안전하기 때문에 위험한 아이폰X의 ‘안면인식’

지역

안전하기 때문에 위험한 아이폰X의 ‘안면인식’

익명 (미확인) 님 | 월, 2017/09/18- 14:24

안전하기 때문에 위험한 아이폰X의 ‘안면인식’

글 | 박경신(오픈넷 이사, 고려대 법학전문대학원 교수)

1.

우리는 일상적으로 안면인식을 한다. 사람의 얼굴을 보고 그 사람을 식별하는 행위는 지극히 자연스러운 행위일 뿐이 아니라 인류 진화의 한 단계였다. 우리가 자외선이 나 초미세먼지를 두려워하면서도 옷으로 몸은 가려도 얼굴은 내놓고 다니는 것은 다 이유가 있다. 신분증에 사진을 붙이고 신분증을 통해 신원확인하는 것도 다 안면인식을 용이하게 하기 위한 것이다. 공공장소의 CCTV를 통해 범죄나 비리를 예방하거나 조사하는 것 역시 기초적인 수준의 안면인식을 필요로 한다.

2.

그러나 아이폰X를 통해 만든 안면인식정보 즉 한 사람이 몇 분 정도 시간을 들여 특수한 기계를 통해서 자신의 신체로부터 자발적으로 추출한 정보는 다르다. 이 정보는 내가 공공장소에 나갔을 때 CCTV에 찍혀서 생성되는 정보 즉 암묵적으로 타인이 취득할 것에 동의한 정보와는 완전히 다른데 정확도와 같은 양적 차이뿐 아니라 자신이 동의한 절차를 통해서만 생성될 수 있다는 차원에서 법적으로 다르다. 패스워드, DNA, 지문처럼 프라이버시로 완벽히 보호되어야 한다.

3.

단 지문인식기능과 특별히 다른 것처럼 호들갑을 떨 이유도 없다. 두 가지 다 신체의 일부를 본인확인 용도로 이용한다는 면에서 다를 바가 없다. 다르다면, 안면인식기능은 데이터포인트가 3차원적이고 훨씬 많기 때문에 지문인식기능보다 수십배 안전하다. (긴 패스워드가 짧은 패스워드보다 안전한 것도 한 자 더할 때마다 경우의 수가 수십 개씩 늘어나는 원리와 마찬가지이다.) 지문은 2차원적이라서 이용자가 책상이나 유리에 남긴 지문을 제3자가 채취해서 이용자의 아이폰을 몰래 열어볼 수 있지만 얼굴은 이것이 불가능하다. ‘Mission Impossible’ 영화에 나오는 것처럼 마스크를 만드는 경우도 생각해볼 수 있지만 아이폰은 반사광을 분석하여 인체피부와 같은 재질이 아닌 경우도 밝혀낸다고 한다.

4.

하지만 이렇게 안전하기 때문에 유출되었을 때의 위험은 더 크다. 해당 정보만 가지고 있으면 신원위조를 완벽하게 해낼 수 있기 때문이다. 그래서 더 주의할 필요가 있는데 첫째 현재는 디바이스에만 저장이 되는데 절대로 서버에 저장되지 않도록 해야 한다. 아이폰 1대를 해킹하면 1명의 안면인식정보만 취하겠지만, 서버에 저장하다 보면 여러 사람의 정보가 한꺼번에 유출될 수 있다. 해커가 하나의 서버만 공격해도 수많은 사람의 안면인식정보를 취할 수 있게 된다. 물론 우리는 패스워드도 서버에 저장하는 문화에 익숙해져 있지만 (그리고 패스워드는 서버에 저장될 수밖에 없지만) 패스워드는 유출되면 바꿀 수 있는 반면 안면인식정보는 성형을 하지 않는 한 바꿀 수 없는 영구적으로 고유한 식별자이기 때문에 유출되었을 때의 위험이 다르다.

5.

