안전하기 때문에 위험한 아이폰X의 ‘안면인식’

글 | 박경신(오픈넷 이사, 고려대 법학전문대학원 교수)

1.

우리는 일상적으로 안면인식을 한다. 사람의 얼굴을 보고 그 사람을 식별하는 행위는 지극히 자연스러운 행위일 뿐이 아니라 인류 진화의 한 단계였다. 우리가 자외선이 나 초미세먼지를 두려워하면서도 옷으로 몸은 가려도 얼굴은 내놓고 다니는 것은 다 이유가 있다. 신분증에 사진을 붙이고 신분증을 통해 신원확인하는 것도 다 안면인식을 용이하게 하기 위한 것이다. 공공장소의 CCTV를 통해 범죄나 비리를 예방하거나 조사하는 것 역시 기초적인 수준의 안면인식을 필요로 한다.

2.

그러나 아이폰X를 통해 만든 안면인식정보 즉 한 사람이 몇 분 정도 시간을 들여 특수한 기계를 통해서 자신의 신체로부터 자발적으로 추출한 정보는 다르다. 이 정보는 내가 공공장소에 나갔을 때 CCTV에 찍혀서 생성되는 정보 즉 암묵적으로 타인이 취득할 것에 동의한 정보와는 완전히 다른데 정확도와 같은 양적 차이뿐 아니라 자신이 동의한 절차를 통해서만 생성될 수 있다는 차원에서 법적으로 다르다. 패스워드, DNA, 지문처럼 프라이버시로 완벽히 보호되어야 한다.

3.

단 지문인식기능과 특별히 다른 것처럼 호들갑을 떨 이유도 없다. 두 가지 다 신체의 일부를 본인확인 용도로 이용한다는 면에서 다를 바가 없다. 다르다면, 안면인식기능은 데이터포인트가 3차원적이고 훨씬 많기 때문에 지문인식기능보다 수십배 안전하다. (긴 패스워드가 짧은 패스워드보다 안전한 것도 한 자 더할 때마다 경우의 수가 수십 개씩 늘어나는 원리와 마찬가지이다.) 지문은 2차원적이라서 이용자가 책상이나 유리에 남긴 지문을 제3자가 채취해서 이용자의 아이폰을 몰래 열어볼 수 있지만 얼굴은 이것이 불가능하다. ‘Mission Impossible’ 영화에 나오는 것처럼 마스크를 만드는 경우도 생각해볼 수 있지만 아이폰은 반사광을 분석하여 인체피부와 같은 재질이 아닌 경우도 밝혀낸다고 한다.

4.

하지만 이렇게 안전하기 때문에 유출되었을 때의 위험은 더 크다. 해당 정보만 가지고 있으면 신원위조를 완벽하게 해낼 수 있기 때문이다. 그래서 더 주의할 필요가 있는데 첫째 현재는 디바이스에만 저장이 되는데 절대로 서버에 저장되지 않도록 해야 한다. 아이폰 1대를 해킹하면 1명의 안면인식정보만 취하겠지만, 서버에 저장하다 보면 여러 사람의 정보가 한꺼번에 유출될 수 있다. 해커가 하나의 서버만 공격해도 수많은 사람의 안면인식정보를 취할 수 있게 된다. 물론 우리는 패스워드도 서버에 저장하는 문화에 익숙해져 있지만 (그리고 패스워드는 서버에 저장될 수밖에 없지만) 패스워드는 유출되면 바꿀 수 있는 반면 안면인식정보는 성형을 하지 않는 한 바꿀 수 없는 영구적으로 고유한 식별자이기 때문에 유출되었을 때의 위험이 다르다.

5.

