[마부작침] 개인 생체정보, 보호해야 할까? 활용해야 할까?

혹시 스마트폰으로 돈거래해본 적 있나요? 질문이 좀 이상하죠. 아마 이 글을 보는 독자 100이면 99 스마트폰으로 금전 거래를 해 본 경험이 있을 겁니다. 스마트폰으로 금전거래를 하려면 일단 폰을 열고, 메신저 앱을 켜고 금융 서비스에서 송금 기능을 이용하면 될 겁니다. 그 사이사이 생략된 단계라면 잠금을 풀 때나 송금을 할 때 사용하는 비밀번호 입력 정도겠죠? 그런데 요즘엔 이 비밀번호도 입력하지 않고 지문으로 처리하거나 얼굴 인식을 통해 바로 해버립니다.

갑자기 이 이야기를 왜 했냐면요, 오늘 마부뉴스에서는 우리 생활 속에 깊숙이 들어와 있는 개인 생체정보에 대해서 이야기를 해보려고 하거든요. 스마트폰의 잠금을 해제하는 데 사용했던 얼굴과 지문 데이터, 금융 서비스를 위해 사용한 나의 바이오 데이터들 말이죠. ‘나’를 식별하는데 너무나도 편리하고 유용한 생체정보들에 대해 혹시 깊이 생각해본 적 있나요? 개인정보로서 보호해야 하는지, 아니면 식별에 도움이 되는 만큼 잘 활용해야 하는지요. 그래서 오늘 마부뉴스에선 이런 질문을 던져보려고 합니다.

“개인 생체정보, 보호해야 할까? 활용해야 할까?”
 
혹시 주민등록증이 언제 도입되었는지 아시나요? 시간은 지금으로부터 50여 년 전, 1968년 주민등록법이 개정되면서 전 국민에게 등록증이 발급되었습니다. 전 국민의 지문 정보도 이때 처음으로 수집되기 시작됐죠. 1999년 주민등록증이 플라스틱으로 교체되면서 새롭게 사람들의 지문 정보를 받기 시작했습니다. 이 데이터는 전산으로 입력됐고 범죄 수사용으로 관리되고 있죠.

주민등록증에 지문을 활용하는 이유는 지문만큼 개인을 식별하기 좋은 데이터가 없기 때문입니다. 지문은 일란성쌍둥이라도 서로 다르거든요. 지문이 같을 확률이 어느 정도일까요? 회귀 분석의 '회귀'라는 단어를 창시한 프란시스 골턴이 계산을 해봤는데, 그 확률은 무려 640억 분의 1입니다. 현재 세계 인구가 79억 명이니 지문이 같은 사람이 존재할 가능성은 사실상 제로에 가깝습니다.

개인을 식별하는데 생체정보는 매우 유용합니다. 일단 세상의 모든 사람들이 가지고 있는 보편적인 데이터이고, 그 정보는 다른 사람과 겹칠 일없이 오로지 나만 유일하게 가지고 있죠. 게다가 변하거나 변경될 가능성도 없고, 기술 발전으로 인해 센서가 정보를 획득하기도 쉽습니다. 주요 생체정보들을 대상으로 총 7가지의 특성을 두고 시각화를 해봤습니다. 여러 생체정보 중에 현재까진 지문이 가장 무난하다고 볼 수 있어요.


 
생체정보 관련 글로벌 시장은 매년 성장하고 있습니다. 글로벌 리서치회사로 유명한 마켓 앤 마켓의 보고서에 따르면 2020년 생체인식 시장의 규모는 366억 달러 수준이었어요. 보고서는 생체인식 시장이 연평균 13.4% 성장해 2025년엔 686억 달러에 이를 거라고 전망했죠. 우리나라 돈으로 85조가 넘는 규모입니다.

