시행령 개정 이후에 기존 이용자로부터 민감정보인 특징정보의 수집·이용 동의를 추가로 받아야 할까?
시행령 개정 이전에 이용자의 동의를 받는 등 적법하게 수집한 특징정보를 수집 당시의 목적에 따라 이용하는 경우에는 추가적인 동의 없이 이용할 수 있다. 다만, 시행령 개정 이후에 수집하는 특징정보에 대해서는 별도 동의가 필요하다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)