둘째 “신뢰성의 패러독스”에 빠지지 않도록 조심해야 한다. 즉 주민등록번호도 1960년대에 처음 나오자마자 국가에서 통제하는 것이니 안전하다는 이유로 각종 기업이나 기관에서 본인확인용으로 이용을 했고 결과적으로 매우 위험한 본인확인수단이 되어 버렸다. 예를 들어, 아이폰X의 안면인식정보를 금융기관이나 다른 기업도 직접 이용하는 일 등은 절대로 벌어져서는 안된다. (물론 위의 “디바이스 저장 원칙”만 지켜진다면 이 위험은 없다) 이용하고 싶다면 지금처럼 디바이스를 자신의 서비스에 등록시켜 그 디바이스에서 결제를 하려면 반드시 애플의 안면인식절차를 거치도록 하면 된다. 즉 애플 안면인식정보는 안면 소유자의 디바이스에만 저장되어야 할 뿐 아니라 디바이스를 언락하는 하나의 기능만을 수행해야지 “기능확대(function creep)”가 이루어져서는 안 된다. 주민등록번호와 마찬가지다.

6.

노파심에 한마디. 우리가 기억해야 할 것은 타인의 안면이나 지문을 강제로 들이밀어 아이폰을 언락하는 것은 신체의 자유 침해이자 프라이버시 침해라는 것이다. 그러므로 수사기관이 국민의 아이폰을 언락하고 싶다면 이용자에 대해서 압수수색영장을 반드시 받아야 한다.(체포영장으로는 불충분하다. 압수수색영장은 특정 정보를 채취하기 위해 다양한 수단을 이용할 수 있게 하므로 이것이 필요하다. 이게 왜 중요하냐면 긴급체포 즉 영장 없는 체포는 간혹 허용되지만 ‘긴급압수수색’이라는 것은 없기 때문이다.)

* 이 글은 필자의 페이스북에 실린 글입니다.

* 이 글은 허프포스트코리아에 기고했습니다. (2017.09.18.)

시민들의 의견

댓글 달기

이름

Comment

텍스트 형식 정보

텍스트 형식

Plain text

웹 페이지 주소 및 이메일 주소는 자동으로 링크로 전환됩니다.
줄과 단락은 자동으로 분리됩니다.
사용할 수 있는 HTML 태그: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd>

CAPTCHA

스펨 사용자 차단 질문

[토론문] ‘사이버 명예훼손 제도 개선’ 토론회 – 사실적시 명예훼손죄의 제도 개선 방향 (2018.12.11.)

* 토론문(PDF): 사실적시 명예훼손죄의 제도 개선 방향_오픈넷 손지원

2018년 12월 11일, 국회의원회관 제6간담회장에서 ‘사이버 명예훼손 제도 개선’을 주제로 한 토론회가 열렸습니다. 방송통신위원회, 국회 이철희 의원실, 한국법제연구원, 한국형사정책연구원이 공동개최한 이 토론회에서는 정보통신망법상 명예훼손, 그 중 ‘사실적시 명예훼손죄’에 대한 개정, 폐지 논의가 주로 이루어졌습니다.

오픈넷 손지원 변호사는 사실적시 명예훼손죄의 가장 큰 문제점은 사회 부조리를 드러내고자 하는 각종 내부고발을 크게 위축시킬 수 있다는 점임을 지적하고 개선안을 제시했습니다.

진실한 사실을 말한 경우에도 명예훼손이 성립할 수 있는 현재 법제 하에서는 폭로자를 보호할 수 없으며, 사회적 고발은 움츠러들 수밖에 없습니다. 손지원 변호사는 사실적시 명예훼손죄의 문제점을 여러 판례를 들어 설명하고, 특히 성폭력 고발인 미투운동과 관련하여 성폭력 가해자가 폭로자를 명예훼손으로 고소하여 2차 가해를 더욱 손쉽게 해주는 요인으로 작용하고 있음을 꼬집었습니다.

현재 정보통신망법상 사실적시 명예훼손죄 조항에서 형법 조항과 같이 ‘공익성’을 요건으로 하는 위법성 조각사유를 추가하는 개정은 지나치게 소극적인 개정이며, 근본적으로는 사실적시 명예훼손죄를 전면 폐지하는 것이 바람직하다고 보았습니다.

다만 과거 성이력과 같은 타인의 프라이버시 보호를 위해, 비방의 목적만 있는 악의적인 사생활 유포 행위를 막는 방안으로서 ‘오로지 사람을 비방할 목적으로 공연히 개인의 내밀한 사적 정보를 드러내어 다른 사람의 사생활의 비밀을 침해한 자’로 구성요건을 축소하는 안을 제시했습니다.

