<다시 수출이다>(15)생체인식산업-법적 뒷받침 `발등에 불`

 생체인식 산업은 지문인식을 선두로 점차 사업영역을 확대하고 있다. 사업 초기인 만큼 기술적인 문제를 비롯한 각종 문제가 지적되고 있다. 생체인식이 산업으로 태동하기 위한 사회·제도적 인프라 마련이 시급하다는 의견이 제기된다. 특히 국내 생체인식 산업의 세계 시장 진출을 위해 기술 표준화·시험평가 기준·법 제도 정비 등이 요구되고 있다.

◇표준화 요구=생체인식산업의 본격화 및 세계 시장 공략을 위해 관련 표준이 제정돼야 한다는 목소리가 커지고 있다. 표준화는 상호호환성과 상호연동성, 기술경쟁력 강화 및 위험격감을 위해서 요구되고 있다. 표준화의 대상분야로는 원시·가공데이터·정보 등의 자료교환과 프로그램 인터페이스, 독립적인 시험평가 환경, 생체인식산업체 보안관리 등의 분야가 있다.

 표준화 성과 중 가장 주목해야 할 것은 BioAPI 컨소시엄의 설립이다. BioAPI는 생체인식 전분야에 적용가능한 응용프로그램 인터페이스를 제공하기 위해 사용자 그룹과 개발자 그룹 77개 기관으로 구성된 표준화 관련 민간단체다.

 이들의 특징은 기능과 생체데이터 규격을 표준화하는 동시에 클라이언트·서버 응용분야 지원, 일반에게 구현관련 참조사항 및 소스 공개, 플랫폼과 무관한 작동, 사용자 등록·등록된 데이터의 인식·사용자 신분확인 및 인증 등의 기본기능 제공, 템플리트 생성·가공·패턴인식·등록 등의 표준기능을 제공한다는 것이다.

 BioAPI를 비롯한 NIST, Biometric Consortium, ANSI X9F4 워킹그룹, IBIA(International Biometric Industry Association) 등 미국 표준화 관련기관과 독일의 Interfaces Group of TeleTrustT 등이 제정한 CBEFF(Common Biometric Exchange File Format) 표준은 일반적으로 생체인식 기술을 제공하기 위해 필요한 데이터 구성요소들을 서술한 표준이다.

 ANSI/ASC X9F4 워킹그룹이 제정한 X9.84-2000표준안은 주로 금융서비스에 적용되는 표준으로 생체인식 생명주기상에 적용되는 물리적인 하드웨어에 대한 보안기능, 생체인식 생명주기에 대한 생체 데이터 관리기능, 금융업무 고객 및 종업원에 대한 신분확인 및 인증을 위한 생체인식 기술의 적용사례, 물리적·논리적 접근통제를 위한 생체인식 기술의 적용 사례, 생체데이터 암호화, 생체데이터 전송 및 저장시 필요한 보안기능 등을 포함한다.

 이와 같이 외국의 경우 민간과 국가기관에 의해 생체데이터 교환 규격, 사용자 요구사항, 타인증기술과의 통합기술 등을 포함한 표준화 작업이 진행되고 있다. 또한 기타 스마트 카드와 생체인식기술의 결합, PKI상에서의 생체인식 적용사례 등 생체인식 제품의 활용분야를 소개하는 역할을 담당하고 있다.

 우리나라 생체인식 업계는 국제표준화 움직임에 대한 대응이 부족하다는 지적을 받고 있으며 국내표준이 마련되지 않아 업체간 연동이 불가능하다는 단점을 노출하고 있다. 또 표준 미제정은 시장확대를 가로막음과 동시에 신규사업자의 시장진출 비용 부담을 늘리게 된다.

 하루빨리 국제표준과의 연동, 각 기술의 템플릿 포맷의 표준화, 인증 모듈간의 인터페이스 표준화, 평가 기준 및 방법의 표준화를 이뤄야 한다는 것이 업계의 의견이다.

◇성능평가=외국의 경우 국가가 운영하는 성능 및 보안성 평가기관이 있어 각 제품을 인증해 주는 역할을 담당한다. 이는 사업초기 기술력이 떨어지는 업체의 진입을 막고 생체인식 산업 전체의 안정성과 신뢰성을 제고하는 효과가 있다. 미국은 NBTC(National Biometric Test Center), 영국은 NPL(National Physical Lab·영국 국가표준연구소)과 CESG(Communication-Electronics Security Group·영국 IT 평가기관), 독일은 GISA(German Information Security Agency·독일 IT 평가기관) 등의 기관을 두고 생체인식 관련 기술 및 제품의 성능평가를 담당하고 있다.

