[CIO BIZ+]인권위 지문정보 삭제 놓고 금융·통신사 고민…주무부처 구체적 기준 없어

관련 통계자료 다운로드 신분증 사본 지문정보 수집 삭제에 대한 입장

국가인권위원회의 주민등록증 사본 저장 시 수집한 지문정보 전량 폐기를 놓고 금융·통신사와 해당 주무부처인 금융위원회·방송통신위원회 모두 고민에 빠졌다. 금융·통신사는 과거 수집한 지문정보 폐기 방법이 현재로서는 수작업 밖에 없어 수백억원에 이르는 막대한 예산과 최대 5년 이상의 기간이 필요하다는 점을 들어 전량폐기는 어렵다는 입장이다. 금융위와 방통위는 인권위의 권고안을 전달하는 것 외에는 방법이 없어 이렇다 할 조율을 하지 못하고 있다.

7일 업계에 따르면 은행·증권·보험·카드 등 금융사와 통신사가 지난해 10월 인권위원회 권고에 따라 과거 수집한 주민등록증 지문정보 폐기를 검토한 결과, 기술적으로 어려운 점이 많은 것으로 나타났다. 지문정보 폐기를 위해 사용되는 현 소프트웨어(SW) 기술로는 지문을 정확하게 인식하는 비율이 50% 미만이어서 상당부분 수작업이 불가피하다.

◇금융·통신, 과거 지문정보 삭제 쉽지 않아

가장 심각한 곳은 은행이다. 은행은 계좌개설이나 상품가입 시 고객의 신분증 사본 앞·뒷면을 복사해 저장했다. 이 중 상당수 복사본은 영업점 등에서 가입신청서나 별도 종이에 복사한 후 이미지화해 보관하고 있다. 일부는 문서로만 보관, 별도 문서창고에 보관돼 있다. 신분증 전용 스캐너로 이미지를 저장, 보관한 것은 최근이다. 그것도 일부 대형 은행에 한정돼 있다.

문제는 가입신청서나 별도 종이에 복사한 후 이미지화된 문서의 지문정보를 정보시스템 기반으로 찾아내기가 쉽지 않다는 것이다. 정보시스템 기반으로 한다 하더라도 인식률이 낮아 수작업으로 일일이 이미지를 찾아내 삭제해야 한다. 관련 SW업체 관계자는 “신분증 지문이 특정 양식에 맞춰 복사된 것이 아니고 사람마다 지문이 모두 다르기 때문에 시스템 기반으로 찾기가 힘들다”고 설명했다.

이미지화하지 않고 문서로만 보관된 지문은 창고에서 일일이 찾아내야 한다. 삭제해야 할 온오프라인의 지문정보 건수는 은행별로 최소 1억건에서 최대 7억건에 이른다. 은행 관계자는 “과거 수집한 지문정보를 삭제하기 위해 상당수 인력이 필요하다”며 “해당 인력을 비정규적으로 채용한다 하더라도 몇백억원이 투입된다”고 말했다.

파기해야 할 지문정보가 은행보다는 적지만 증권·보험·카드사도 상황은 마찬가지다. 대형 증권사 최고정보보호책임자(CISO)는 “수천만건에 이르는 온오프라인의 지문정보를 모두 찾아 삭제한다는 것은 현실적으로 쉽지 않다”며 “은행권 대응을 보면서 증권 업계 공동 대응방안을 논의할 계획”이라고 말했다.

통신사는 지문정보 폐기가 가능한 SW를 찾고 있지만 쉽지 않다. KT가 관련 SW업체 대상으로 1차 개념검증(PoC)을 했지만 지문 인식률이 30~50% 수준으로 낮았다. KT는 현재 2차 PoC를 준비하고 있다. SK텔레콤도 1차 PoC를 했지만 KT 1차 PoC와 동일하게 인식률이 낮았다. LG유플러스는 상황을 지켜보고 있다.

◇금융위, 인권위 권고로 삭제가 원칙

은행연합회는 지난해 12월 8일 인권위 권고에 따라 금융위가 발송한 지문정보 파기 관련 공문에 의견서를 제출했다.

은행연합회는 은행이 계좌개설 시 금융실명법에 따라 변경된 주소정보를 수집하기 위해 주민등록증 뒷면을 저장하면서 불가피하게 지문정보를 수집한 것이어서 향후 수집하지 않겠다는 입장을 명확히 했다. 그러나 과거 수집한 지문정보를 파기하는 것은 많은 비용과 시간이 소비돼 수행하기 어렵다는 입장을 전달했다. 물리적 보안, 주민등록번호 암호화 등 개인정보보호법 조치는 적극 수행하겠다는 내용도 덧붙였다.

증권·보험·통신 업계는 공동 의견서를 전달하지 않은 상태에서 은행연합회가 제출한 의견서 결과만을 기다리고 있다. 금융위는 아직 전체적인 의견을 전달받지 못해 이렇다 할 입장을 밝힐 수는 없다고 밝혔다. 단 인권위 권고사항이기 때문에 전량 삭제가 원칙이라고 전했다.

금융위 관계자는 “인권위에서 기본적으로 신분증 지문정보 전량 파기를 권고했기 때문에 삭제하는 방법 외에는 없다”며 “이는 협상 대상이 아니다”고 말했다. 이어 “공고는 강제사항은 아니기 때문에 제재는 없다”고 덧붙였다.

인권위는 불법적으로 수집된 지문정보를 전량 수집하라는 것을 권고했을 뿐 구체적인 기준은 해당 주무부처에서 결정해야 한다는 입장이다. 인권위 관계자는 “금융위, 방통위 등에서 삭제 지문정보 대상 범위와 언제까지 삭제해야 하는지 등을 결정, 이를 이행하지 않을 경우 어떤 제재를 가하겠다는 것을 결정해야 한다”며 “그러나 권고를 따르지 않으면 인권위에 통보하면 된다”고 말했다. 인권위는 오는 20일까지 해당 부처로부터 권고에 대한 의견을 받을 예정이다.

금융권 관계자는 “금융위가 인권위 권고에 따라 지문정보 삭제를 원칙으로 제시하면 현실 가능한 세부적 기준을 마련해야 한다”고 주장했다.

<신분증 사본 지문정보 수집 삭제에 대한 입장 / 자료:정부·업계 종합>


신분증 사본 지문정보 수집 삭제에 대한 입장 / 자료:정부·업계 종합


신혜권기자 hkshin@etnews.com