세미나자료, 오픈블로그, 표현의 자유, 내부고발, 명예훼손죄, 미투, 사실적시명예훼손, 사이버명예훼손, 알권리, 토론회, 표현의자유

화, 2018/12/18- 17:33

개인정보 감독기구 통합 없는 무분별한 규제완화 반대 기자회견

개인정보 감독기구 통합 없는 무분별한 규제완화 반대 기자회견 개최

– 부처 이기주의로 개인정보 감독기구 일원화는 지지부진

– 기업의 이익을 위한 개인정보 제3자 제공은 개인정보 매매 합법화

– 무분별한 개인정보 규제완화는 박근혜 정부의 과오를 되풀이!

1. 오는 8월 23일(목), 문재인 대통령이 현장 방문을 통해 개인정보 규제개혁 방안을 발표한다고 합니다. 그동안 논란이 되어 왔던, 빅데이터 산업 활성화를 위한 개인정보활용 및 결합에 대한 정부의 입장이 발표될 것으로 예상됩니다. 우리는 혼란스러운 개인정보 보호법제의 개선과 감독기구의 일원화는 지지부진한 상황에서, 개인정보의 무분별한 활용에만 앞장서는 현 정부의 태도에 실망을 금할 수 없습니다. 현재 정부의 태도는 법적 근거도 없이 <개인정보 비식별조치 가이드라인>을 강행하던 이전 박근혜 정부와 다를 바가 없습니다.

2. 여당인 더불어민주당 역시 마찬가지입니다. 더불어민주당은 혁신 경제라는 미명하에 공공적 규제를 묻지마 면제해주는 소위 규제 샌드박스 5법을 발의한 바 있습니다. 나아가 박근혜 정부의 적폐로 스스로도 비판했던 규제프리존특별법도 8월 임시국회에서 합의 처리하겠다고 합니다.

3. 정의당과 시민사회는 개인정보를 절대 활용할 수 없다고 주장하는 것이 아닙니다. 개인정보를 안전하게 보호할 수 있는 법제도적 환경을 갖추고, 개인정보 보호원칙에 따라 활용해야 한다는 것입니다. 정보주체의 동의를 받거나 개인을 식별할 수 없도록 익명처리를 한다면 현행 개인정보 보호법제 하에서도 얼마든지 활용할 수 있습니다. 사회적인 가치가 큰 학술 연구나 통계 작성 목적으로는, 적절한 안전조치를 갖추고 가명처리된 개인정보를 활용할 수 있을 것입니다. 물론 개인정보 활용에 대한 동의를 실질화시키고 어떻게 활용되는지 감시하고 통제할 수 있는 제도적 장치도 마련되어야 합니다. 그러나 단지 빅데이터 산업을 활성화한다는 명분으로, 가명처리된 개인정보를
정보주체의 동의도 없이 제3자에게 제공하거나 영리 목적으로 활용하는 것에 동의할
수는 없습니다.

4. 정부와 여당이 진정으로 개인정보 보호에 대한 의지가 있다면, 개인정보를 안전하게 활용할 수 있도록 하겠다면, 우선 분산되고 체계가 없는 개인정보 보호법제부터 정비해야 합니다. 수범자의 혼란과 중복규제를 야기하고 있기 때문입니다. 행정안전부, 방통위, 금융위 등으로 분산된 개인정보의 감독기능도 개인정보보호위원회로 일원화해야 합니다. 효과적인 감독은 개인정보 보호의 핵심이기 때문입니다. 그러나 각 정부부처의 부처 이기주의로 인해 개인정보 보호법제의 개선과 감독기구 일원화는 교착 상태에 빠져 있습니다.

5. 정의당 추혜선 국회의원과 경실련, 서울 YMCA, 소비자시민모임, 진보네트워크센터, 참여연대 공익법센터, 한국소비자연맹, 함께하는시민행동 등 시민사회단체들은 정부 여당의 무분별한 개인정보 규제완화를 규탄하고, 개인정보의 보호와 안전한 활용을 위한 대안을 제시하는 기자회견을 다음과 같이 개최하였습니다.

