토스가 개인정보보호위원회와 손잡고 안면인식 서비스 보안성을 검증했다. 생체인식 기술 보안에 대한 불신을 해소하고, 정보 주체성과 보안성을 확보해 혁신 서비스를 선보인다는 방침이다.
29일 업계에 따르면 토스는 안면인식 기반 서비스 출시를 위해 개보위 사전적정성 검토를 받았다. 사전적정성 검토는 신기술이나 신서비스를 개발할 때, 기존 법 해석이나 집행 선례에 해당 사안이 없어 적용하기 어려운 경우 기업과 개보위가 협력해 해결 방안을 찾는 제도다.
토스는 해당 제도를 통해 보안성을 검증받고 얼굴인식 기반 서비스를 출시했다. △얼굴인식 후 인천국제공항 탑승구 통과 '스마트패스' △공연장 입장 시 티켓, 신분증 대신 얼굴로 본인인증 하는 '얼굴입장' 등 서비스 준비 과정에서 사전적정성 검토제도를 활용했다. 토스는 개보위와 안면 식별정보, 고유식별정보 등을 개인정보보호법 상 안전하게 처리할 방안을 강구하고, 위원회 의결을 통해 행정처분에 준하는 신뢰성을 부여받았다.
구체적으로 얼굴정보는 딥러닝 모델을 활용해 암호화된 방식으로 저장하고, 별도 관리하는 최고수준 보안 솔루션을 적용했다. 토스는 ISO 27701 및 CBPR 등 글로벌 보안 인증을 취득, 해당 보안 관리 체계 아래 글로벌 거버넌스를 준수해 얼굴입장 등 서비스를 개발했다는 설명이다. 해당 인증은 기업의 개인정보 보호 체계를 평가하고 인증하는 글로벌 인증제도로, CBPR 획득은 국내 핀테크 업계에서 토스가 최초다.
정보 주체성은 고객에게 부여했다. 안면인식 기반 서비스 이용 고객은 언제든 직접 토스 앱에서 개인정보 이용 동의를 철회할 수 있다. 인터파크트리플, 하이브와 협력해 출시 예정인 공연장 얼굴입장 서비스도 강제성을 두지 않고 이용 등록을 한 고객에 한해서만 별도 게이트로 입장하는 방식이다. 토스에 이미 얼굴정보를 등록했더라도, 얼굴입장 이용 시에는 제휴처에서 별도 개인정보 제공 동의를 해야 한다. 얼굴등록부터 인증까지 모든 절차는 토스에서만 관리해 얼굴 정보 원본은 제휴처에 제공되지 않는다.
탈취 등 부정 사용에 대한 장치도 마련했다. 타인이 얼굴 정보를 도용하기 위해 서비스를 해지하고 재가입하는 경우에 대한 대비책이다. 최대 1년까지 얼굴 정보를 분리 보관하는 규정을 두고 이를 역추적할 수 있는 근거로 사용하는 등으로 사후 관리 방안도 운영한다.
토스는 앞으로도 보안성과 주체성을 중심축으로 두고 관련 서비스를 확장한다는 방침이다.
토스 관계자는 “토스는 보안 분야에 있어 타협 없이 엄격한 기준을 가지고 국내 최고 수준 투자와 연구를 이어가고 있으며, 안면인식 기반 서비스에도 이를 똑같이 적용한다”며 “고객 신뢰를 최우선으로 안전성과 편의성을 동시에 제공하는 혁신적인 서비스를 선보이겠다”고 말했다.
정다은 기자 dandan@etnews.com
