개인의 자유를 위협하는 생체인증 데이터

국가비상사태가 한창이던 2016년 10월 28일(15년 11월 파리 테러와 16년 7월 니스 테러로 프랑스는 국가비상사태 기간을 연장했다-편집자 주), 간단한 법령을 통해 만들어진 신원확인 전자보안문서(TES) 데이터베이스는, 과거 개인의 자유라는 이름으로 수도 없이 거부됐던 전 국민의 생체 데이터 정보화라는 프로젝트(1)로 구체화됐다. 이 거대 파일은 전자여권 신청 문서(2017년 1월 기준 2,900만) 그리고 국가 신분증 관리 파일(2004년 이후 5,900개의 신분증 발급) 등 기존 두 가지 행정 디렉터리를 결합해 완성된다. 성명, 생년월일, 출생지, 성별, 혈통, 눈동자 색, 키, 주소뿐만 아니라 디지털화된 얼굴 이미지, 지문 그리고 각 개인의 서명이 모여 20년 동안(미성년자의 경우 15년) 보관된다. 국립정보과학자유위원회(CNIL)의 이자벨 팔크피에로탱 위원장은 2016년 11월 17일 상원 청문회에서 “이런 완벽성은 생체인증 데이터의 민감성과 마찬가지로 합목적성 남용의 위험을 드러낸다”라고 표명했다.

사실, 생체인증은 진위확인과 신원확인이라는 두 가지 서로 다른 합목적성에 이용된다. 진위확인은 어떤 사람이 실제로 자기 자신이라고 주장하는 그 사람이 맞는지 밝히는 것을 목표로 한다. 이를 위해 그 사람의 생체정보와, 신분증 신청 당시 사전 수집된 정보들을 비교한다. 만약 정보가 일치하지 않는다면, 그 개인은 또 다른 신원을 가지고 있는 것인데 어떤 신원인지는 알 수 없다. 

신원확인의 경우는 범죄현장이나, 예를 들어 기억 상실증에 걸린 사람에게서 수집된 생체흔적과 연결된 신원을 알아내는 것이 목표다. 전언한 흔적을 데이터베이스에 포함된 생체 데이터 전체와 비교하고, 일치하는 정보가 나올 경우, 그 사람의 신원이 밝혀진다. 진위확인을 목적으로 만들어진 행정파일이 신원확인을 위한 경찰의 데이터베이스로 이용될 위험성 때문에, 20년간 수집되고 저장될 생체파일 시스템화 계획은 거부될 수 있다. 2012년 헌법위원회가 과거에 신분증 국가관리파일(Fichier National de Gestion) 현대화 계획을 금지했던 경우가 그런 예다.(2) 지문을 이용한 누군가의 신원확인이 TES파일에서는 불가능하다고 해도, 그런 기능은 언제든 어려움 없이 개발될 수 있을 것이다. 

공공 안보를 위한 정보 접근이 최우선시되면, 중앙 통제적이고 엄격한 신원확인의 위험성은 잊히고, 개개인의 자율성이 보다 존중될 다른 해결책들도 배제된다. 문제의 핵심을 파악하기 위해서는 역사를 되짚어 볼 필요가 있다. 신원확인은 오랫동안 구전과 얼굴을 마주한 개인 간의 상호관계를 토대로 이뤄졌다. 1560년 툴루즈에서 일어났던 신분도용 피해자 마르탱 게르 사건(프랑스에서 실종됐던 마르탱 게르를 사칭하던 한 남성이 3년이나 가장 노릇을 하다 적발돼 교수형을 당한 사건)에서는 300명의 사람들이 심문을 받았고 그중 280명이, 사칭을 하던 사람은 실제 마르탱 게르가 아니라고 대답했다.  

국민들의 이동성이 증가하고, 국가권력이 공고해짐에 따라, 19세기에는 부계의 성이 기록된 종이 신분증이 나타났다. 20세기말 이후에는 정보과학에 힘입어, 몇몇 신체적 특징(키, 눈동자 색 등)으로 한 개인을 식별하는 생체인증, 그리고 번호 부여라는 신원확인의 두 가지 주요한 방법이 생겨났다. 