둘째 “신뢰성의 패러독스”에 빠지지 않도록 조심해야 한다. 즉 주민등록번호도 1960년대에 처음 나오자마자 국가에서 통제하는 것이니 안전하다는 이유로 각종 기업이나 기관에서 본인확인용으로 이용을 했고 결과적으로 매우 위험한 본인확인수단이 되어 버렸다. 예를 들어, 아이폰X의 안면인식정보를 금융기관이나 다른 기업도 직접 이용하는 일 등은 절대로 벌어져서는 안된다. (물론 위의 “디바이스 저장 원칙”만 지켜진다면 이 위험은 없다) 이용하고 싶다면 지금처럼 디바이스를 자신의 서비스에 등록시켜 그 디바이스에서 결제를 하려면 반드시 애플의 안면인식절차를 거치도록 하면 된다. 즉 애플 안면인식정보는 안면 소유자의 디바이스에만 저장되어야 할 뿐 아니라 디바이스를 언락하는 하나의 기능만을 수행해야지 “기능확대(function creep)”가 이루어져서는 안 된다. 주민등록번호와 마찬가지다.

6.

노파심에 한마디. 우리가 기억해야 할 것은 타인의 안면이나 지문을 강제로 들이밀어 아이폰을 언락하는 것은 신체의 자유 침해이자 프라이버시 침해라는 것이다. 그러므로 수사기관이 국민의 아이폰을 언락하고 싶다면 이용자에 대해서 압수수색영장을 반드시 받아야 한다.(체포영장으로는 불충분하다. 압수수색영장은 특정 정보를 채취하기 위해 다양한 수단을 이용할 수 있게 하므로 이것이 필요하다. 이게 왜 중요하냐면 긴급체포 즉 영장 없는 체포는 간혹 허용되지만 ‘긴급압수수색’이라는 것은 없기 때문이다.)

* 이 글은 필자의 페이스북에 실린 글입니다. 

* 이 글은 허프포스트코리아에 기고했습니다. (2017.09.18.)

혁신을 저해하는 부가통신서비스 규제 강화에 반대한다

– 신경민 의원의 전기통신사업법 개정안에 대한 논평

지난 11월 27일 더민주당 신경민 의원이 대표발의한 전기통신사업법 개정안은 부가통신역무의 정의를 구체화하고, 특수한 유형의 부가통신역무를 확대하며, 부가통신사업자에게도 기간통신사업자와 같은 의무를 일부 부과하는 내용을 포함하고 있다. 그러나 대한민국의 부가통신사업자들은 이미 세계적으로 유례를 찾기 힘든 진입규제에 의해 규율되고 있어 국가의 눈치를 계속 봐야 하는 상태에 놓여 있다.  이 상황에서 부가통신사업자에 대한 규제를 더 얹는 것은 무한한 가능성을 가진 인터넷 산업에 대한 족쇄이자 혁신을 저해하는 갈라파고스적 규제로 결국 인터넷 이용자들의 정보인권을 제약하고 다양한 서비스 선택권에서 나오는 편익을 저해하게 된다. 사단법인 오픈넷은 개정안의 부가통신서비스 규제 강화 조항에 반대한다.

현행 부가통신사업자 신고제의 문제

현 전기통신사업법은 제2조 제12호에서 부가통신역무를 “기간통신역무 외의 전기통신역무”라고 규정하고 있다. 기간통신사업자는 간단하게는 통신사와 ISP를 , 부가통신사업자는 이러한 기간통신에 기반한 서비스를 제공하는 사업자로 모든 인터넷 사업자를 포함한다. 부가통신사업자에게는 신고(특수한 유형의 부가통신사업자는 등록) 의무가 있는데, 사업자는 신고하고 1년 이내 사업을 시작해야 하고, 신고 사항의 변경, 사업의 양도·양수 또는 합병·상속, 사업의 휴지·폐지도 모두 신고를 해야 하며, 이러한 제한을 위반할 경우 과학기술정보통신부장관에 의해 사업의 전부 또는 일부의 폐지를 당하고 징역형 또는 벌금형에 처해질 수 있는 매우 강력한 진입규제로 운영되고 있다.

