"1억원대의 지문인식시스템을 설치하는데 CCTV 달고 이중 전력장치 갖춰야 하는 등 최소 5억원의 가욋돈을 써야 한다면?" 당연히 "뭣하러 설치하나"라는 대답이 나올 것이다.

그러나 지문 홍채 등 개인 생체정보의 불법 유통을 막는다는 취지로 정보통신부가 지난해 말 제정한 '생체정보보호 가이드라인'은 이 같은 황당한 일이 벌어지도록 하고 있다. 가이드라인이 지나칠 정도로 개인의 생체정보 유출방지에만 초점을 맞추다 보니 생긴 기현상이다.

배꼽이 5배나 큰 가이드라인

생체정보인식시스템 개발업체 관계자는 26일 "생체정보 보호 가이드라인에 맞춰 10층짜리 건물을 가진 기업이 1억원대 출입 통제용의 지문인식시스템(단말기 평균 100만원짜리 100대)을 설치할 경우 5억∼30억원대의 추가적인 비용을 더 들여야 하는 실정"이라고 밝혔다. 가이드라인에서 이 지문인식시스템에 포함된 직원들의 지문정보가 외부로 유출되는 것을 방지하기 위해 물리적,기술적,관리적 보호조치를 마련하도록 하고 있기 때문이다.

가이드라인에 따르면 100대의 지문인식 출입 단말기마다 드나드는 사람에 대한 감시를 위한 CCTV 등 모니터링 시스템과 영상물 저장장치를 설치토록 요구하고 있다. 또 단말기의 오작동 방지를 위한 항온항습장치,비상구,이중전력장치,화재와 수재 정전에 대비한 보호장치,해커 침입을 막기 위한 네트워크 침입탐지와 방지 시스템 등을 구비하도록 하고 있다.

또다른 시스템개발업체 관계자는 "정부의 가이드라인이 제시된 후 보안을 위해 생체정보인식시스템을 설치하려고 했던 정부기관이나 금융사 등이 계약체결을 미루고 있다"고 전했다. 가이드라인에서 제시한 보호설비 설치는 '의무'사항은 아니지만 시민단체나 정치권 등에서 가이드라인을 준수하지 않았다고 국정감사 등에서 문제를 삼고 나올까봐 우려하고 있다는 것이다.

보호조치 수준 세분화해야

생체인식시스템 업계는 이에 따라 생체인식정보시스템을 설치하는 모든 곳에 일률적으로 적용되는 기존 가이드라인 내용을 시스템에 저장되는 정보의 중요도에 따라 세분화할 필요가 있다고 지적하고 있다.

한국정보보호산업협동조합(KISIA) 박준오 차장은 "기업들의 단순한 출입 통제용 지문인식시스템의 경우 지문 전체가 아닌 특정 부위만을 읽고 암호화한 정보가 담길 뿐"이라며 "이 데이터가 외부로 유출되더라도 원래 지문의 형태를 복원해 개인의 인적 사항을 알아낼 수가 없다"고 설명했다. 따라서 현 가이드라인에서 요구하는 고도의 보호 체계는 불필요하다는 게 그의 지적이다.

이상은 기자 selee@hankyung.com