[서울=뉴시스] 심지혜 기자 = 휴대전화 개통 과정에 안면인증이 적용되면서 이용자들 사이에서는 “내 얼굴 정보가 해킹되면 성형수술이라도 해야 하는 것 아니냐”는 불안이 나온다. 이뿐 아니라 “해킹 이력이 있는 통신사에 얼굴 정보를 맡겨도 되는 것 아니냐”는 의문도 제기된다. 최근 통신사와 플랫폼을 가리지 않고 개인정보 유출 사고가 반복된 상황에서, 안면인증이 또 다른 위험 요인이 될 수 있다는 우려가 겹친 탓이다.

휴대전화 개통 안면인증 시범서비스는 지난 23일 이동통신3사 대면 채널에서 우선 시작했다. 안면인증은 신분증에 기재된 얼굴 사진과 개통 과정에서 촬영된 얼굴 영상을 실시간으로 대조해 동일인 여부만 확인하는 절차다. 제도 도입을 둘러싼 주요 궁금증을 일문일답 형식으로 정리했다.

▲안면인증 과정에서 내 얼굴 정보가 저장되나

"저장되지 않는다. 과기정통부에 따르면 안면인증은 신분증 사진과 실시간 촬영된 얼굴 영상을 0.04초 이내에 대조해 동일인 여부만 확인하는 일회성 절차다. 이 과정에서 생체정보는 일체 보관되지 않으며, 확인 결과값(Yes 또는 No)만 관리된다. 시스템에 생체정보가 별도 데이터베이스로 저장되지 않아 유출 가능성이 없도록 설계했다는 설명이다. 신분증 정보는 암호화된 상태로 임시 저장됐다가 안면인증 프로세스 완료 후 개통 사업자로 전송되고 즉시 폐기된다."

▲기술적으로는 어떻게 처리되는 건가

"안면인증 시스템을 구축한 데이사이드에 따르면 먼저 휴대폰에서 신분증 촬영을 진행하고, 촬영된 신분증 정보는 암호화해 안면인증시스템으로 전달한다. 안면인증시스템은 전달받은 신분증 정보를 암호화된 상태로 임시 저장한다. 신분증 정보 전송이 성공하면 휴대폰에서 실시간 얼굴 촬영이 진행되는데, 이 과정에서 눈 깜빡임, 좌우 움직임 등을 요구할 수 있다.

촬영된 얼굴 정보는 암호화된 상태로 안면인증시스템으로 전송된다. 안면인증시스템은 전송 받은 실시간 얼굴 정보와 신분증의 사진 정보에서 특징 정보를 추출해 비교·인증한다. 이 시간은 0.04초 이내에 완료되고, 인증이 완료되면 전송된 정보는 즉시 폐기된다. 신분증 정보는 안면인증 프로세스 완료 후 개통 사업자로 전송되고 즉시 폐기된다. 안면인증시스템은 휴대전화에서 전송된 어떠한 생체 정보도 저장·관리하지 않는다."

▲해킹 이력이 있는 통신사, 믿어도 될까

"올해 이통사 등 연이은 해킹으로 국민들이 불안해하는 것을 과기정통부도 인식하고 있다. 과기정통부는 이통사가 수집하는 개인정보는 관계법령에 따라 엄격히 관리되고 있으며, 이번에 도입되는 패스(PASS) 앱 기반 안면인증 시스템 역시 적법한 절차에 따르며 본인 여부 확인이라는 목적에 한해 최소한으로만 활용된다고 설명했다.

본인 여부 확인이 완료되는 즉시 관련 정보는 자동으로 삭제되기 때문에 서버 등에 별도로 보관하거나 저장 또는 다른 곳으로 전송하는 절차는 없다고 강조했다. 다만 국민들의 우려와 불안을 고려해 만일의 상황에 대비해 개인정보 유출 가능성에 대해서도 면밀히 점검하고 있으며, 필요한 경우 정보보호 전문기관과 협력해 안면인증 시스템의 보안체계를 점검하고 지속적으로 강화해 나간다는 계획이다."

▲전송 과정에서 해킹 위험은 없나

"이중 암호화로 보안을 강화했다는 게 구축 업체의 설명이다. 데이사이드에 따르면 안면인증을 위해 휴대폰에서 안면인증시스템으로 접속할 때 매번 다른 일회성 인터넷주소(URL)을 사용한다. 휴대폰에서는 얼굴 정보를 암호화하는 키를 만들고, 이 키로 얼굴 정보를 암호화한다. 그다음 시스템에서 받은 공개키로 암호화 키를 다시 한번 암호화한다. 이렇게 이중으로 암호화된 정보가 안면인증시스템으로 전송된다.

안면인증시스템은 자체 보관 중인 개인키로 암호화 키를 풀고, 풀린 암호화 키로 얼굴 정보를 복호화한다. 복호화된 얼굴 정보는 안면인증에 사용되고 즉시 모두 폐기된다. 휴대폰에서 전송된 암호화 정보는 해커가 중간에 가로채더라도 복호화가 불가능한 구조로 설계됐다는 설명이다."

