최우혁 과학기술정보통신부 네트워크정책실장이 24일 오후 서울 종로구 정부서울청사에서 휴대전화 개통 시 안면인증 관련 브리핑을 하고 있다. 과기부는 이날 브리핑에서 “이통사는 안면인증 과정에서 신분증의 얼굴 사진, 신분증 소지자의 얼굴 영상정보를 수집해 실시간으로 대조하고, 동일한 사람인지 여부를 확인한 후 안면인증 결과값(Y·N)만 저장·관리한다”고 밝혔다. /사진:연합

[대한경제=심화영 기자] “안면 정보는 저장되지 않는다.”

지난 24일 오후 과학기술정보통신부가 정부서울청사에서 긴급히 연 브리핑의 핵심 메시지다. 전날부터 불거진 ‘휴대전화 개통 안면인증 의무화’ 논란을 진화하기 위한 자리였다.

정부는 휴대전화 신규 개통·번호이동 과정에 안면인증을 도입하는 시범사업을 23일부터 시작했다. 보이스피싱과 명의도용의 핵심 수단으로 지목돼 온 ‘대포폰’을 원천 차단하겠다는 취지다. 그러나 정책 발표 직후부터 “통신사가 국민 얼굴 정보를 다루는 것 아니냐”는 불신이 빠르게 확산됐다. 최근 잇따른 통신사 해킹 사고가 불안을 증폭시킨 결정적 배경이다.

과기정통부는 “안면인증은 신분증의 얼굴 사진과 실시간 촬영된 얼굴 영상을 즉시 대조하는 일회성 절차이며, 이 과정에서 이동통신사는 ‘동일인 여부’에 대한 결과값(Y/N)만 저장한다”고 해명했다. 얼굴 이미지나 생체정보는 별도 데이터베이스(DB)에 보관되지 않고 인증 직후 즉시 삭제된다고 강조했다.

안면인증은 통신 3사가 공동 운영하는 PASS 앱을 통해 진행된다. 정부는 기존 신분증 진위 확인 절차에 ‘실시간 얼굴 대조’를 추가해, 타인의 신분증을 도용하거나 유출 정보만으로 개통하는 범죄를 크게 줄일 수 있을 것으로 기대하고 있다.

그럼에도 사라지지 않는 불신…“얼굴은 유출되면 끝”

그럼에도 논란이 잦아들지 않는 이유는 기술보다 신뢰의 문제다. 올해 SK텔레콤, KT, LG유플러스 등 주요 통신사에서 크고 작은 해킹·정보유출 사고가 잇따르며, 개인정보 관리 역량에 대한 소비자 신뢰는 크게 흔들렸다. 이로 인해 “해킹 이력이 있는 사업자에게 얼굴 정보를 맡겨도 되는 것 아니냐”는 질문이 자연스럽게 제기됐다.

실제로 국회 전자청원 사이트에는 안면인증 의무화에 반대하는 청원이 이날 기준 4만명을 넘어섰다. 청원인들은 “얼굴 정보는 한 번 유출되면 변경이나 회수가 불가능한 최상위 민감정보”라며, 선택권 없는 생체정보 인증은 개인정보 자기결정권을 침해할 소지가 있다고 주장한다.

보안 전문가들이 특히 주목하는 대목은 ‘안면인증’이라는 단일한 용어가 기술적 차이를 가리고 있다는 점이다. 임종인 숭실대 AI보안 석좌교수는 최근 공개 발언에서 “애플 Face ID처럼 고사양 3D 센서를 활용한 기술과, 저가 2D 카메라 기반 인식 기술을 구분 없이 ‘안면인증’으로 묶으면 소비자가 위험성을 과소평가하게 된다”고 지적했다.

Face ID는 3D 깊이 센서와 적외선 카메라를 활용해 얼굴을 입체적으로 인식한다. 오류율은 100만 분의 1 수준으로 알려져 있다(애플 공개 수치 기준). 반면 국내 통신·금융 서비스 상당수는 저사양 단말에서도 작동해야 한다는 이유로 2D 이미지 기반 안면인식을 채택하고 있다. 이 방식은 사진·영상·딥페이크에 상대적으로 취약하다는 점이 반복적으로 지적돼 왔다.

휴대전화 개통은 각종 금융·온라인 서비스로 연결되는 ‘보안의 관문’이다. 이 관문에 상대적으로 취약한 기술을 적용하는 것이 적절한지에 대한 의문이 나오고 있다. 통신사 해킹 사고가 반복된 상황에서, 정부가 가장 민감한 생체정보 인증을 전면에 내세운 정책 순서가 맞았는지를 두고 논쟁이 이어지고 있다.

이 같은 논란 속에서 안면인증의 대안으로 ‘장정맥(손바닥 정맥) 인증’도 다시 거론된다. 장정맥 인증은 손바닥 내부 혈관 패턴을 적외선으로 인식하는 방식으로, 살아 있는 사람의 실제 혈류 정보가 아니면 인증 자체가 불가능하다. 사진이나 영상, 딥페이크로는 위조가 사실상 불가능하다는 평가를 받는다.

일본의 후지쯔 등 장정맥 인증 기술을 보유한 업체들은 오류율이 3000만 분의 1 수준으로 안면인식보다 훨씬 낮고, 생체정보도 단말 내에서 템플릿 형태로 관리할 수 있다고 강조한다. 국내에서도 공공·금융 분야를 중심으로 제한적 도입 사례가 존재한다. 다만 별도의 전용 센서가 필요해 모바일 개통 현장에 즉시 적용하기 어렵다는 현실적 한계도 분명하다. 결국 비용·편의·보안 간의 균형 문제가 다시 남는다.

내 몸이 비밀번호가 되는 생체인증은 새삼스러운 기술이 아니다. 10여 년 전 공인인증서를 대체할 차세대 인증 수단으로 주목받았던 생체인증이 다시 전면에 등장했다. 문제는 정부가 “저장하지 않는다”고 설명하는 것과, 이용자들이 “과연 믿을 수 있느냐”고 묻는 사이의 간극이다.

전문가들은 시범 운영 기간 동안 필요한 것은 기술 고도화만이 아니라고 지적한다. 생체인증 선택권 보장, 대체 인증 수단 병행, 외부 보안 검증 결과의 투명한 공개, 사고 발생 시 책임 구조의 명확화 등 신뢰를 설계하는 정책 보완이 병행돼야 한다고 조언하고 있다.

정부는 “내년 3월 23일 정식 운영 시점에는 안정적인 솔루션 운영을 통해 부정 개통을 적극 예방하고, 이용자 불편은 상당 부분 해소될 수 있도록 관계기관과 함께 지속적으로 점검·개선하겠다”고 밝혔다.

심화영 기자 dorothy@

〈ⓒ 대한경제신문(www.dnews.co.kr), 무단전재 및 수집, 재배포금지〉