● 제목 : 개인정보 감독기구 통합 없는 무분별한 규제완화 반대 기자회견
● 일시와 장소 : 2018년 8월 22일(수) 13:40, 국회 정론관
● 주최 : 국회의원 추혜선(정의당), 경실련, 서울 YMCA, 소비자시민모임,
진보네트워크센터, 참여연대 공익법센터, 한국소비자연맹, 함께하는시민행동
● 참가자 및 발언
○ 모두 발언 : 추혜선 (정의당 국회의원)
○ 발언 1 : 오병일 (진보네트워크센터 활동가)
○ 발언 2 : 한석현 (서울YMCA 팀장)
○ 기자회견문 낭독 : 윤명 (소비자시민모임 사무총장)

보도자료, 소비자, 개인정보

수, 2018/08/22- 16:37

인터넷의 선물을 걷어차버리나

서버 현지화와 클라우드 이용을 제한하자는 주장은 힘없는 개인들의 정보력·홍보력 확장을 억제하고, 감시와 검열을 피할 수 있는 길을 막자는 것이다.

글 | 박경신 (고려대 법학전문대학원 교수/오픈넷 이사)

국민이 애용하는 해외 인터넷 서비스의 서버를 국내에 두도록 해야 한다는 주장이 논의된다. 심지어 클라우드처럼 정보의 국외 이전을 필연적으로 동반하는 기술의 경우, 금융권에서는 아예 기술 전개 자체를 제한하자는 주장도 등장한다. 이유는 명시적인 것과 암묵적인 것 여러 가지가 있다.

첫째는 해외 인터넷 업체가 국내에 서버를 두지 않으니 개인정보를 침해하거나 불법 표현물을 방치해도 규제하기 어렵다는 것이다. 둘째는 ‘국내에서 돈을 벌어가는 해외 기업에 세금을 부과’하려면 국내·국제 세법에 따라 이들의 ‘사업장’인 서버를 국내에 두도록 해야 한다는 것이다. 셋째는 현재 망 사업자들이 카카오나 네이버에서 엄청난 회선료를 받아가듯 해외 업체한테도 회선료를 ‘망 이용 대가’로 받을 수 있게 된다는 것이다.

중국·러시아 수준의 ‘밀착 규제’ 원하는가

하나씩 얘기해보자. 첫째, 해외 업체에 대한 규제 권한부터 살펴보면, 필자는 강력한 개인정보보호법이 필요하다고 생각한다. 과거에 진행한 공익 소송 대다수가 개인정보보호권에 근거했다. 그러나 정보의 국외 이전 자체를 금지하거나 기술의 전개 자체를 제한하는 방식은 인권을 침해하는 일이다. 개인정보 보호의 ‘골드 스탠더드’가 되는 유럽연합의 GDPR(General Data Protection Regulation)도 역외 이전 자체를 금지하지 않는다. 정보 보관지의 개인정보보호법제가 적정한지 평가하여 적정성 판단을 받은 국가에 대해서는 정보를 자유롭게 이전하도록 한다. 서버를 국내에만 둬야 한다는 주장과는 큰 거리가 있다.

더욱 중요한 것은 해외 기업에 대한 막강한 규제권을 이미 한국 정부가 가지고 있다는 점이다. 바로 방송통신심의위원회를 통한 차단 권한이다. 이미 수많은 해외 서버가 불법 정보를 국내에 유입한다거나 개인정보를 침해한다는 이유로 차단되었다. 이는 다른 산업을 생각해보면 당연한 이야기다. 예를 들어 중국의 김치 업체가 위생에 문제가 있다고 해도 김치 공장을 국내에 둘 것을 의무화하는가? 그 중국 업체의 김치가 국내에 들어오지 않도록 하면 그만 아닌가? 그 이상의 밀착된 규제를 하고자 하는 러시아나 중국은 서버의 국내 설치를 의무화한다. 우리가 이들 나라를 따라갈 것인가?

구글·페이스북·아마존 같은 초거대 기업들에게 시원하게 돈 좀 받아보자는 것을 말릴 생각은 전혀 없다. 하지만 서버를 국내에 두도록 하는 방식은 인터넷이 인류에게 준 선물, 즉 힘없는 개인들도 막강한 정부와 기업에 맞서 서로 정보를 모으고 나눌 수 있는 정보력과 홍보력, 그리고 감시와 검열을 피해 유통 경로를 정할 수 있는 특권을 걷어차버리는 것이다.

