근거리무선통신(NFC) 기술 활용이 증가하면서 개인정보 침해소지가 증가하고 있다. 모바일 결제를 비롯해 접근제어, 티켓팅, 데이터 공유에 이르기까지 활용 범위가 늘어났기 때문이다. 사업자가 NFC서비스 제공을 위해서는 사용자 개인정보 취급이 불가피해 이에 대한 대책마련이 시급한 상황이다.
최근 업계는 지난해 NFC서비스 지원 기능이 모바일의 5%만 지원했었지만, 올해 모바일 애플리케이션 확대로 인해 그 규모가 46%에 달할 것으로 전망하고 있다.
이처럼 스마트폰에 NFC기능이 탑재하면서 개인정보에 대한 우려의 목소리가 높아지고 있다. 스마트폰 기기 자체가 보안위협에 타깃이 되고 있기 때문이다.
■NFC서비스 보안 위협은?
한국인터넷진흥원(KISA)은 NFC서비스 취약점으로 ▲개인정보 암호화 부분 미지원 ▲모바일 애플리케이션 종료상태에서 모바일 신용카드 결제 가능 ▲내부 개인정보 유출사고 우려 ▲불필요한 개인정보 수집 및 저장 ▲서비스 이용 시 추가 개인정보 요구 ▲서비스 이용 지점 정보 수집 및 저장 등이 존재한다고 꼽았다.
NFC서비스를 향한 공격형태 역시도 기존에 발생해왔던 것과 크게 다르지 않다. 이 때문에 일반적인 개인정보 유출 위협도 유사하게 발생한다. 특히 아직 보안대책이 미흡한 무선 통신망에서 서비스가 이뤄져 더욱 보안에 취약한 상황이다.
현존하는 NFC서비스 모델에는 크게 ▲과도한 서비스 제공 역할 집중 ▲과도한 서비스 관리 권한 집중 ▲과도한 개인정보 및 생성정보 권한 집중 ▲개인정보 및 생성정보 공동 보관 ▲신뢰선비스관리자(TSM) 기능 분배 시 책임 소재 및 서비스 제공 문제 발생 우려 ▲TSM 기능 분배 어려움 ▲사업자 미지정 시 NFC서비스 활성화 및 발전 한계와 같은 개인정보보호 이슈가 존재한다.
NFC사업자들은 주로 기존에 광고, 쿠폰 등의 서비스 제공 모델을 중심으로 NFC 에코시스템을 구성해 서비스를 제공 중이다. 기존 서비스 틀을 바꾸거나 하지 않는 선에서 안정적인 서비스 환경을 구축하고자 하는 추세다.
■NFC시대, 개인정보보호 어떻게?
스마트폰 시대가 도래로 NFC서비스도 활성화 단계에 들어 개인정보보호를 위한 체계 구축은 시급하다. 먼저 공신력있는 기관에서 서비스에 사용되는 개인정보, 생성정보, 패턴정보를 별도 관리해야한다.
우선 TSM을 운영하는 사업자의 경쟁구도를 통해 선정할 필요가 있다. 공신력있는 기관에서 사업자를 지정해 2개 이상의 사업자가 운영하도록 장려해야 한다. 두 사업자 간의 상호균형을 통해 서비스의 체계 균형을 갖춰나가야 한다는 것이다.
개인정보보호를 위해 필수적으로 사업자 간에 익명성이 기반돼야 한다. TSM 사업자와 개인정보 관리 사업자, 기관 사이에 정보를 제공할 때 투명성을 유지가 필요하다. 이 뿐 아니라 제 3의 독립 감시기구나 체계를 마련해 개인정보보호 수준을 감시할 수 있도록 해야한다.
TSM을 운영할 때 이해관계에 있는 NFC서비스 사업자들이 운영 조건이나 기간을 정해두도록 하는 것이 좋다. 개인정보 관리 사업자나 기관이 서로 개인정보보호 수준을 감시할 수 있도록 할 필요가 있기 때문이다.
뿐만 아니라 안정성을 보장할 수 있는 TSM 플랫폼이나 NFC 에코시스템 간의 데이터 형식, 보안 프레임워크 등도 지정해 사용하도록 장려해야 한다.
특히 구글과 같은 글로벌 기업의 국내 이용자 맞춤형 서비스 시장 진출에 대비해 준비가 필요하다. 개인정보의 해외 위탁, 개인정보 관련 업무의 해외 위탁, 글로벌 기업에서 정보 가공행위나 패턴 정보 취급 시 적용할 수 있는 지침도 마련돼야 한다.
관련기사
- [MWC 2012]이통3사 총출동…'LTE-NFC' 주력2012.03.02
- 삼성전자, 日 NFC 솔루션 시장 진출2012.03.02
- 스마트 NFC시대, 개인정보가 위험하다2012.03.02
- NFC이용해 미리 전기사용요금 결제2012.03.02
보안업계 한 관계자는 “국내는 통신사를 중심으로 NFC서비스가 활성화 조짐을 보이고 있는데 개인정보보호 활용에 대한 대안에 대해서는 사업자는 물론이고 관련 기관에서도 손을 놓고 있는 것 같다”면서 “스마트폰을 이용한 서비스들로 인해 비일비재하게 개인정보보호 침해문제가 발생하고 있는 만큼 대책 마련에 관련 기업 및 기관들이 나서야 한다”고 지적했다.
또한 그는 “NFC서비스의 개인정보보호 문제 중에 가장 강조되어야 할 것이 서비스 사업자에게 과도하게 역할 및 관리 권한이 집중됐다는 점”이라면서 “이를 균형있게 분배해 개인정보를 이용할 수 있는 방안을 마련해야 한다”고 말했다.