번호를 부여해 신원을 확인하는 방법이 강요된 곳은 바로 감옥이나 군대처럼 복종을 기반으로 세워진 기관들이다. 나치 수용소가 가장 극단적인 예라고 할 수 있는데, 팔에 문신으로 새긴 번호는 완전한 비인격화를 만들어냈다. 국가는 국민들의 신원을 증명하기 위해 부계 성과 함께 국민들에게 번호를 매겼다. 프랑스 국가신원번호의 탄생은 1940~1941년으로 거슬러 올라간다. 이는 점령자(나치와 비시 괴뢰정권)들의 애국적 명분과 군사적 목적에 부응하는 것이었다. 이어 복지 국가와 사회 복지 제도에서 사용된 국가 신원 번호는 곧 전산처리에 있어 필수적인 요소로 자리 잡았다.

1970년대 초반, 국립 통계경제연구소(INSEE)에서 제안한 신원 번호 디렉터리 정보화 계획은 논쟁을 불러일으켰다. 모든 파일에 포함된 이 고유한 번호로부터, 한 개인과 관련된 다양한 정보화 파일들을 도출해낼 수 있다는 것이 문제였다. 이런 갈등은 자문위원회 구성 그리고 1978년 CNIL을 탄생시킨 법안 투표를 이끌어냈다. 파일 관리자들에 대한 새로운 의무사항과 파일로 정보가 저장되는 개인들에 대한 새로운 권리 사항이 주요 내용이었다. 

번호 부여와 마찬가지로 생체인증의 역사에서도 국가와 국민이 주요한 두 당사자다. 19세기의 마지막 30여 년간, 사법적 신원확인은 신체 측정 및 지문 채취 등의 식별 기술을 시험하는 실험실 역할을 했다. 1912년, 유목민들을 위한 인체측정 기록지의 탄생은 중요한 사건으로 남았다. 그 전까지는 죄수나 범죄자들에게만 해당됐던 신원확인문서를 가족 전체에 부여한 것이다.(3) 식민지 행정부들도 원주민 사회에 이를 강요했다. 신분증이라는 수단을 통해 행정적 신원확인이 확대되고, 곧 ‘정직한 사람들’에게까지도 적용됐다. 1917년에는 우선 외국인들, 그다음 1921년에는 센 지방의 주민들로 확대됐다. 1940년 5~6월 프랑스가 나치 독일과의 전쟁에서 패배한 이후 등장한 비시 정권은 이 패배를 이용해 의무적인 신분증을 만들었다(나치의 프랑스 점령 당시 비시 정권은 유대인과 외국인을 가려내려 했다-편집자 주). 이 신분증은 종전과 함께 사라졌다가 1955년, ‘알제리 전쟁’ 초반에 복구돼 간헐적으로 계속 됐고, 지역 단위로 종이 파일로만 관리됐다. 1969년에는 국민 중 75%가 이를 소지하고 있었다.

최초의 신분증 정보화 계획은 1980년에 시작됐다. 이듬해, 새로운 사회주의 정부(미테랑 정권)에 의해 가로막혔던 이 계획은, 중앙화된 ‘보안국가 신분증’이라는 제안과 함께, 그리고 경찰과 헌병대(프랑스에서는 헌병대가 국내 치안 유지도 담당함-역주)가 국내 모든 곳에서 실시간으로 열람할 수 있는 국가관리파일(FNG)의 설치와 함께 1986년 다시 시작된다. 여러 차례 거부 됐던 국민 생체인증 데이터 정보화 계획은 2001년 9월 11일 이후 공공안보라는 배경에서 다시금 논의 주제로 떠올랐다. 한편에서는 미국이, 자국 영토 내 입국을 위해 기계 판독이 가능한 생체인증 보안 여권을 강제했다. 다른 한편에서는 프랑스 정부가 연이어 정보통신 기술을 감시기술로 변환하는 법들을 확대했다. 경찰의 파일 수는 2006년 35건에서 2015년 80건으로 늘어났다. 또한, 사법 수사를 목적으로 생겨난 ‘범법행위 처리 시스템’이라는 거대 파일은, 2001년 행정 신원조사, 2003년 프랑스 국적 신청 심사 그리고 2005년 공직 지원자 조사에 차츰 이용되기 시작했다. 1998년, 성범죄 재범자들을 대상으로 만들어진 국가 유전자 정보 파일(FNAEG)도 마찬가지로 2003년에는 그 대상이 일반적인 범법 행위자들로 확대됐고, 2016년 ‘정직한 사람들의 유전자 정보 파일’로 변모했다.(4)