인터넷은 컴퓨터 이용자들의 자발적인 결합체로서 구조상 중심이 없고 각 이용자는 오프라인 상의 영향력에 관계 없이 온라인 상으로는 동일한 지위를 갖는다. 이에 따라 인터넷은  힘없는 개인이나 영세한 스타트업도 정부기관이나 막강한 대기업과 경쟁할 수 있는 정보력과 전파력을 가질 수 있도록 하는 해방적 사회적 기능을 수행하고 있다. 그런데 인터넷을 통해 타인의 정보를 매개하는 행위 모두를 “부가통신역무”이라고 정의하여 신고제 등의 진입규제를 가하는 것은 이와 같은 기능을 훼손한다.

또한 부가통신서비스는 계속 새로운 유형의 서비스가 생겨나고 서비스의 규모나 중요도도 다양하므로 일괄적인 진입규제는 혁신을 저해하게 되며 사실상 가능하지도 않다. 그렇기에 대부분의 IT 강국에서는 부가통신서비스를  진입규제 대상으로 삼고 있지 않다. 이렇게 비교법적으로도 유례가 드문 우리나라의 강력한 부가통신서비스 규제는 시급하게 해소가 필요한 단계인데 이를 강화하자는 목소리는 인터넷에 대한 몰이해를 반영한다.

근거 없는 부가통신역무 분류

변화무쌍한 부가통신서비스의 특성상 국가별로 그 정의가 매우 다르며, 국제적으로 합의된 분류체계도 존재하지 않는다. 그런데 개정안은 제안이유에서 “부가통신역무에 대한 규정이 미흡한 상황”이라고 하면서 “부가통신역무에 대한 새로운 법적 정의가 필요”하다며 부가통신역무를 다음과 같이 5가지로 분류했다.

우선 “부가통신역무”를 “기간통신역무 외의 모든 전기통신역무”라는 네거티브 방식으로 정의하여 기간통신사업자 외에 전기통신역무를 제공하는 모든 사업자를 규제대상으로 삼던 것을 포지티브 방식으로 정의하려 한 것은 의미가 있다. 그러나, 실제 내용으로 들어가보면  “디지털콘텐츠 등을 제공” , “데이터. . 의 송신 또는 수신을 제공” 등의 폭넓은 문구들이 들어 있어 결국 현재의 온라인 서비스 업체 어느 곳도 배제되지 않아 개정의 의도가 불분명하다. 더 큰 문제는 과학기술정보통신부장관의 고시에 따라 신고제 대상 사업자가 결정되도록 해서 현재 “전기통신역무”의 정의도 불분명한 상태에서 행정기관의 자의적인 판단에 따라 대상 사업자들이 확대될 수 있다는 점이다.

특수한 유형의 부가통신사업자 확대

현행법상 스팸문자 규제를 위해 정의된 제2조 제13호 나목의 특수한 유형의 부가통신사업자는 등록이라는 더 강화된 진입규제 하에 있으며, 송신인의 전화번호가 변작 등 거짓으로 표시되는 것을 방지하기 위한 기술적 조치를 실시해야 하고, 요금신고를 하고 신고 내용을 공개해야 할 의무도 있다. 개정안에서는 서비스의 범위를 “문자메세지” 발송에서 “문자메시지·전자메일·팩스·문서” 발송으로 대폭 확대했는데, 문자메시지는 항시수신상태를 유지하고 있어야 되기 때문에 스팸문자메시지는 침입적 성격이 크지만 그렇지 않은 전자메일 서비스 등을 특별히 더 강하게 규제할 이유를 찾을 수가 없으며, 이렇게 규정되면 그 대상도 SNS, 메일시스템을 갖추고 있는 웹사이트 운영자 등 무한대로 넓어질 수 있다. 그리고 송신인의 “전화번호”가 아닌 “정보”에 관해 기술적 조치를 실시해야 하는데 전화번호와 달리 정보가 개인정보를 말하는 것인지 그 내용을 포함한 것인지, 정보 변작 방지를 위한 기술적 조치가 가능한지도 알 수 없다. 이런 유형의 서비스들은 대부분 무료로 제공되기 때문에 요금신고를 해야 할 타당성도 찾을 수 없다.

