신원 도용 자원 센터(ITRC)가 수행한 생체인식에 대한 소비자 인식 보고서는 생체인식 기술에 대한 의존도가 증가하는 한편, 여전히 많은 소비자들이 이 기술에 대해 회의적인 시선을 가지고 있다는 점을 조명한다. 이 보고서는 생체인증을 일상에 통합하는 데 있어 기대와 위험성을 동시에 드러낸다.

보고서에 따르면, 생체인식 기술이 신원 사기를 완전히 없애지는 못하더라도, 정적이고 이미 유출된 데이터에 기반한 위협을 크게 줄일 수 있도록 적절하고 윤리적으로 사용되어야 한다고 강조한다.

ITRC는 지난해 8월 미국 성인 1,177명을 대상으로 설문조사를 실시했으며, 그 결과 응답자의 87%가 지난 1년간 신원 확인 절차에서 생체 정보를 요구받은 경험이 있다고 답했다. 이 설문에서 언급된 생체 정보에는 셀카 사진, 실시간 영상, 지문, 음성, 홍채 스캔 등이 포함됐다.

응답자의 63%가 심각한 개인정보 보호 우려를 보고했음에도 불구하고, 91%는 생체 정보를 제출하라는 요청을 받았을 때 해당 거래를 계속 진행한 것으로 나타났다. 이러한 우려와 순응 사이의 괴리는, 생체인식에 대한 필요성 인식과 개인정보 침해 우려 간의 복잡한 관계를 시사한다.

보고서는 소비자들의 우려가 단순한 추측이 아님을 분명히 한다. 응답자들은 생체 정보의 오용 가능성, 무단 데이터 공유, 수사기관에 의한 감시, 오인식, 데이터 유출 등을 불안 요소로 꼽았다. 예를 들어, 69%는 내부 직원에 의해 생체 정보가 유출될 수 있다고 걱정했으며, 60%는 인증 외 목적으로 생체 정보가 재사용될 수 있다는 점을 우려했다. 정부 기관에 의해 추적당할 수 있다는 우려는 4분의 1 이상이 언급했다.

응답자의 3분의 2는 생체인식이 신원 범죄를 줄일 수 있다고 동의했지만, 39%는 생체인식의 사용 자체를 금지해야 한다고 믿고 있었다. 반면 36%는 이러한 견해에 동의하지 않았다. 생체인식을 전면 금지해야 한다는 응답자는 주로 젊은 층(45%)과 남성(54%)이었으며, 금지에 반대한 응답자는 여성(39%)과 60세 이상 고령층(49%)이 주를 이뤘다.

“이번 연구는 신원 범죄를 예방하려는 우리가, 특히 생체인식을 포함한 새로운 신원 기술의 이점과 위험성에 대해 보다 명확하게 설명할 필요가 있음을 보여줍니다.”라고 ITRC의 CEO 에바 벨라스케즈(Eva Velasquez)는 성명에서 밝혔다.

“이번 생체인식 보고서가 향후 연구의 지침일 뿐만 아니라, 대중의 이해와 수용을 높이기 위한 로드맵이 되기를 바랍니다.”라고 그녀는 말하며, “변화는 불편할 수 있지만, 사실에 대한 이해 없이 저항하는 것은 불필요한 위험을 초래할 수 있습니다. 우리는 모두에게 이익이 되는 안전한 생체인증이 왜 필요한지를 더 많이 설명해야 합니다.”라고 덧붙였다.

이와 유사하게, Aware는 지난 10월 발표한 ‘2024 생체인식에 대한 소비자 신뢰 보고서’에서 “전체 사용자 중 50% 이상이 매일 생체인식으로 인증을 수행하고 있으며, 이는 대중적 채택으로 가는 분명한 길을 보여준다”고 밝혔다. 그러나 동시에 “소비자들은 생체 데이터의 민감성에 대해 높은 인식을 가지고 있으며, 데이터 관리에 대한 명확한 정책을 가진 서비스 제공자와 생체인식을 사용하길 원한다”고 지적했다.

Aware의 최고제품책임자(Chief Product Officer) 하이디 헌터(Heidi Hunter)는 성명에서 “응답자의 압도적인 다수는 향후 5년 안에 생체인식 기술이 더욱 널리 퍼질 것이라는 데 동의하고 있습니다. 이는 생체인식이 보안, 편의성, 접근 속도 면에서 비밀번호보다 우수하다는 것을 소비자들이 대체로 인식하고 있기 때문에 놀라운 일은 아닙니다.”라고 밝혔습니다.

