[IT조선 노동균] 기업의 개인정보 암호화 조치의 중요성이 강조되고 있는 가운데, 생체 정보에 대한 암호화의 필요성도 제기되고 있다. 특히 전통적인 DB 암호화를 넘어 비정형 데이터를 아우르는 포괄적인 암호화의 도입이 시급하다는 지적이다.

최근 핀테크 트렌드에 발맞춰 비대면 거래가 활성화되면서 국내에서도 금융권을 중심으로 지문, 홍채, 정맥 등 개인의 고유한 생체 정보를 활용해 본인을 인증하는 서비스가 빠르게 확산되고 있다. 이미 주요 은행들이 앞다퉈 생체인증 방식의 서비스를 상용화해 선보였고, 온라인 중심의 인터넷전문은행이 조만간 정식 출범하면 관련 서비스 출시에 가속이 붙을 전망이다.

손바닥 정맥인증 방식을 도입한 신한은행의 디지털키오스크(사진= 신한은행)
손바닥 정맥인증 방식을 도입한 신한은행의 디지털키오스크(사진= 신한은행)

 

다만, 생체인증 확산의 관건이자 걸림돌은 단연 ‘보안’이다. 생체 정보는 전 세계에서 거의 유일하다시피 한 본인 식별 정보인 만큼 자칫 유출 시 기존과는 비교할 수 없는 큰 피해를 불러올 수 있다. 비밀번호처럼 손쉽게 변경하는 것도 불가능하다. 결국, 만에 하나 정보가 유출되더라도 악용되지 않을 수 있는 방안을 고려할 필요가 있다. 암호화도 그중 한 방법인 셈이다.

주민등록번호의 경우 올해부터 암호화가 의무화됐다. 지난해 3월 개정된 개인정보보호법에 따라 주민등록번호를 보관하는 개인정보처리자는 암호화를 의무적으로 적용해야 한다. 문제는 주민등록번호와 같이 DB화가 가능한 정형 데이터의 경우 비교적 암호화가 쉬운 편이지만, 생체 정보와 같은 비정형 데이터는 상대적으로 암호화가 쉽지 않다는 점이다.

실제로 지난해 말 홍콩의 전자완구 업체 브이텍(VTech)은 해킹으로 인해 600만건의 고객 개인정보를 유출했는데, 여기에 부모와 아이의 사진 및 채팅 로그데이터 등 비정형 데이터가 대거 포함된 것으로 알려지면서 큰 논란이 일었다. 이들 데이터를 통해 비교적 정확히 개인 식별이 가능해 2차 범죄에 악용될 소지가 있기 때문이다.

고객의 다양한 개인정보를 효과적으로 보호하지 못하는 기업은 고객들의 신뢰를 잃고, 비즈니스에 타격을 입을 수 있다. 이에 보안 업계는 기업들이 보안 사고로 인한 명성의 실추를 최소화하고자 한다면 비록 고객 정보가 유출되는 사고가 발생했더라도 강력한 암호화 조치가 마련돼 있어 결과적으로 고객들이 안전하다는 것을 보장할 필요가 있다고 강조한다.

그러나 현재는 정부 규정을 준수하기 위한 목적으로 DB 암호화만 선택적으로 도입하는 기업들이 대부분인 게 현실이다. 암호화에 따르는 성능 저하 문제도 발목을 잡는 이유 중 하나다. 업계에 따르면, 기업들은 기존 암호화된 데이터의 암호화 키를 재설정하는 데이터 마이그레이션 작업 동안 업무가 중단되는 다운타임 발생을 암호화 도입의 가장 큰 장벽으로 꼽는 것으로 나타났다.

주기적인 암호화 키 교체도 기업 입장에서는 큰 부담이다. 일반적으로 정부는 1~2년을 주기로 키 교체를 권장하고 있지만, 의무가 아닌 탓에 실제로 키 교체가 이뤄지는 경우는 드물다. 암호화 키 교체라고는 하지만, 이는 실질적으로 시스템 자체를 다시 구축하는 것과 다름없기 때문이다. 최근 보안성과 시스템 다운타임과의 균형 유지가 암호화의 핵심 경쟁력으로 부각되고 있는 이유다.

한편, 보안 우려로 클라우드 도입을 망설이는 기업에게도 암호화는 대안이 될 수 있다. 지난 2014년에는 한 여배우의 개인 아이클라우드 계정이 해킹되면서 누드사진이 유포되기도 했다. 이 경우 사용자와 퍼블릭 클라우드 저장소 사이에서 파일 업로드 시 암호화를, 다운로드 시 복호화를 즉시 수행하는 게이트웨이 형태의 암호화 솔루션을 고려할 만하다.

이문형 보메트릭코리아 지사장은 “비정형 데이터인 사용자의 생체 정보가 서비스 제공자의 서버에 저장된다는 것은 결국 해당 정보가 서버 내에 파일 형태로 존재한다는 것”이라며 “이 파일이 유출되지 않는다는 보장이 없는 이상 암호화는 필수적이며, 전통적인 DB 방식 암호화가 아닌 파일방식의 암호화가 필요하다”고 말했다.

노동균 기자 saferoh@chosunbiz.com