기간통신사업자와 부가통신사업자에 동일한 의무 부과

그리고 개정안은 기존에 기간통신사업자에게만 부과하던 일부 의무를 부가통신사업자에게 확대했다. 안 제29조의 요금 감면 조항과 제34조의 경쟁상황 평가 실시 조항이 그것이다. 내용의 당부를 떠나 기간통신사업자와 부가통신사업자는 전혀 다르기 때문에 동일하게 규제해서는 안 된다. 기간통신산업은 전통적으로 필수설비의 존재, 대규모 매몰비용과 규모의 경제로 인해 높은 진입장벽이 존재하며, 그렇기 때문에 통상 국영기업 또는 공기업의 형태로 운영되어 오다가 민영화의 과정을 거친 후 소수의 사기업이 참여하는 독과점적인 구조를 유지하는 자연독점사업의 특성을 지니고 있다. 반면에 부가통신산업은 무한대의 다양한 서비스 창출이 가능해 원칙적으로는 진입장벽이 낮고 경쟁적인 시장이다. 기간통신사업자에게 적용되는 ‘망중립성 원칙’과 유사하게 부가통신사업자에게는 ‘플랫폼 중립성’이나 ‘검색 중립성’ 원칙을 적용해야 한다는 논의가 있으나 지지를 받지 못하는 이유도 양 산업의 근본적 차이에 있는 것이다.

결론적으로 부가통신서비스에 대한 진입규제 또는 사전규제를 강화하고 기간통신사업자와 같이 강하게 규제하려는 이러한 시도는 인터넷 생태계에 독이 되며 갈라파고스적 규제로 역차별을 초래해 결국 국내 사업자들만 피해를 볼 뿐만 아니라, 인터넷을 통해 사람들을 연결해주고자 하는 사업자들을 위축시켜 이용자들의 표현의 자유를 저해하게 된다. 지금은 부가통신서비스 규제 강화가 아닌 완화가 필요한 시점이다.

2017년 12월 27일

사단법인 오픈넷

문의: 오픈넷 사무국 02-581-1643, [email protected]

오픈넷 창립 5주년 기념 컨퍼런스 ‘인터넷 생태계의 미래’ 개최

2018년 6월 4일(월) 14:00~18:00 | 대학로 공공그라운드 지하1층 001스테이지

사단법인 오픈넷이 올해 창립 5주년을 맞아 오는 6월 4일(월) 오후 2시, 대학로 공공그라운드 지하 1층 001스테이지에서 ‘인터넷 생태계의 미래’ 컨퍼런스를 개최합니다.

이번 오픈넷 컨퍼런스에서는 포털 규제 이슈 관련 생산적인 인터넷 공간을 만드는 방안에 대해 논의해봅니다. 또한 세계적으로 가속화되고 있는 인공지능 기술 발달이 우리 사회와 경제에 미치는 영향에 대해서도 알아봅니다. 그리고 지난 5년간 오픈넷의 활동들을 살펴보고 점검하는 시간도 마련했습니다.

‘드루킹 사건’이 불거진 이후 포털 서비스의 개선을 요구하는 목소리가 높아짐에 따라 소위 여론조작 방지를 목적으로 한 포털 규제 법안들이 쏟아지고 있습니다. 오픈넷 컨퍼런스 제1세션 ‘포털 규제, 어떻게 할 것인가’에서는 뉴스 댓글과 가짜 뉴스 규제를 중심으로 포털이 인터넷 플랫폼으로서 적절히 기능할 수 있는 방안에 대해 토론합니다. 라운드 테이블 형식으로 진행되는 이 세션에서 황성기 한양대 법학전문대학원 교수가 좌장을 맡고, 전문가 패널로는 김위근 한국언론진흥재단 선임연구위원, 나현수 한국인터넷자율정책기구 팀장, 박경신 고려대 법학전문대학원 교수, 손지원 오픈넷 변호사, 이상욱 한양대 철학과 교수, 이재국 성균관대 신문방송학과 교수, 최진응 국회입법조사처 입법조사관이 참여하여 토론을 펼칠 예정입니다.