헌터는 이어 “그러나 주목할 만한 점은 많은 응답자들이 생체 데이터를 책임감 있게 수집하고 관리하는 능력을 보여준 조직에 더 많은 신뢰를 보인다는 것입니다. 분명히, 편의성과 속도에 대한 욕구가 더 커지고 있고, 그에 따라 사용 사례도 증가하고 있습니다. 하지만 우리는 브랜드가 생체인식을 제공함으로써 얻는 이점을 소비자와의 명확한 소통, 데이터 사용에 대한 우려 해소, 대체 인증 옵션 제공 등을 통해 더욱 강화할 수 있는 큰 기회가 있다고 봅니다.”라고 덧붙였습니다.

ITRC 설문조사 결과에 따르면, 생체인식에 대한 불안은 모든 인구 집단에서 동일하지 않았습니다. 보고서는 젊은 층과 남성이 생체인식 사용을 전면 금지하자는 주장에 더 많이 동의한다고 밝혔으며, 30세에서 44세 사이 응답자의 45%, 남성 응답자의 46%가 이에 찬성했다고 밝혔습니다.

반면, 여성과 고령층은 생체인식 기술에 대해 더 개방적인 태도를 보이거나 아직 결정을 내리지 못한 경우가 많았습니다. 전체 응답자의 약 4분의 1을 차지하는 ‘미정’ 그룹은 생체인식 기술의 향후 채택 궤도에서 핵심적인 역할을 할 수 있는 집단입니다. ITRC는 이 그룹에 대해 더 나은 교육, 투명성 제고, 그리고 선택적 거부(opt-out) 메커니즘 제공이 실질적인 영향을 미칠 수 있다고 제안했습니다.

또한 ITRC 설문조사의 또 다른 핵심 결과는, 응답자의 거의 절반이 지난 12개월 동안 신원 범죄의 피해를 입은 적이 있으며, 절반 이상은 평생에 한 번 이상 그런 경험을 했다는 점입니다. 이러한 수치는 신원 도용의 빈도가 점점 더 높아지고 있으며, 보다 강력한 본인 확인 수단이 절실하다는 점을 강조합니다.

보고서는 이러한 필요성을 맥락화하며, 현재 미국에서는 약 22초마다 한 건의 신원 도용이 발생하고 있다고 지적했습니다. 여기에 더해, 2023년 첫 9개월 동안에만 2,100건이 넘는 데이터 유출 사고가 보고되면서, 생체인식 기반 인증은 만연한 위협에 대응하기 위한 핵심 요소로 자리잡고 있다고 평가했습니다.

그럼에도 불구하고, 응답자들은 여전히 자율성과 통제권을 갖고 싶다는 의사를 표명했습니다. 많은 이들이 자신들의 생체 정보가 어떻게 사용되고 보호되는지에 대해 더 많은 정보를 제공받는다면 생체인식 기술을 보다 편안하게 사용할 수 있을 것이라고 말했습니다. 약 41%는 생체 정보 수집의 목적에 대한 더 큰 투명성을 원한다고 답했으며, 39%는 자신의 정보가 공유되거나 판매되는 것을 차단할 수 있는 권리를 원한다고 밝혔습니다. 또 다른 32%는 요청 시 자신의 생체 정보를 삭제할 수 있기를 희망했습니다.

ITRC 보고서는 또한 얼굴 인식(Facial Recognition)과 얼굴 인증(Facial Verification)의 혼동에 대해서도 언급하며, 이 둘이 근본적으로 다른 기술임을 강조했습니다.

얼굴 인식은 일반적으로 감시 기반의 일대다(1:N) 식별 시스템을 의미하며, 이는 종종 개인의 동의 없이 경찰이나 정보기관 등에서 사용됩니다. 반면 얼굴 인증은 은행 또는 정부 서비스 등에서 신원을 확인할 때 개인의 동의를 바탕으로 본인이 시작하는 일대일(1:1) 비교 방식입니다. 보고서는 이 두 기술을 혼동하는 것이 대중의 이해를 저해하고, 정당한 신원 확인 기술의 도입을 방해한다고 지적했습니다.

ITRC는 부속 논의 보고서에서 이름, 사회보장번호 및 기타 개인식별정보(PII)와 같은 정적인 데이터만으로는 더 이상 신원 확인에 충분하지 않다고 경고합니다. 수많은 데이터 유출로 인해 이러한 개인 정보가 범죄자 시장에서 널리 유통되고 있는 상황에서, 보다 강력한 신원 확인 수단을 통해 이들 데이터의 가치를 낮춰야 한다는 것입니다.