▲딥페이크 기술로 뚫릴 위험은

"데이사이드는 방어 기술을 적용했다고 했다. 무반사 모니터, 3D 프린팅 등에 대한 방어를 감안하고 있고, 한국정보통신기술협회(TTA)에서 권고하는 부분을 모두 통과한 엔진을 사용하며 거기서 더 강화된 부분을 사용하고 있다고 답했다. 실시간 얼굴 촬영 과정에서 눈 깜빡임, 좌우 움직임 등을 요구하는 방식으로 진행된다. 다만 AI 딥페이크 기술 발전에 얼마나 대응할 수 있을지는 지켜봐야 할 부분이다."

▲PASS 앱을 사용하는 이유는

"비용과 보안 문제 때문이다. 과기정통부는 PASS 앱이 이통3사가 직접 운영해 별도 연동비용이 들지 않고, 개통 과정 안에서 이뤄져 외부로 데이터가 전송됐다 돌아오는 과정을 최소화할 수 있다고 설명했다. 지난 2년여간 의사결정 과정에서 이통3사뿐 아니라 알뜰폰 사업자들도 PASS 앱 도입에 우선 찬성했다는 것이 과기정통부의 설명이다. 다른 플랫폼 개방 여부에 대해서는 업계 의견을 들어 중장기적으로 검토할 수 있는 사안이라고 했다."

▲안면인증 실패하면 개통을 못하나

"실패해도 개통이 가능하다. 과기정통부는 정식 운영 전까지 약 3개월간은 안정화 기간으로 운영하면서 안면인증 실패에도 예외적으로 개통이 가능하도록 현장 대응 기준을 마련했다고 밝혔다. 이 기간을 활용해 이용자의 불편함을 최소화할 수 있도록 제도 변경사항 등에 대한 현장 안내를 강화하고, 안면인증을 이용한 개통 절차의 운용 경험을 축적해 내년 3월 말 정식 운용 시 안정적인 개통 절차와 시스템을 구축한다는 계획이다."

▲고령층은 어떻게 하나? 피처폰 사용자도 아직 있는데

"과기정통부는 대면 개통 시 현장에서 적극 지원한다는 입장이다. 고령층 등 디지털 취약계층은 대부분 매장을 방문해 대면으로 개통하므로 대리점과 판매점 등 현장에서 적극적인 안내와 지원이 이뤄지도록 할 예정이다. 시범운영 기간 동안 취약계층 이용자의 불편사례를 지속 모니터링하고, 인증 실패 사례 및 운영 현황을 면밀히 분석해 정책 효과를 유지하면서도 불편을 최소화할 수 있는 보완대책을 적극 검토한다는 계획이다. 피처폰 이용자 약 80만명의 경우에는 매장 내방을 통해 개통해야 한다."

▲외국인에는 적용이 안 돼 실효성 지적도 있다

"현재는 주민등록증과 운전면허증만 적용돼 외국인은 제외된다. 과기정통부는 처음 도입하는 제도인 만큼 국민들이 신분 확인을 위해 많이 사용하는 주민등록증과 운전면허증을 중심으로 우선 적용하면서 향후 내외국인 구분 없이 다양한 신분증으로 적용 대상을 지속 확대할 계획이다. 외국인 신분증의 경우 시스템 추가 개발을 거쳐 내년 하반기 적용을 목표로 준비 중이다. 같은 시기 시행 예정인 외국인등록증 사진 진위확인 기능과 연계될 경우 정책 실효성이 높아질 전망이다.

대포폰 방지 목적인데 정식 서비스 시작 이후에도 외국인이 제외되는 것 아니냐는 지적에 대해서는 그간 알뜰폰 신분증 스캐너 도입, 외국인 여권 개통 회선 수 제한(2→1회선) 등으로 외국인 명의 대포폰 방지를 위해 지속적으로 제도를 개선해왔다고 해명했다."

▲본인이 직접 개통한 뒤 넘기는 대포폰은 어떻게 막나

"정상 개통 후 넘기는 대포폰은 수사기관 영역이라 잡기 어려운 현실이다. 이와 관련해 처벌을 강화하는 현재 전기통신사업법 개정안이 국회 본회의에 상정돼 있다. 이 개정안에는 대포폰임을 알면서 타인에게 넘기는 행위에 대한 강력한 처벌 조항과 함께, 통신사가 이를 의무적으로 고지하도록 하는 내용이 담겨 있다."

▲알뜰폰 대포폰 예방이 중요한데, 도입이 지연되는 이유는

"사업자별로 시스템 구축 일정이 다르다. 과기정통부는 사업자마다 홈페이지 구축이나 여러 환경, 상장기업이나 큰 사업자의 경우 투자에 따른 내부 의사결정 시간이 존재해 시차가 당연히 있을 수밖에 없다며 기술적 문제나 회사 내부 사정 때문에 도입이 지연되거나 일시 중단 후 재시작하는 사업자가 일부 있다고 설명했다. 알뜰폰 사업자들이 협회 등을 통해 2022년부터 안면인증 도입을 먼저 제안했다는 점도 덧붙였다. 과기정통부는 알뜰폰 사업자들이 대포폰 관련 이미지 제고 차원에서도 자정 노력을 하고 있다고 평가했다."


◎공감언론 뉴시스 siming@newsis.com