제2세션에서는 디지털사회연구소 소장이자 메디아티 대표인 강정수 박사가 ‘디지털 자본주의와 기본소득’을 주제로 발표합니다. 기술 진화에 따른 시대의 변화를 관찰하고, 디지털 경제로의 이행 과정에서 한국 사회가 미래를 어떻게 준비하고 열어가야 할지 객석과 함께 이야기해봅니다.

제3세션은 오픈넷 활동가들이 이용자의 편에서 자유, 개방, 공유의 인터넷을 만들기 위해 수행한 지난 5년간의 활동을 보고하고, 앞으로 펼칠 활동에 대해 고민해보는 시간으로 마련했습니다. 인터넷 정책과 오픈넷 활동에 관심 있는 분들의 많은 관심과 참석을 바랍니다.

이 행사는 누구나 무료로 참가할 수 있으며, 참가신청은 오픈넷 홈페이지 또는 아래 링크를 통해 하실 수 있습니다. 행사에 참석하신 분들께 다과가 제공되며 소정의 기념품을 드립니다.

• 참가신청 링크: https://goo.gl/forms/5BlfDldJFP6n7Idy2

* 사단법인 오픈넷은 2013년에 창립된 시민사회단체로서, 표현의 자유, 지적재산권, 프라이버시, 망중립성, 열린정부 등 인터넷 공간에서 벌어지는 다양한 이슈를 대상으로 하여 입법 활동과 공익소송, 학술 및 교육사업 등을 전개하며 자유롭고 열린 인터넷을 만들기 위한 활동을 활발히 펼치고 있습니다.

문의: 오픈넷 사무국 02-581-1643, [email protected]

시대에 역행하는 국내 서버 설치 의무 법안을 당장 철회하라!

모든 트래픽의 감시와 검열을 조장하는

변재일 의원의 정보통신망법 개정안에 반대한다

최근 더민주당 변재일 의원은 국내 서버 설치를 의무화하는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 ‘정보통신망법’) 일부개정법률안을 대표발의했다. 본 개정안은 정보통신서비스 제공자 중 일정 기준에 해당하는 자에게 이용자가 정보통신서비스를 안정적으로 이용할 수 있도록 국내에 서버를 설치하는 등 기술적 조치를 할 의무를 지우고, 이를 위반할 경우 방송통신위원회가 해당 정보통신서비스 제공자에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있도록 하고 있다. 이러한 국내 서버 설치 의무법은 결국 중국과 러시아 등에서 실시하고 있는 데이터 현지화 또는 국지화(data localization) 제도와 유사하면서도 더 광범위하고 세계적으로도 유례가 없는 ‘트래픽 현지화’ 제도를 창조하는 것으로 문제가 매우 심각하다.

변재일 의원은 제안이유로 “망 사용료 분담과 관련된 분쟁 과정에서, 글로벌 콘텐츠 사업자가 일방적으로 이용자의 콘텐츠에 대한 접속 경로를 변경하여 이용자들이 서비스 속도 저하 등 불편을 겪는 사례가 발생”한 바 있고, “이러한 상황이 심화될 경우 국내 사업자와 글로벌 사업자 간의 역차별 이슈가 지속적으로 제기될 가능성”이 높으므로 글로벌 콘텐츠 사업자에게 국내에 서버를 설치하게 해서 이용자에게 안정적인 서비스를 제공할 수 있도록 해야 한다고 주장하고 있다. 여기서 언급한 사례는 방송통신위원회가 지난 3월 과징금을 부과한 페이스북 접속 경로 임의변경 건인데, 그 대응책으로 페이스북, 구글, 넷플릭스 등과 같은 글로벌 CP(콘텐츠 사업자, Content Providers)들에게 무조건 국내에 서버를 설치하게 하자는 것이다.