입법부는 역사를 잊었다. 2차 세계대전 동안, 수만 명이 위조 서류로 신원을 바꾼 덕분에 나치에서 벗어날 수 있었다.(5) 1930년대 일부 정부 인사들이 현 지도자들의 사고방식을 갖고 있었다면 그 결과는 어떠했을까? 1975년에 발표된 공식 보고서에는 한 고위 공무원이 털어 놓은 일화가 담겨 있다. “1938년, 16세 또는 18세 이상의 프랑스인들에 대한 의무 신분증 발급이라는 터무니없는 계획을 한 적이 있다. 당시 내무부 장관이었던 장 베르투앙의 서명을 받기 위해 법령을 제출했지만, 장관의 비서실장이 이를 거부했다. 만약 당시 장관이 자신의 조력자들에게 설득 당했었다면, 레지스탕스의 2년 후는 어떻게 됐을까, 독일인들은 파리에 들어오자마자 서두를 필요 없이 프랑스 국민들의 신분증 중앙 파일을 훔치기만 하면 되지 않았을까?” 

이런 맥락에서 최근 정보과학 분야에서 제기한 두 가지 접근 방식은 상당히 흥미로운 관점을 제시한다. 첫 번째는 ‘개인정보보호 중심 설계(Privacy by design)’로, 정보 시스템 기획 단계에서부터 개인정보 보호와 이용자의 권리를 보장해야한다는 개념이다(사후 대응이 아닌 사전 대비 및 예방에 중점을 둔다-역주). 이 시스템에서는 엄격하게 계획된 정보처리과정에서 필요한 데이터들만 저장한다. 예를 들어, 대중교통 기업들은 승객들의 사진이 정액 승차권에 한 차례 인쇄되고 나면 굳이 더 이상 그 사진들을 저장하지 않는다. 이처럼 모든 정보를 데이터베이스화하기보다는 최소한의 필요한 정보만 제공받아 데이터 활용 기술을 긍정적으로 사용해 해당 데이터들에 대한 접근가능성을 높이는 것이다.  

두 번째 접근방식은 ‘기본 설정에 따른 개인정보보호(Privacy by default)’이다. 정보 침해 가능성을 최소화하도록 공개범주와 항목들을 처음부터 지정해두는 것을 전제로 한다(서비스 제공에 필요한 최소한의 개인정보만 공개되도록 설정하는 개념). 그래서 사용자가 자신이 제공받길 원하는 서비스에 따라 스스로 이런 보호 항목들의 일부를 해제하는 것이다. 유럽의 모든 데이터 보호당국은 북아메리카에서 만들어진 이 두 가지 접근법(6)을 권장한다. 개인정보 보호에 대한 유럽연합의 향후 규정에서는 해당 정보 처리 책임자들로 하여금 설령 정부와 기업들의 이익에 반하는 경우라 하더라도, 이 접근법을 이용하도록 강제하고 있다. 

독재정권들의 ‘컴퓨터를 이용한 약탈’ 권한을 제한하기 위해 개인 고유의 신원 정보는 당국의 중앙통제 방식으로는 접근할 수 없는 상태로 남아있어야 한다. 사용자 스스로가 생체인증 정보를 보관한다는 원칙이 규정으로 자리 잡아 데이터가 거대 데이터베이스에 일괄적으로 저장되는 것을 막아야 한다. 전자 여권의 경우가 이미 그런데, 개인들의 생체인증 데이터는 문서에 삽입된 칩에 넣어지고, 이 데이터들은 정부만이 보유하고 있는 암호로 “서명돼” 있다. 하지만, 이런 정보들은 대개 TES의 중앙 데이터베이스에도 복제돼 있으므로 그곳에서 이 정보들을 삭제하는 것이 중요하다. 그 누구도 이런 중복 파일을 만들어내지 못하도록 하기 위해서는 그 어떤 공공기관에서도 개인 사진 등 진위확인용 생체인증 데이터를 기관 정보 시스템 내에 보관해서는 안 된다. 

