[ 자료사진]

이상서 기자 = 웨어러블 기기 상용화와 맞물려 생체정보의 종류와 수집 범위가 급격히 확대되고 있지만, 개인정보보호법에선 이에 대한 정의조차 내리지 못하면서 개인정보 보호 악화에 대한 우려가 나오고 있다.

변경이 불가능하다는 특성 탓에 한 번 유출될 경우 다른 개인정보에 비해 위험성이 큰 만큼 대책 마련이 시급하다는 지적이다.

4일 정보기술(IT) 업계에 따르면 삼성전자는 최근 '삼성 헬스'의 개인정보 처리방침을 개정하면서 이용자가 사용하는 약물 이름과 유형 및 용량, 복용량 등을 개인정보 수집 항목에 추가했다.

지난 7월 소비자가 건강 모니터링을 하도록 돕는 스마트 반지 '갤럭시 링' 등 웨어러블 기기 출시와 맞물려 심박 변이와 수면 중 움직임 등 각종 생체정보 수집 항목을 추가한 데 이어 석 달 만에 다시 그 종류를 늘린 것이다.

아울러 미국, 브라질, 필리핀, 인도 등 기존 개인정보 국외 이전 국가 목록에 폴란드를 더하고, 개인정보 제3자 제공 업체에 글로벌 달리기 애플리케이션 기업인 '스트라바'를 추가했다.

삼성전자 관계자는 "개인정보 접근 통제 장치와 암호화 등 보호 조치를 마련했다"며 "관리자에게 개인정보 교육을 실시하고, 내부 관리계획도 시행하고 있다"고 말했다.

앞서 핀테크 업체 토스와 티켓 플랫폼 인터파크트리플 등은 암표 거래를 방지하기 위해 얼굴 인증 시스템을 개발한다고 하자, 이용자들 사이에선 개인정보 유출에 대한 우려의 목소리가 나오기도 했다.

[한국과학기술정보연구원 제공]

한국과학기술정보연구원의 '생체정보를 활용한 생체인식 산업 시장의 기회' 보고서를 보면 세계 생체인식 시스템 시장 규모는 올해 591억달러(81조5천여억원)에서 2027년 829억달러(114조4천여억원)까지 불어날 전망이다.

국내 생체인식 시스템 시장도 같은 기간 18억달러(2조4천여억원)에서 33억달러(4조5천여억원)로 두 배 가까이 늘어난다고 예측했다.

문제는 현 개인정보보호법에서는 생체정보가 명시된 조항이 없다는 점이다.

개인정보보호위는 2020년 관련법 시행령에 민감정보의 범위에 '개인의 신체적, 생리적, 행동적 특징에 관한 정보' 조항을 추가했으나 산업계 실정과는 동떨어졌다는 지적이다.

2021년엔 생체정보 보호 가이드라인을 내놨지만 말 그대로 안내서이기에 강제성이 없다는 한계가 있다.

한국과 달리 미국은 연방 차원의 생체정보 관련 법안은 없지만, 2008년 일리노이주(州)를 시작으로 텍사스주, 워싱턴주, 메인주 등이 '생체인식정보 보호법'을 제정하고 정의와 수집 절차, 처벌 규정 등을 마련했다.

유럽연합(EU)은 일반 개인정보보호법(GDPR)에 생체정보를 별도로 정의했다.

[ 자료사진]

지난달 열린 국회 정무위원회 국정감사에서도 개인정보보호위원회의 안일함을 질타하는 목소리가 나왔다.

국민의힘 강명구 의원은 "생체정보 활용 사업이 빠르게 성장하고 있는데, 제도는 그 속도를 따라가지 못하고 있다"며 "생체정보라는 용어를 (개인정보보호법에서) 찾아볼 수 없는 탓에 부작용이 생겨도 대응하기가 어렵다"고 비판했다.

김명주 서울여대 정보보호학과 교수는 "빠르게 발전하는 생체정보 기술을 정책이 반영하지 못하고 있다"며 "정부가 추진 중인 인공지능(AI) 기본법에 생체정보를 담아야 한다"고 말했다.

신종철 연세대 법무대학원 객원교수는 "지문이나 혈액형 등은 한번 유출되면 영원히 회복할 수 없다"며 "생체정보마다 위험성에 대한 등급을 세분화하고, 그에 맞는 규정을 마련해야 한다"고 조언했다.

개인정보보호위 관계자는 "내년에 개인정보보호법 개정안 발의를 목표로 추진하고 있다"면서도 "정확한 시행 시기는 미정"이라고 밝혔다.