Home > 전체기사

[생체정보 보호 가이드라인-2] 생체인식정보 보호 조치-기획·설계 단계

  |  입력 : 2022-01-03 23:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
생체인식정보 활용 서비스의 기획·설계 단계부터 개인정보보호 중심 설계(PbD) 원칙 적용

[보안뉴스 박미영 기자] 개인정보보호위원회(이하 개인정보위)가 2021년 공개한 지문·얼굴·정맥·홍채 등 생체정보의 보호와 안전한 활용을 위한 ‘생체정보 보호 가이드라인’은 기존 가이드라인을 전면 개편한 것으로, 안전한 생체정보 이용환경 조성을 위해 개인정보처리자·관련기기 제조사·이용자 등이 알아야 할 사항을 구체적이고 알기 쉽게 안내하는 것을 최우선으로 했다. 가이드라인에 게재된 생체인식정보의 특성 및 보호 원칙, 생체인식정보 처리 단계별 보호 조치와 생체정보 적용 대상인 개인정보처리자·제조사·이용자의 자율점검 방법을 시리즈로 소개한다.

[이미지=utoimage]


생체인식정보 보호 조치(개인정보처리자 및 제조사)-기획·설계 단계
비례성 원칙을 고려해 생체인식정보 활용 서비스 도입 여부를 판단하고, 기획·설계 단계부터 개인정보보호 중심 설계(PbD) 원칙을 적용하며, 이용자가 생체인식정보 제공을 원하지 않거나 제공할 수 없는 상황에 대비해 생체인식정보 이외의 다른 대체 수단을 마련·제공해야 한다. 또 대량의 생체인식정보를 서버로 전송해 처리하는 경우, 개인정보 영향평가를 수행해야 한다.

△생체인식정보의 필요성 검토(권장/비례성)
이용하려는 생체인식정보가 활용 목적상 필요한 정도 및 예상되는 편익에 비해 개인정보 침해 위험성이 크지 않은지를 고려해 생체인식정보 활용 서비스를 도입한다.

(서비스 도입 전) 이용자의 개인정보 침해 위험성을 최소화하면서 처리 목적을 달성할 수 있는 다른 수단이 있는지 검토한다.

(도입할 생체인식정보 선택 시) 생체인식정보마다 특성이 다르고 서비스 형태별로 적합도가 상이하므로, 활용 목적을 달성하면서도 침해 위험성을 최소화할 수 있는 생체인식정보를 선택한다.

△개인정보보호 중심 설계(PbD) 적용(권장/적법성·안전성·통제권보장)
생체인식정보 활용 서비스의 기획·설계 단계부터 개인정보보호 중심 설계(PbD) 원칙을 적용해 생체인식정보 처리의 모든 과정에서 예상되는 개인정보 침해위험 요인을 사전에 분석하고 예방 조치한다. ‘Privacy by Design(PbD)’는 제품·서비스 개발 시 기획 단계부터 개인정보 처리의 전체 생애주기에 걸쳐 이용자의 프라이버시를 고려한 정책을 적용해 설계에 반영하는 것을 의미하며, 국제적으로 광범위하게 통용되는 개인정보보호 원칙이다.

△대체 수단 마련(권장/통제권보장)
이용자가 생체인식정보 제공을 원하지 않거나, 생체인식정보를 제공할 수 없는 상황(직업 특성상 지문이 손상됐거나, 부상 등의 사유로 얼굴 인식을 사용할 수 없는 경우 등)에 대한 대체 수단을 마련한다. 출입통제·복무관리 등 물리보안 목적으로 사용되는 경우 출입카드·비밀번호 등의 대체 수단 제공 또는 대면 확인 절차를 마련한다. 정보통신서비스를 제공하는 앱의 경우 핀번호 입력, ARS 인증, 일회용 비밀번호(One-Time Password) 인증 등 지식 기반 또는 소유 기반의 대체 수단을 동시에 지원해 이용자가 선택할 수 있도록 허용한다.

△개인정보 영향평가 수행(권장·의무/적법성·안전성)
생체인식정보를 서버로 전송해 대량으로 처리하는 경우, 개인정보 영향평가를 수행할 것을 권장한다. ‘개인정보 영향평가’는 개인정보파일의 운용으로 인해 이용자의 개인정보 침해가 우려되는 경우에 그 위험요인을 분석하고 개선사항을 도출하기 위한 평가(개인정보 보호법 제33조)로, 5만명 이상의 특징정보 처리가 수반되는 개인정보 파일을 운용하는 공공기관 등은 의무 대상이다.

개인정보 영향평가를 수행해 새로운 생체인식정보 활용 서비스를 도입하거나 기존 시스템의 중요한 변경 사항 발생에 따른 개인정보 침해위험 요인을 사전에 분석하고 보호 대책을 마련한다. 생체인식정보를 중앙의 서버로 전송해 처리할 경우, 생체인식정보를 수집하는 단말에서 처리하는 경우보다 생체인식정보의 유출 및 오·남용 등의 침해위험이 크므로 개인정보 영향평가 수행을 통한 침해요인 분석 및 개선 대책 마련이 필요하다. 따라서 민간 사업자 등 개인정보 영향평가의 의무 대상이 아니더라도 생체인식정보를 서버로 전송해 대량으로 처리하는 경우에는 개인정보 영향평가를 수행할 것을 권장한다.
[박미영 기자(mypark@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)