좀 더 일반적인 방식으로, 공개 ‘키’ 암호 방식(7) 같은 견고한 암호와 간단한 사용법을 가진 기술 개발을 통해 개인 신원 보호 수단에 대한 심도 있는 고찰이 가능해야 한다. 신분증 발급 당국으로서 국가의 현재 역할은, 발급 신청자들의 신원을 확인하는 일이다. 이를 위해  A라는 사람과 가까운 지인들이 A의 문서에 암호화된 “서명을 하면서” 그 신원을 입증하는 좀 더 분산된 다른 시스템들을 고려해 볼 수 있다. 이미 암호코드 사용자들이 지인의 ‘키’에 서명하기 위해 그리고 제 3자에 대한 자신의 신뢰도를 높이는 데에 이런 메커니즘을 이용하고 있다. 이런 방식은 사실, 한 사회 구성원들이 공유하고 있는 ‘이웃의 신원 확인’이라는 과거 방식으로 돌아가는 것이라고 할 수 있다. 이는 사용이 민감한 생체인증 정보사용을 피할 수 있게 해줄 것이다. 한편, 이런 방법은 많은 사람들이 신분증 소지자의 보증인으로서 그와 함께 직접 나타나야 하는 등, 위조 서류 작성을 훨씬 더 어렵게 할 것이다. 

디지털 기술의 범람은 자유와 보안 사이의 균형을 다시 생각하는 계기가 돼야 한다. 역사가 증명했듯이, 어떤 행위를 금지한 정권이 미래에는 그 행위를 허가하는 정권으로 바뀔 수 있는 만큼 사법적인 방책은 허술한 것임이 드러났다. 그러므로 디지털 수단이 존재하지 않았던 시대에 만들어진 행정 절차 전부를 심도 있게 살펴봐야 할 것이다. 지속해서 증대하는 처리 능력과 데이터의 대량 수집은 개인에 대한 통제를 심화한다. 그러므로 신원 관리의 새로운 시스템이 필요하다. 이미 이전에 우리 사회가 경험한 데이터 관리정책을 둘러싼 역사적 검증도 필요할 것이다.  

글·프랑수아 펠레그르니 François Pellegreni

보르도 대학교 정보과학 교수

앙드레 비탈리 André Vitalis 

보르도 몽테뉴 대학교 정보통신과학 명예교수

번역·김자연 jayoni.k@gmail.com

한국외국어대 통번역대학원 졸업 

(1) 해당 본문은 국립 전산 및 자동화 연구소에서 2017년 3월 발표한 <Identités biométrisées et contrôle social(생체화된 신원 그리고 사회적 통제)> 연구 보고서를 요약한 것이다. https://hal.inria.fr/hal-01492431

(2) 헌법위원회, 결정 N.2012-652-DC, Paris, 2012.3.22.

(3) Armand Mattelart 그리고 André Vitalis, 『Le Profilage des populations. Du livret ouvrier au cybercontrôle(국민 프로파일링. 노동자 수첩에서 사이버 감시까지』, La Découverte, coll. <Cahiers libres>, Paris, 2014.

(4) Ousmane Gueye 그리고 François Pellegrini, ‘Vers une remise en cause de la légalité du FNAEG?(FNAEG의 적법성 재검토를 향해?)’, ‘Convergences du droit et du numérique(법과 디지털의 일치)’ 보고서, Bordeaux, 2017, https://hal.inria.fr

(5) Françoise Gallouedec-Genuys 그리고 Philippe Lemoine, 『Les Enjeux culturels de l’informatisation(정보화의 문화적 문제)』, La Documentation française, Paris, 1980.

(6) Ann Cavoukian, ‘Privacy by design: The 7 foundational principles’, Information and Privacy Commissionner, Ontario, 2011, www.ipc.on.ca

(7) 이 시스템들은 수학적으로 짝지어진 두 가지 다른 키를 이용한다. 비밀 키 하나는 숨겨져 있고, 공개 키 하나는 누구나 알 수 있다. 한 키에 의해 암호화된 것은 다른 키에 의해서만 해독될 수 있다. 이런 방식으로, 한 사람이 자신의 비밀 키를 가지고, 상대방들이 공개키를 이용해 암호화해 보낸 것을 읽을 수 있고(기밀 유지 특성), 자신의 비밀 키를 통해 암호화된 것만이 자신의 공개키를 통해서 읽힐 수 있다(진위확인 특성, 또는 암호화 ‘서명).