2010년대 말 IS를 필두로 극단주의 무장세력의 테러가 발생하면서 감시 및 보안에 대한 기술 발전이 급속도로 진행됐습니다. 거기에 2020년대 코로나19로 인한 비대면 시장이 확대되면서 생체 인식을 활용한 보안 시장의 수요가 늘어났죠. 그래서 이제 스마트폰뿐만 아니라 가전제품, 금융 서비스를 이용할 때도 생체 인식이 어색하지 않은 수준이 된 거예요.
 
생체정보 중 DNA는 원천적으로 위조가 불가능해 보안에 딱 맞습니다. 하지만 위의 그래픽에도 나와있듯 센서가 실시간으로 DNA를 측정할 수 있는 기술이 아직까진 없어서 생체 인식 기술로 활용되지 못하는 상황이죠. 하지만 이 DNA는 범죄자를 잡아내는데 혁혁한 공을 세우고 있어요. 생체정보의 강점 2번째가 바로 범죄 수사에 활용하기 좋다는 점입니다.

우리나라는 2010년 제정된 DNA법으로 DNA를 관리하고 있어요. DNA법에서 규정한 범죄를 저지른 사람의 DNA 정보와 범죄현장 증거물에서 분석된 DNA 정보를 관리하고 있죠. 이를 바탕으로 DB를 구축해두고 신속하게 범인을 특정할 수 있도록 활용하고 있습니다. 살인, 성폭력 등 장기 미제사건들을 포함해 다양한 사건들을 해결하고 있어요.

실제 미제사건의 대표 격인 이춘재 연쇄 살인사건(화성 연쇄살인사건)도 수형인 DNA를 통해 잡아낸 경우입니다. 경찰은 화성 연쇄살인 9차 사건 피해 여성 속옷에서 검출된 용의자 DNA를 수형인 DNA DB와 대조했고, 복역 중이었던 이춘재의 DNA가 용의자의 것과 일치하다는 사실을 확인한 거죠.

이 사건을 포함해 2010년부터 2020년까지 DNA 일치를 계기로 수사가 다시 시작된 경우가 모두 6,221건이나 됩니다. 수형인 DNA 뿐만 아니라 구속 피의자 DNA까지 활용해서 수사를 하고 있죠. 수사 재개 건수는 2011년이 1,228건으로 가장 많았고 최근엔 줄어들고 있습니다. 사건 유형별로 살펴보면 절도 사건이 4,025건으로 가장 많았고, 성폭력 사건이 996건으로 2위를 차지했습니다.

우리나라 DNA DB에 수록된 범죄자 수는 2020년 기준으로 25만 4,719명입니다. 2020년 우리나라 인구가 5,182만 명이니까 비율로 따지면 전체 인구 대비 0.5% 수준인 거죠. 국가 주도로 DNA DB를 가장 먼저 설립한 영국의 경우 운영하고 있는 DNA 프로필이 전체 영국 인구의 7% 정도고, 프랑스가 6%, 미국이 5% 등 다른 국가의 DNA DB 비해서는 낮은 수준입니다.
 
지금까지는 생체 정보가 왜 유용한지, 활용 측면에서 데이터를 살펴봤다면 지금부터는 생체 정보를 왜 보호해야 하는지에 대해 살펴볼게요. 아까 주민등록증의 지문 날인 제도가 1968년에 도입되었다고 했죠? 1968년은 북한 공작원들이 청와대를 습격해서 당시 박정희 대통령을 암살하려 했던 1.21 사태가 있었던 해입니다. 사실 지문 날인 제도는 남한에 숨어든 간첩을 쉽게 골라내기 위해 도입된 제도거든요.

전 세계에서 의무 신분증에 국민들의 열 손가락의 지문을 요구하는 나라는 우리나라뿐입니다. 미래에 범죄를 저지를 가능성을 상정해두고 국가에서 편하게 범죄자를 골라내기 위해 개인 정보를 관리한다? 그래서 일부 법학자들은 지문 날인 제도가 무죄추정의 원칙을 무시한 위헌적 제도이자 개인 정보를 침해하는 제도라고 지적하기도 하죠.

