Home > 전체기사

[생체정보 보호 가이드라인-3] 생체인식정보 보호 조치-수집 단계

  |  입력 : 2022-01-03 23:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
생체인식정보 전송 시 외부에 유출 또는 위·변조되지 않도록 암호화 조치 필요

[보안뉴스 박미영 기자] 개인정보보호위원회(이하 개인정보위)가 지문·얼굴·정맥·홍채 등 생체정보의 보호와 안전한 활용을 위해 2021년 개정한 ‘생체정보 보호 가이드라인’은 기존 가이드라인을 전면 개편한 것으로, 안전한 생체정보 이용환경 조성을 위해 개인정보처리자·관련기기 제조사·이용자 등이 알아야 할 사항을 구체적이고 알기 쉽게 안내하는 것을 최우선으로 했다. 가이드라인에 게재된 생체인식정보의 특성 및 보호 원칙, 생체정보 처리 단계별 보호 조치와 생체정보 적용 대상인 개인정보처리자·제조사·이용자의 자율점검 방법을 시리즈로 소개한다.

[이미지=utoimage]


생체인식정보 보호 조치(개인정보처리자 및 제조사)-생체인식정보 수집 단계
생체인식정보 수집·이용에 대한 동의 절차를 적법하게 이행하고, 위·변조된 생체인식정보 수집·입력에 대한 대책을 마련하며, 생체인식정보 전송 시 해킹 등으로 인해 생체인식정보가 외부에 유출 또는 위·변조되지 않도록 암호화 조치한다.

△적법하게 생체인식정보 수집(의무/적법성)
이용자에게 생체인식정보 수집·이용 동의를 받는 경우에는 수집·이용 목적, 수집 항목, 보유·이용기간 등에 관한 내용을 명확히 알려야 한다. 민감정보인 특징정보의 경우에는 다른 개인정보 처리에 대한 동의와 별도 동의가 필요하다.

가. 수집·이용 동의 방법
생체인식정보 수집·이용 동의 시 ①수집·이용 목적 ②수집 항목 ③보유·이용 기간 ④동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용을 명확히 알려야 한다.

특징정보의 경우 개인정보 보호법상 민감정보에 해당하므로 다른 개인정보의 처리에 대한 동의와 별도로 수집·이용에 대한 동의가 필요하다.

특징정보 생성 후에도 개인정보처리자의 필요로 원본정보를 보관하는 경우, 원본정보 수집·이용 동의 시 그 목적 및 보유 기간 등을 구분해 안내한다. 이용자가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 서비스의 제공을 거부해서는 아니되므로 해당 서비스의 본질적 기능 제공을 위해 원본정보의 보관이 반드시 필요한 경우가 아니라면 선택동의 사항으로 수집·이동 동의를 받아야 한다.

나. 법령에 별도 근거가 있는 경우
법령에서 생체인식정보의 처리를 요구하거나 허용하는 경우 이용자의 동의를 받지 않고도 생체인식정보(원본정보 및 특징정보)의 처리가 가능하다. 일반적으로 생체인식정보를 활용한 인증·식별은 특징정보 추출이 필요하며, 이 경우 개인정보 보호법 제15조 뿐만 아니라 제23조(민감정보의 처리제한)가 적용된다. 법령에 근거해 생체인식정보를 이용자의 동의 없이 처리하는 국가기관·공공기관 등의 경우 생체인식정보가 해당 법령이 허용하는 목적의 범위 내에서 이용되고 있는지 확인·관리가 필요하다.

△위·변조된 생체인식정보에 대한 대책 마련(권장/안전성)
센서 등의 장치를 통해 생체인식정보가 수집·입력될 때 실리콘 인공지문, 캡처된 얼굴·홍채사진, 녹음된 음성 등 위·변조된 생체인식정보를 이용한 공격에 대한 보안 대책을 마련한다.

(위·변조 탐지) 온도·맥박 감지, 위·변조를 탐지하는 알고리즘 적용 등 위·변조된 생체인식정보를 탐지하는 기술을 적용한다.

(다중 인증) 생체인식정보 입력 시 핀 번호 입력, ARS 인증, 일회용 비밀번호(One-Time Password) 인증 등 지식·소유 기반의 인증수단을 추가로 적용한다.

△생체인식정보 수집·입력 시 전송구간 보호(의무/안전성)
생체인식정보를 정보통신망을 통해 전송하거나 보조저장매체 등을 통해 전달하는 경우 인가되지 않은 접근, 해킹 등으로 인한 유출, 위·변조 가능성 등을 방지하기 위해 안전한 알고리즘으로 암호화한다. 공공기관은 국가정보원의 검증 대상 암호 알고리즘을 적용, 민간 부문(법인·단체·개인)은 국내외 전문기관(KISA, NIST, ECRYPT, CRYPTREC 등)이 권고하는 암호 알고리즘을 적용한다.

생체인식정보를 처리하는 기술적·환경적 여건에 따라 다르나 일반적으로 응용 프로그램 자체 암호화 방식, SSL/TSL 방식, VPN 방식 등 중 적합한 방식을 적용 가능하다.
[박미영 기자(mypark@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)