둘째, 해외 기업의 국내 소득 과세 문제를 따져보자. 기업은 전 세계에 재화와 용역을 수출한다. 그런 의미에서 모든 수출 기업은 외국에서 소득을 올린다. 그렇다고 해서 현지 정부에 소득세를 내지는 않는다. 소득세는 소득을 올리기 위한 행위가 어디에서 벌어지는가를 기준으로 과세한다. 이는 국제 세법의 상식이고 이중과세를 방지한다. 구글·페이스북의 국내 소득에 대해 과세하려면 현대, 기아 자동차의 미국 내 소득 과세는 어떻게 할 것인가? 경제협력개발기구(OECD)에서 논의되는 ‘구글세’는 소득에 부과하는 것이 아니라 부가가치세다. 국경이 없는 인터넷의 성격을 전제로 하고 새로운 국제 세법을 만들려는 OECD의 논의가 마무리돼간다. 그 와중에 한국 혼자 소득세를 부과하겠다고 서버 위치를 붙들고 늘어졌을 때의 결과는 뻔하다. 닭 쫓던 개 지붕 쳐다보는 격이 될 것이다.

셋째, ‘망 이용 대가’ 문제다. 망 사업자가 인터넷 접속을 제공하지도 않는 해외 업체에 전화 회사처럼 정보 배달료를 받겠다는 욕심이다. 이는 인터넷의 구동 방식에 완전히 반한다. 해외에는 ‘망 이용 대가’라는 말 자체가 없다. 오직 자신과 직접 접속하는 망 사업자와 받는 접속료가 있을 뿐이다. 세계적으로 유례 없이 유선 85%, 무선 100%를 과점하는 대기업 3사는, 세계적으로 유례 없이 높은 접속료를 국내 인터넷 기업들에게 받는다. 혹시 ‘망 이용 대가론’을 근거로 이렇게 받는다면 접속료부터 낮출 일이다.

* 위 글은 시사IN에 기고한 글입니다. (2018.12.14.)

망중립성, 오픈블로그, GDPR, 감시, 개인정보보호, 검열, 망상호접속, 망이용대가, 서버현지화, 클라우드

월, 2018/12/17- 10:38

국가의 영장없는 개인정보 요청에 대한 국가배상 청구 소송

오픈넷은 영장 없이 이동통신사들에 시민들의 신상정보를 요청하여 수집한 국가정보원, 서울지방경찰청, 인천지방경찰청 등 수사기관을 상대로 2016. 6. 1. 국가배상 청구 소송을 제기했고 이에 대한 1심 패소 판결을 2018. 12. 13.에 받았습니다(2016가소5944347).

소장(공유용)

청구원인 요약: 통신자료 제공은 수사기관 등이 이용자의 통신자료, 즉 개인정보를 법원의 영장 없이도 취득할 수 있게 하는 제도로서 원칙적으로 정보주체의 개인정보자기결정권을 침해합니다. 또한 달리 정보주체에게 사전 또는 사후 통지하는 제도를 두고 있지 않아, 정보주체로서는 자신의 개인정보가 수사기관에 제공되었는지 여부를 확인 신청하지 않는 한 전혀 알 수 없으며, 제공된 정보에 오류가 있다고 하더라도 시정을 요구할 수 있는 방법이 없습니다. 대법원은 최근 통신자료 제공에 대하여 “전기통신사업자가 수사기관의 통신자료 제공 요청에 따라 통신자료를 제공함에 있어서, 수사기관이 그 제공 요청권한을 남용하는 경우에는 이용자의 인적사항에 관한 정보가 수사기관에 제공됨으로 인하여 해당 이용자의 개인정보와 관련된 기본권 등이 부당하게 침해될 가능성이 있다”고 하면서, “수사기관의 권한 남용에 의해 통신자료가 제공되어 해당 이용자의 개인정보에 관한 기본권 등이 침해되었다면 그 책임은 이를 제공한 전기통신사업자가 아니라, 이를 요청하여 제공받은 국가나 해당 수사기관에 직접 추궁하는 것이 타당하다”고 판시했습니다(대법원 2016. 3. 10. 선고 2012다105482 판결). 이 사건 수사기관 등은 원고들의 사건과의 연관성을 제대로 소명하지 않은 채 무차별적으로 원고들의 통신자료 제공을 요청함으로써 제공 요청권한을 남용하였으며, 이로 인해 원고들의 개인정보자기결정권을 침해했습니다. 따라서 피고 대한민국은 수사기관 등이 직무를 집행하면서 고의 또는 과실로 원고들에게 입힌 손해를 배상할 책임이 있습니다.