그 탓에 벌써 3번이나 헌법 소원이 이뤄지고 있어요. 2005년, 2015년에는 모두 합헌 결정이 났는데, 당시 헌법재판소는 개인정보가 침해되어 입는 불이익보다 신원확인을 위해 이용하는 공익이 더 크다고 판단했어요. 2020년에 또다시 헌법 소원이 이뤄졌는데, 이번엔 IT 기술이 보편화된 만큼 지문 정보가 유출되면 위험 부담이 과거보다 더 커졌다는 의견이 포함됐죠.

가장 개인적인 정보인 생체정보를 국가, 기업이 가지고 있다는 것에 의문을 제기할 필요가 있습니다. 이런 정보가 유출될 경우엔 그 여파가 상상을 초월할 수 있을 테니까 말이에요. 이미 우리는 잦은 개인정보 유출 사고를 겪은 바 있습니다. 2021년 개인정보보호위원회에서 발간한 보고서를 살펴보면 2020년 기준으로 공공기관 34곳, 민간기관 71곳, 전기통신서비스제공자 70곳이 개인정보보호법 위반으로 행정처분을 받았어요. 2020년 한 해에만 94억 원의 과징금을 부과할 정도죠.

동의 없이 생체정보를 수집하다가 해외에선 큰 소송이 이어지고 있기도 해요. 혹시 페이스북 이용하면서 내가 찍힌 사진 태그 이용해본 적 있나요? 2011년 6월부터 기본 설정으로 도입됐던 태그인데, 페이스북이 사진 속 사람들의 얼굴을 알아서 판단해주는 기능이죠. 알고리즘이 사진 속 얼굴 정보를 학습해 판단한 건데, 여기에 이용자의 동의는 따로 받지 않았어요. 미국 일리노이주에선 개인의 얼굴 정보를 무단으로 확보한 페이스북에게 집단 소송을 제기했습니다. 왜 개인이 동하지 않았는데 나의 얼굴 생체정보를 무단으로 확보해서 서비스에 이용했냐 이겁니다.
 
인스타그램도 같은 사안으로 2020년 8월에 집단 소송이 진행 중입니다. 결국 페이스북은 패소했고, 사용자들에게 총 6억 5,000만 달러를 지급하기로 합의했어요. 올해엔 텍사스 주가 일리노이 주와 마찬가지로 여전히 페이스북이 생체 인식을 무단으로 수집하고 있다며 집단 소송을 제기했고 우리나라도 같은 이유로 페이스북에 64억 원의 과징금을 부과했어요.
   
미국에선 이미 수집된 생체정보를 바탕으로 알고리즘 분류 서비스를 실제 현장에서 활용하고 있습니다. 그런데 이 알고리즘이 문제가 많아요. 일반적으로 컴퓨터가 계산해주면 그 정확도가 높다고 생각하지만 많은 연구들을 살펴보면 안면인식 알고리즘의 편향성 문제가 심각합니다. 인공지능이 학습한 수많은 데이터에는 인류 역사적으로 형성된 인종, 성에 대한 차별적 요소가 내재되어 있거든요.

2020년 5월에 발생한 조지 플로이드 사건 기억나시나요? 경찰이 비무장 상태의 조지 플로이드를 과잉 진압해 목을 눌러 숨지게 한 사건이었죠. 흑인이라는 이유로 과잉 진압을 해 사망에까지 이르게 한 이 사건으로 미국 전역에서 Black Lives Matter 시위가 확 번졌습니다. 시위가 한창이었던 6월, 이런 사건 하나가 밝혀졌어요.
 
