하나은행 모바일 뱅킹 애플리케이션(앱) '뉴 하나원큐'의 새 인증 수단인 '얼굴인증'이 개인정보(바이오정보) 가이드라인을 침해할 소지가 있다는 지적이 제기됐다.
얼굴인증에 사용된 개인 바이오정보에 대한 삭제 권한을 사용자에게 제공하지 않고 있기 때문이다. 은행 측은 빠른 시일 내에 수정한다는 계획이다.
27일 한 커뮤니티에는 '하나은행이 얼굴 사진을 가져가 보관합니다'라는 제목의 게시물이 올라왔다.
게시물을 올린 이용자는 "하나은행이 새롭게 선보인 얼굴인증 이용 동의서에는 이용자의 정보를 과도하게 요구한다"면서 "동의 후에는 철회 방법이 없다. 전송된 생체 데이터의 삭제 옵션도 없다"고 지적했다.
실제로 얼굴인증 이용 동의서를 확인해보니, 얼굴 사진과 성별·나이 등을 수집하고 있는데, 얼굴인증에 사용되는 정보는 하나은행 뉴하나원큐 앱에서 등록이나 재등록(수정)만 될 뿐 삭제 항목은 찾아볼 수 없다.
하나은행 상담원도 "현재 얼굴인증 정보를 삭제할 메뉴가 없다"고 답변했다.
개인 바이오 정보 수집과 이용의 목적도 애매하다. 인증과 식별을 위해서가 아니라 '얼굴인식 성능 개선을 위한 알고리즘 고도화'라고 적혀 있는 것.
문제는 이런 방식이 법 위배 요소를 품고 있다는 점이다.
정부는 바이오정보 활용이 늘어나게 되면서 지난 2017년 '바이오정보 보호 가이드라인'을 내놨다. 이 가이드라인은 정보통신망법과 개인정보보호법에 따라 바이오정보 이용기관이 6가지 원칙을 준수해야 한다는 내용을 담고 있다.
하나은행의 얼굴인증은 이 6가지 준수 원칙 가운데 통제권 보장의 원칙을 위반했을 것으로 파악되는 것이다.
통제권 보장의 원칙은 이용자가 바이오 정보를 수정하거나 삭제할 수 있도록 사업자가 보장해야 한다는 내용이다. 하나은행은 얼굴인증을 등록할 수는 있게 했지만 삭제가 불가능해 이 요소를 침해한 것으로 해석된다.
목적 제한 원칙은 위배하진 않았지만 고객에게 의문을 남게끔 만들었다. 목적 제한의 원칙은 바이오정보는 이용자에게 동의받은 인증 또는 식별 이외의 목적으로 활용해선 안 된다는 내용이다. 얼굴 사진과 성별, 나이의 정보 수집을 인증과 식별이 아닌 알고리즘 고도화에 이용하는 것은 이 원칙에 위배될 수 있다. 하나은행은 얼굴인증 머신러닝(기계학습)에 개인 정보를 활용했을 가능성이 있다.
단, 가이드라인에는 알고리즘 고도화와 같은 부수적 이용의 경우 선택적 동의를 받아 이용할 수 있다고 고지돼 있다.
하나은행은 얼굴 식별은 필수 조항으로, 알고리즘 활용은 선택 조항으로 동의를 받았지만, 고객들은 선택 동의 조항에도 '동의하지 않으면, 일부 금융 거래가 제한된다'는 점에서 불만을 제기했다.
하나은행 측은 "얼굴 사진을 그대로 서버에 저장하는 것이 아니라, 250여개 특징적인 부분을 숫자화하고 암호화해 서버에 저장한다"며 "숫자를 다시 돌린다고 해도 얼굴 사진으로 추출할 수는 없다"고 설명했다.
은행 측은 "얼굴인증은 로그인 하기 위한 하나의 수단"이라면서 "이틀 내로 얼굴인증 정보 삭제 기능을 넣을 계획"이라고 해명했다.
또 "얼굴 인증에 대한 앱 내 자동 팝업은 이미 내렸다"고 덧붙였다.
관련기사
- 은행업계 블록체인 활용 점차 늘어난다2020.08.20
- 비대면 거래 편의성 높인 하나은행 모바일 앱 '뉴 하나원큐' 출시2020.08.20
- 은행 직원이 펀드 설명 제대로 안했다?..."리콜하세요"2020.08.19
- 디지털 컨택트 시대, 은행 점포 효율화 특명2020.08.18
하나은행이 얼굴인증 삭제 메뉴를 넣음과 동시에 개인정보 이용동의서도 수정할 예정이다. 기존엔 '개인정보 수집 이용 동의서'란 한 가지 제목의 동의서로 필수와 선택적 동의를 고객에게 받았다면, 앞으로는 '필수 개인정보 수집 이용 동의서(인증용)'과 '선택 개인정보 수집 이용 동의서(학습용)'으로 명확하게 구분해 고객에게 제시할 계획이다.
얼굴인증 데이터도 기존 동의서대로 5년 동안 보관하지 않고, 인증 삭제 시 바로 파기한다는 방침이다.