ITRC 보고서는 생체인식 기술이 그 해답이 될 수 있다고 제시합니다. 기존의 ‘기억 정보’(something you know)와 ‘소지 정보’(something you have)에 ‘생체 정보)’(something you are)를 추가함으로써, 생체 인증은 사칭과 사기를 막는 데 더 높은 장벽을 만들어줍니다.

그럼에도 불구하고 보고서는 생체인식 사용에 따른 기술적·윤리적 과제도 인정합니다. 시스템은 다양한 인구통계학적 집단에서의 편향성과 성능을 검증받아야 합니다. 예를 들어, 일부 생체인식 시스템은 피부색이 어두운 사람이나 여성을 정확하게 인증하는 데 어려움을 겪은 바 있습니다.

FIDO 얼라이언스의 2024년 소비자 인식 보고서에 따르면 금융 서비스(49%), 디지털 신원 확인(47%), 정부 서비스(40%)와 같은 분야에서 생체인증에 대한 선호도가 높게 나타났습니다. 그러나 보고서는 얼굴 인증 기술이 다양한 인구 집단 간 정확도에 있어 편향이 존재할 수 있다는 우려가 여전히 남아 있다고 지적하며, 미국 성인 응답자의 56%가 이 같은 가능성에 동의했다고 밝혔습니다.

ITRC는 조직이 반드시 미국 국립표준기술연구소(NIST)의 검증을 받은 생체인식 기술만 사용할 것을 강조했으며, 디지털 신원 위험 평가(Digital Identity Risk Assessment) 실시, 데이터 보관을 최소화하기 위한 ‘촬영(snap), 일치(match), 삭제(delete)’ 프로토콜 채택, 생체인식 사용이 불가능하거나 꺼려지는 이들을 위한 대체 인증 수단 제공 등 모범 사례의 도입을 촉구했습니다.

딥페이크와 같은 신흥 기술이 초래하는 위험에 대해서도 ITRC 보고서는 경고했습니다. 이러한 합성 위협에 대응하기 위해, ITRC는 생체인증 보안을 다층화할 것을 권고하며, 여기에 라이브니스 감지(liveness detection), 실시간 인증(real-time verification), 비활성 스푸핑 탐지(passive spoof detection) 등의 보안 기술을 포함해야 한다고 밝혔습니다.

ITRC 보고서는 생체인증이 신원 관련 사기를 크게 줄일 수 있는 잠재적 활용 사례들을 제시합니다. 예를 들어, 차량관리국(DMV)에서는 얼굴 인증을 통해 도난된 정보를 이용한 중복 신분증 발급을 방지할 수 있습니다. 금융 서비스 분야에서는 생체인증이 기존의 지식 기반 인증(KBA)을 대체할 수 있는데, 이는 도난된 데이터에 취약하기 때문입니다. 또한 정부 복지 혜택 분야에서는 팬데믹 기간 동안 수십억 달러의 손실을 초래한 실업급여 사기처럼, 허술한 인증 절차로 인한 사기를 생체인증으로 막을 수 있다고 설명합니다.

보고서는 또한, 생체인증 도입 시 개인에게 선택권을 제공하고, 대체 수단을 통해 서비스를 이용할 수 있도록 하는 것이 중요하다고 강조합니다. 특히, 인터넷 접근이 불가능하거나 스마트기기가 없거나, 생체정보 등록이 어려운 장애인을 포함한 모든 사람이 공정하게 접근할 수 있도록 ‘디지털 우회로(digital offramp)’가 반드시 병행되어야 한다고 밝혔습니다.

2024년 미국여행협회(USTA)의 의뢰로 이프소스(Ipsos)가 실시한 조사에 따르면, 미국인의 78%가 공항의 교통안전청(TSA) 검색대에서 생체인증 사용에 찬성하지만, 생체정보가 사용 직후 삭제되고 다른 기관과 공유되지 않는다는 보장이 있을 때 그 지지율은 더 높아진다고 합니다.

궁극적으로 ITRC는 특정 생체인증 솔루션의 무분별한 전면 도입을 지지하지 않습니다. 대신 강력한 보호조치, 규제 감독, 대중 교육, 시스템의 투명성을 포함한 신중하지만 지속적인 추진을 제안합니다. 보고서는 기관들이 동의 우선(consent-first) 원칙을 채택하고, 삭제 옵션 제공, 데이터 보존 최소화, 시스템의 편향성과 성능 이상 여부에 대한 지속적 모니터링을 수행할 것을 권고합니다.