2019년 6월 모하메드 무라드

민간 및 공공 기관이 소유하고 관리하는 데이터베이스에 저장된 개인정보가 어떻게 보호되고 있는 가는 이제 세계적인 관심사가 되고 있습니다. 수백만 명의 사람들에 관한 개인정보가 유출된 최근의 대형 개인정보 해킹 사건들은 그 불안을 고조시키기에 충분했습니다. 이름, 주소, 주민등록번호, 전화번호, 생년월일, 비밀번호 등 민감한 정보가 인터넷에서 공공연하게 판매되기도 합니다. 따라서 많은 사람들이 개인정보가 수집되고 관리되는 방식과 그의 안정성에 대한 의문을 제기하기 시작했습니다.

이에 따라2018년 5월 유럽연합(EU)은 ‘유럽연합 일반정보보호법(GDPR)’을 본격적으로 시행했습니다. GDPR은 EU의 법령이지만 그 영향력은 가히 전 세계적이라고 할 수 있습니다. 모든 민간, 공공기관은 EU시민에 관한 개인정보를 관리 또는 처리하는 규정을 준수해야 하고, GDPR은 통제되지 않는 데이터 수집 관행에 대해서는 상당한 제약을 가하고 있습니다. EU의 소비자는 이제 자신의 결정으로 자신의 개인정보와 프라이버시를 보호할 수 있게 되었습니다. 이러한 규정을 준수하지 않을 경우 기업은 최대 2,000만 유로 또는 회사 연간매출의 4% 중 큰 금액으로 벌금이 부과될 수 있습니다.

GDPR의 기본 개념은 아주 간단합니다. 시민들은 자신들에 대해서 어떤 정보가 수집되었는가 또한 그 정보가 어떻게 사용되고 있는가에 대한 알 권리가 있고, 필요에 따라 언제든지 그 정보를 삭제할 수 있는 방법을 제공받습니다. GDPR은 특정 사람과 관련된 모든 정보를 개인정보로 정의합니다. 여기에는 개인의 이름, 집과 이메일 주소, 비밀번호, 생년월일, 운전면허증번호, 성별, 인종, 정당소속, 보안 관련 데이터 및 비디오와 같은 정보도 포함될 수 있습니다.

GDPR의 주요 목표가 보안산업은 아니지만 회사나 기관에서 감시용 비디오 및 출입통제 정보를 어떻게 수집하고 관리하는 지도 규제의 대상이 되고 있습니다. 이 규정은 실시간 또는 녹화된 비디오에서 찍힌 영상도 개인정보로 간주합니다. 뿐만 아니라 출입통제 데이터베이스에는 직원에 대한 개인정보는 물론 계약직 근로자 및 방문자의 개인정보도 포함됩니다.

GDPR은 보안과 관련된 정보는 접근권한이 있는 사용자만 이용할 수 있도록 규정하고 있는데 일반적으로 이러한 정보는 패스워드로 보호되고 있습니다. 그러나 가장 강력한 패스워드 조차도 누구나 공유할 수 있다는 문제점이 있습니다. 카드리더기 또는 키패드를 추가하여 2중 보안 장치를 만들 수 있지만, 이 또한 카드와 비밀번호가 공유되지 않을 것이라고 보장할 수는 없습니다.

생체인식 – GDPR은 개인정보 처리와 공유에 대해서 사용자의 자발적인 동의가 필요하며 사용자가 동의를 손쉽게 결정을 할 수 있도록 하고 있습니다. 이러한 측면에서 생체인식은 개인정보 공유를 동의하는 방식에 있어서 중요한 역할을 할 수 있습니다.

생체인식은 홍채, 지문 또는 얼굴과 같은 생체의 물리적 특징을 사용하여 당사자가 아닌 사람이 공유할 수 없으며, 카드 또는 비밀번호와 결합하여 2중 인증도 가능하게 할 수 있는 장점이 있습니다. 이제 패스워드는 사실상 실효성이 없게 되었습니다. 생체인식으로 개인정보는 권한이 있는 사람만이 접근할 수 있게 되었고 보안성이 유지되게 되었습니다.

생체인식기술은 이제 대부분의 스마트 폰에 도입될 정도로 보편화 되었고, 웹사이트에서 계정을 만들거나 인터넷에서 물건을 구매할 때 소비자를 인증할 수 있을 뿐만 아니라 전 세계적에서 출입통제, 근태관리, 출입국관리, 주민등록증, 유권자등록 등에서도 사용되고 있습니다.

GDPR은 낡고 비효율적인 민간과 공공기관의 개인정보 관리의 관행을 변화시키고 있고 생체인식은 그의 원동력으로 자리 잡고 있습니다.