과기정통부는 위법하고 인권 침해하는 안면인증 의무화 정책 폐기하라!
– 생체인식정보 동의 강요는 개인정보보호법 위반
– 정부와 사업자 책임 은폐, 시민에게 부담과 위험 강요하는 나쁜 정책
지난 2025년 12월 23일부터 휴대전화 개통 시 안면인증 시범 적용이 시작되었다. 과학기술정보통신부(이하 과기정통부)는 보이스피싱 등 금융사기 범죄에 악용되는 이른바 ‘대포폰’을 근절한다는 명분을 제시하지만, 이 정책은 시민들의 개인정보 자기결정권을 과도하게 침해하는 것으로 국제 인권규범과 개인정보 보호원칙에 어긋날 뿐 아니라, 개인정보보호법을 정면으로 위반하고 있다. 또한, 주민번호와 연계정보(CI)와 같은 전 국민 식별번호로 개인정보 유출의 피해를 확대한 정부의 책임과 대규모 개인정보 유출을 야기한 기업의 책임을 묻기보다 시민들에게 안면인증의 부담과 위험을 감수하도록 요구하는 나쁜 정책이다. 과기정통부는 휴대전화 개통 시 안면인증 의무화 정책을 즉각 폐기하라!
안면인식정보는 유일성과 불변성을 가진 생체인식정보로서 유출될 경우 그 피해가 장기간 지속되고 회복이 어렵기 때문에 특별한 보호가 필요하다. 또한, 안면인식정보를 포함한 생체인식정보는 개인정보보호법 상 민감정보로서 다른 개인정보와 별도의 명시적인 동의를 받거나, 법령에서 민감정보의 처리를 명시적으로 요구하거나 허용하는 경우에 한해서만 처리할 수 있다. 그러나 안면인식 의무화 정책은 이 두 가지 요건 중 어느 것도 충족하고 있지 않다. 과기정통부는 이 정책의 추진 근거로 국정과제 23번인 ‘국민의 안전과 보편적 삶의 질 제고를 위한 AI 기본사회 실현’ 중 “피싱, 스미싱 등 디지털 민생범죄 대응 강화” 등을 들고 있지만, 이는 생체인식정보의 처리를 요구하거나 허용하는 법률이 아니다. 휴대전화 개통 과정에서 이용자의 ‘별도의 동의’를 받을 수 있지만, 이것이 적법한 동의인지 의문이다. 휴대전화는 현대 사회에서 기본적인 노동과 삶을 위한 필수적인 인프라이므로, 이에 동의하지 않아 휴대전화를 개통할 수 없다면 정상적인 사회 생활이 어려워지는 것이 자명하다. ‘동의’의 조건을 규정하고 있는 개인정보보호법 시행령 제17조는 ‘동의’가 정보주체의 자유로운 의사에 따라 결정되어야 한다고 규정하고 있다. 이용자의 자유로운 의사와 무관하게 동의를 강제하는 것은 ‘적법한 동의’일 수 없다. 따라서 안면인식 의무화 정책은 아무런 법적 근거가 없는 개인정보 처리로서 위법하며, 과기정통부는 통신사에 위법한 개인정보 처리를 강요하는 것에 다름 아니다.
안면인식 의무화 이전부터 우리나라는 이미 신분증을 통해 본인확인을 하는 휴대전화 실명제를 시행하고 있는데, 이 역시 대포폰 근절 등 범죄 예방을 목적으로 도입된 제도이다. 휴대전화 실명제 자체도 모든 휴대전화 이용자가 잠재적 범죄자라는 전제 하에 사후 추적 가능성을 확보하기 위한 수단으로 도입된 것으로, 해외에서는 익명 표현의 자유와 프라이버시권 침해 우려로 실명제를 도입하지 않은 국가들도 다수 있다. 그런데 과기정통부는 이에 더하여 안면인증까지 의무화하겠다는 것으로 이는 감시국가로 가겠다는 선언이나 마찬가지다. 현재 신분증을 이용한 본인확인은 가장 보편적이고 신뢰받는 신원확인 방식이다. 휴대전화 개통 뿐만 아니라 금융 거래, 행정 서비스, 일상적 계약 관계 전반에서 통용되는 본인확인 체계다. 이를 신뢰할 수 없다는 이유로 안면인증을 의무화한다면, 향후 다른 분야에서도 안면인증이 표준적인 신원확인 수단으로 확대될 우려가 있다.