그러나 국내에 서버를 설치해야만 이용자에게 안정적인 서비스를 제공할 수 있다는 주장은 근거가 없을 뿐만 아니라 우리나라에만 존재하는 갈라파고스적 규제로써 역차별 해소는커녕 오히려 국내 인터넷 기업들에게만 추가적 부담을 안겨 역차별을 초래할 수 있다. 그리고 무엇보다도 개정안의 더 큰 문제는 데이터 현지화의 도입이다. 데이터 현지화는 글로벌 IT 기업에게 개인정보의 보관·처리를 위한 서버를 반드시 자국 내에 설치하도록, 즉 데이터를 국내에 보관하도록 강제하는 것을 말한다. 데이터 현지화는 국경을 초월한 정보의 자유로운 이동이라는 인터넷의 본질을 정면으로 부정하는 것으로, 온라인에 디지털 장벽을 세워 자유와 개방의 인터넷을 조각내고 파편화시켜버린다. 이로 인해 인터넷 이용자들은 카카오톡 감청 사태 때처럼 현지 정부와 기업의 감시와 검열로부터 사이버 망명을 떠날 수 있는 자유를 빼앗기게 된다.

데이터 현지화는 아주 극소수의 공산주의 국가나 동남아의 일부 국가가 도입한 제도이다. 중국이 소위 만리방화벽(great firewall)이라는 인터넷상 국경을 유지하고 있던 유일한 국가였고, 2017년부터는 네트워크 안전법을 시행해 중국에서 수집된 개인정보를 현지 서버에 저장하도록 의무화하고 수사상 필요시 제공하도록 하고 있다. 그리고 러시아가 2015년부터 연방법에 의해 러시아 국민의 개인정보를 자국 내 데이터 베이스에 저장하도록 하고 있으며(그렇다고 국외 보관이 금지된 것은 아니다), 베트남과 인도네시아에서 콘텐츠 사업자들에게 제한적인 서버 설치 의무를 지우고 있는 정도이다. EU GDPR상의 개인정보의 역외 이전 제한도 일종의 데이터 현지화라고 하지만, 국내 서버 설치 의무와는 차원이 다르다.

그런데 앞서 언급했듯 본 개정안은 단순한 데이터 현지화에서 나아가 광범위한 트랙픽 현지화를 내정하고 있다. 다른 나라의 예에서 보듯 국가안보 등의 목적이나 자국민의 개인정보로 대상을 한정한 것이 아니라, 모든 서비스 제공을 위한 서버를 국내에 두라고 하고 있기 때문이다. 이에 따라 이용자의 개인정보뿐만 아니라 서비스 이용정보를 포함한 모든 정보가 국내 서버에 저장될 것이기 때문에 결국 국가에 의한 감시와 검열이 훨씬 쉬워지게 된다. 감시와 검열을 피해 한메일을 쓰다가 지메일로 옮기거나, 카카오톡을 쓰다가 텔레그램으로 이동할 이유가 없어지는 것이다.

부차적으로는 소비자들의 서비스 선택권에도 큰 영향을 미치게 된다. 한국에 서버를 둘 계획이나 능력이 없는 정보통신서비스 제공자의 경우에는 서비스를 아예 제공하지 않거나 한국 소비자 맞춤형 서비스를 제공하지 않을 것이기 때문이다. 또한 국내 사업자의 경우도 좀 더 값싼 해외 클라우드 컴퓨팅 서비스를 이용하지 못 하게 되고, 스타트업들은 울며 겨자 먹기로 세계적으로 가장 비싼 수준인 우리나라 ISP들의 서비스를 이용할 수밖에 없다. 이러한 제약들은 결국 IT 산업의 혁신 저해로 귀결될 것이다.

이렇게 4차 산업혁명 시대에 역행하는 국내 서버 설치 의무 법안을, 그것도 정보통신부 차관 출신이며 국회 과학기술정보방송통신위원회 소속 변재일 의원이 대표발의했다는 것은 해당 산업에 대한 몰이해와 전문성 부족을 여실히 드러낸다고 하겠다. 변재일 의원은 모든 트래픽의 감시와 검열을 조장하는 정보통신망법 개정안을 당장 철회하라!

2018년 9월 18일

사단법인 오픈넷

문의: 오픈넷 02-581-1643, [email protected]