SF 영화에서나 볼 법한 알고리즘에 의한 범인 색출이 이뤄진 겁니다. 그런데 이건 알고리즘의 오류였어요. 로버트 윌리엄스는 범인이 아니었거든요. 이 사건을 포함해 두 건의 부당 체포 사례가 추가로 밝혀졌는데 두 명 모두 다 흑인이었습니다. 이 사건으로 BLM 시위는 더 커지게 되죠. 거기에 안면인식 기술에 대한 우려와 비판이 증폭됐어요.

오류는 특히 여성과 유색인종에게 가혹했습니다. 미국 국립표준기술연구소에서 검증해보니 백인 대비 흑인과 아시아인 정확도가 최소 10배, 최대 100배 떨어졌거든요. MIT 미디어랩에선 Gender Shades라는 프로젝트를 진행해서 상용화된 안면인식 기술의 정확도를 모니터링했는데 조사 결과 백인일수록, 그리고 남성일수록 더 좋은 식별 성능을 나타냈어요. 가장 정확도가 낮은 흑인 여성(65.3%)과 가장 정확도가 높은 백인 남성(99.7%)과의 차이는 무려 34.4%p 였죠. 위의 이미지가 바로 IBM의 알고리즘 오류를 시각화한 거예요.

6월 로버트 윌리엄스 보도 이후 마이크로소프트는 연방차원의 규제가 마련될 때까지 안면인식 서비스를 경찰에 납품하지 않겠다고 밝혔습니다. 참고로 마이크로소프트는 자사의 Azure 서비스로 안면인식 API를 경찰에 납품 중이었거든요. 아마존도 자사의 Rekognition 납품을 1년 유예했고. IBM은 안면인식 기술이 차별적 도구로 이용될 수 있다고 지적하며 아예 해당 사업에서 완전 철수했어요. 정부는 관련 기술을 제한하는 입법조치를 취할 예정이죠.
 
작년 말 정부가 출입국 심사에 쓸 인공지능을 개발하기 위해 1억 7,000만 건의 얼굴 사진을 24개의 민간 업체에 넘긴 사실이 있습니다. 일일이 사람이 심사할 필요 없이 인공지능이 알아서 위험 행동을 하는 사람들을 골라낼 수 있도록 하려는 거였죠. 정부가 넘긴 정보는 외국인 심사정보 1억 2,000만 건과 내국인 심사정보 5,760만 건. 여기에 공항 출입국에 설치된 수백여 대의 카메라로 촬영한 영상까지. 당사자의 동의는 없이 민간에 제공했어요.

정부는 법적인 문제가 없다는 입장입니다. 법무부와 과기부는 해당 생체정보는 정부가 활용할 수 있는 합법적 범위 안에 있다고 주장하고 있어요. 정부의 입장을 살펴보면 개인 생체정보를 보호하기보다는 활용 쪽에 더 치우친 느낌입니다. 관련 사업보고서 내용에는 미국과 유렵 등에서 인권과 개인정보 침해 이슈로 안면인식 기술을 제한하는 입법 조치가 취해질 것으로 보이니 오히려 지금이 우리나라가 생체정보를 활용할 수 있는 기회라는 얘기가 담겨있더라고요. 여러분은 어떻게 생각하나요?

오늘 마부뉴스가 준비한 레터는 여기까지입니다. 오늘은 생체정보에 대해 자세히 살펴봤어요. 개인의 생체정보는 보호되어야 할까요? 아니면 활용되어야 할까요? 법무부가 취한 행동처럼 생체정보를 활용한다면 공익에 더 도움이 될까요? 아니면 알고리즘의 편향성 문제와 개인정보 침해를 막기 위해서 보호가 필요할까요? 여러분들의 생각이 궁금합니다. 아래 댓글을 통해 생각을 알려주세요!(*본 기사는 마부작침 뉴스레터를 편집한 기사입니다)

마부작침 뉴스레터 구독하기 ​→ https://page.stibee.com/subscriptions/56136
글 : 안혜민   디자인 : 안준석   인턴 : 강수민, 강동용