아이러니한 것은 개인정보 침해로 야기된 대포폰 근절을 막는다는 명분으로 또 다른 개인정보 침해적 방법을 사용하고 있는 점이다. 그러나 이는 정부와 사업자의 책임을 감추고 범죄 예방의 책임을 이용자에게 전가하는 술수에 지나지 않는다. 보이스피싱 범죄는 유출된 개인정보를 활용하여 이루어진다. 특히 한국에서 개인정보 유출의 피해가 심각해지는 이유는 개인식별자인 주민등록번호, 그리고 이와 1:1 연동되는 연계정보(CI)를 통해 서로 다른 곳에서 유출된 개인정보가 통합될 수 있기 때문이다. 이에 시민사회는 주민등록번호 제도의 개혁과 연계정보(CI)의 폐지를 요구해왔으나, 정부는 이러한 책임을 외면해왔다. 또한 최근 SKT에서 쿠팡에 이르기까지 잇따른 개인정보 유출을 막기 위해서는 사업자의 보안 책임을 강제할 수 있는 집단소송 제도가 필요하다. 나아가 보이스피싱 수사 인력의 확충이나 금융 거래에서의 이상거래 탐지 강화 등, 국가와 사업자의 책임을 강화하는 덜 침해적인 대안도 충분히 존재한다. 그런데 과기정통부는 이 모든 정부와 사업자의 책임 강화는 외면한 채, 모든 시민들에게 안면인식을 해야 하는 부담과 위험을 감수하도록 요구하고 있는 것이다.
정부는 안면인식정보를 인증 후 바로 폐기할 것이기 때문에 안전할 것이라고 하지만, 이를 곧이곧대로 믿을 사람은 없다. SKT와 쿠팡에서의 개인정보 유출사고가 안전하게 보관해야 할 의무가 없어서 발생한 것은 아니지 않는가. 우리보다 앞서 2019년 12월에 통신사기 근절을 명분으로 휴대전화 개통 시 안면인증을 도입한 중국에서도 통신 사기가 근절되기는 커녕, 인터넷 거래 플랫폼을 통해 17만건 이상의 얼굴정보가 거래되었으며, 개당 0.5위안(약 100원)에 팔렸다고 한다. 결국 중국도 2025년 6월 안면인식 의무화를 철회하였다.
그런데 앞선 중국의 사례에서 또 하나 주목해야할 것은 안면인식 의무화가 얼굴정보 유출 뿐만 아니라, 노인·장애인 등 취약계층에 대한 차별적 접근 제한 문제도 야기했다는 점이다. 얼굴에 화상을 입거나 장애가 있어서 표정 변화가 자유롭지 못한 사람의 경우 안면인식에 취약했다는 것이다. 안면인증의 정확도가 성별, 연령별, 인종별 차이가 있다는 점은 종종 문제가 되어 왔다. 안면인증 의무화는 모든 시민들에게 부담을 안겨주는 정책이지만, 특히 안면인증 오류로 인한 부담은 사회적 취약계층에게 전가될 가능성이 크다. 과기정통부도 인정했듯이, 우선 피처폰을 사용하는 사람들은 대리점을 직접 방문해야만 하는 부담을 안게 되었다.
이미 불법적인 안면인증 의무화 정책이 시행 중이다. 개인정보보호위원회는 즉시 불법적인 민감정보 처리에 대해 조사하고 시정을 명령해야 한다. 경찰은 통신사의 위법적인 개인정보 처리에 대해 수사에 나서야 한다. 피해가 확산되기 전에 과기정통부는 위법하고 인권 침해적인 안면인식 의무화 정책을 철회하고 폐기할 것을 요구한다. 또한 정부와 국회는 시민들에게 부담을 전가하는 보이스피싱 대책이 아니라, 주민등록번호와 연계정보(CI) 제도에 대한 개혁, 집단소송제도를 통한 정보보안의 강화 등 근본적인 대책에 나설 것을 촉구한다.
2026.1.13.
디지털정의네트워크, 민주사회를위한변호사모임 디지털정보위원회, 사단법인 오픈넷, 정보인권연구소, 참여연대