 현재 국내에는 생체인식 제품 및 시스템에 대한 평가 기준 및 방법이 없다. 평가수행시 오인식률 등에 대한 업계의 입장도 정리되지 않은 상태다. 국가 혹은 민간기관에 권한을 부여하고 이 기관에 의한 보안성 및 신뢰성 평가를 진행해야 한다. 이러한 신뢰성 평가를 통해 신기술 개발의 목표제시 효과 및 개발비용·기간·실패율의 감소, 개발완료 제품에 대한 체계적 관리 등이 가능해 질 수 있다.

 평가 자체가 기존 업계에 대한 진입장벽 역할을 할 수도 있고 평가 방식 자체에 대한 업계의 이견 다툼이 있을 수도 있지만 고급 평가인력 및 예산 투입, 통계적 접근, 입력 장비 및 인식 알고리듬에 대한 다양한 기준 마련 등을 통한 효과적이고 유연한 평가가 이루어질 수 있도록 해야 한다.

◇프라이버시 문제 등의 정책적 해결=개인의 생체정보를 공개하는 데 따른 프라이버시 침해 문제가 지적되고 있다. 생체인식 업체들은 제품 개발시 프라이버시 문제를 고려, 이를 보장할 수 있도록 고려한 제품을 출시하고 있다. 동시에 프라이버시를 보호하기 위한 각종 법률 및 규정이 뒷받침돼야 한다는 의견이 제시되고 있다.

 미국과 유럽에서는 공공 부문 및 민간분야에서의 적용사례와 통제기능, 생체인식 기술 작동원리 등을 이해함으로써 프라이버시 보호를 위한 각종 제도를 정비하고 있다. IBIA는 생체데이터의 오용, 개인 동의 및 법적 허가 없는 생체데이터 누출 금지 등을 규정하고 있다. 공공부분은 이와 같이 생체 데이터의 수집·저장·사용 등에 대한 법제도 마련과 관련 표준을 마련해야 한다.

 업계에서는 기본적으로 생체인식 제품상에 프라이버시 보호기능을 탑재하는 한편 이미지 복원을 위한 작업, 신분확인을 위한 생체 데이터 레코드 비교작업, 비인가자에 대한 생체데이터 수집·획득·도용 등을 엄격히 금지해야 한다. 이에 대한 엄격한 시행방침이 정해져야만 생체인식의 자연스러운 시장진입이 가능해질 것이라는 게 공통된 요구사항이다.

◇기타=생체인식 기술별 인식률 저하요인이 해결해야 할 기술적 문제로 지적되고 있다. 지문의 경우 성인남성의 5%가 사용할 수 없다는 통계가 있는 만큼 사용성에 문제를 안고 있고 얼굴인식의 경우 수염, 성형, 몸무게 등의 변화에 따른 인식률 저하가 지적된다.

 업계에는 값비싼 인식 모듈의 가격을 낮추는 것도 관건이다. 대중화가 제일 먼저 진행된 지문인식 모듈의 경우도 10만원을 호가하는 고가의 모듈을 일반 소비자가 구입할지 의문이다. 이에 따라 온라인거래시 지문인식 적용을 준비하고 있는 각 업체들은 모듈 무상 제공을 고려하고 있다. 또 하나의 문제는 방대한 생체인식 DB의 관리다. 수만명의 DB를 관리해본 경험을 가진 업체가 실제 많지 않아 온라인상 이용 등에는 안정화 문제 발생이 우려된다.

 이같은 문제 해결을 위해 정책적인 기술개발 지원이 마련됨과 동시에 업계의 공동 연구가 진행돼야 한다는 주장이 나오고 있다. 이밖에도 국한적인 사업범위에 의한 사업화 문제, 경제적 부담 및 심리적 부담 등 극복해야 할 문제를 가지고 있다. 관련 산업의 발전을 위한 업계와 정부의 현명하고 발빠른 대처가 요구되는 상황이다.

<김용석기자 yskim@etnews.co.kr>

브랜드 뉴스룸