판결문(공유용)

판결이유: 원고들은 피고가 수사 대상 사건과의 연관성을 제대로 소명하지 않은 채 무차별적으로 원고들의 통신자료 제공 요청을 하여 제공 요청 권한을 남용하였으며 이로 인하여 원고들의 개인정보자기결정권이 침해당하였다고 주장하지만 원고들이 제출한 모든 증거에 의하더라도 피고의 위법행위 사실을 인정할 수 없으므로 원고들의 청구는 이유 없음

재판 결과에는 오픈넷이 수사기관이 법원에 관련 수사기록을 제출하도록 요청한 ‘문서제출명령신청’이 법원에 의해 최종적으로 기각되었다는 사실이 크게 작용하였습니다. 수사기관들의 통신자료 제공 요청행위의 불법성을 입증하기 위해서는 국민의 프라이버시침해를 정당화할 수 있는 타당한 이유가 있었는지 살펴봐야 합니다. 그러나 오픈넷이나 원고는 어떤 필요에 의해서 통신자료 제공이 이루어졌는지 알 길이 없으므로 피고인 수사기관들이 그 이유를 통신자료제공요청서 등 관련 문서의 제출을 통해 밝혀야 한다고 보았던 것입니다. 그러나 법원은 최종적으로 문서제출명령 신청을 기각하면서 원고가 정보공개법 상의 정보공개 신청을 통해서 관련 정보를 얻어야 한다고 보았습니다. 하지만 그렇게 되면 정보공개 신청에 드는 시간과 비용은 말할 것도 없지만 정보공개법상의 비공개 사유에 해당되어 정보공개가 이루어지지 않는 일이 발생합니다(아래 설명하겠지만 실제로 그렇게 된 원고들이 많습니다). 결국 이들 원고에 대해서는 국가가 프라이버시를 침해하고선 프라이버시를 침해한 이유를 설명하지도 프라이버시 침해에 대한 배상을 하지도 않는 상황이 발생하게되는 것입니다.

법원은 통신자료제공 요청서 및 요청사유가 민사소송법 제344조 제1항 제1호의 인용문서도 아니고, 제344조 제2항의 공문서이기 때문에 정보공개법에 따라서 공개 여부가 판단되어야 할 문서로 문서제출명령의 대상이 될 수 없다는 입장입니다.

문서제출명령신청서 및 재판부의 결정(2016가소5944347)

고등법원의 즉시항고결정문(2017라52)

대법원에서의 재항고 기록 및 결정문(2018마마5311)

오픈넷은 우선은 정보공개법에 따른 정보공개거부처분에 대한 취소소송을 제기할 계획입니다.

이와는 별도로 소송의 피고가 자신의 행위의 정당성 또는 부당성을 입증할 수 있는 중요한 증거를 가지고 있음에도 법원이 그 증거의 제출을 명하지 않고 재판과 무관한 법에 의해서 증거를 취득할 것을 주문한 법원의 결정에 대해서도 다시 한번 판단을 구해볼 계획입니다.

앞으로 이 포스트에 계속 업데이트 하겠습니다.

소송, 소송자료, 프라이버시

월, 2019/01/07- 14:04

빅데이터 시대의 소비자 개인정보 보호를 위한 기자간담회 개최

요약문:

홈플러스 개인정보 불법매매 사건에 대응하고 있는 경실련 시민권익센터, 진보네트워크센터, 한국소비자단체협의회 소속 10개 단체는 정부가 발표한 「개인정보 비식별 조치 가이드라인」에 대한 법률적 문제를 상세히 설명하고 대안을 제시하는 기자간담회를 개최하고자 합니다.