정보통신서비스제공자가 생체정보를 활용하는 유형은 생체정보를 직접 수집 하여 이용하는 경우와, 타인에 의해 수집된 생체정보를 매개만 하는 경우로 나 누어 볼 수 있다. 대체적으로 정보통신서비스제공자가 직접 수집하여 이용하 는 경우는 본인 확인을 위한 인증의 경우가 대다수라고 할 수 있다. 이러한 본 인확인을 위한 인증의 경우, 성인인증, 결제서비스, 기기인증 등에서 활용된다.
타인에 의해 수집된 정보를 매개만 하는 경우는 온라인동영상서비스 및 SNS 서비스제공과정에서 이루어지는 개인영상정보의 경우가 대표적이다. 그밖에 최근 디지털 헬스케어플랫폼 서비스 제공과정에서는 직접 수집과 매개가 동시 에 이루어지는 양상을 보인다. 이하에서는 정보통신서비스제공자와 관련된 대 표적 생체정보 활용현황을 ‘인증’, ‘디지털헬스케어 플랫폼’, ‘개인영상정보 활 용’ 중심으로 검토해 본다.
가. 인증(본인 확인)
대면중심의 오프라인에서는 본인인증이 특별히 문제될 것이 없다. 주로 주민 등록증/운전면허증 소지와 대면인식이 함께 이루어지므로 본인인증을 위한 특 별한 기술적 이슈가 존재하지 않는다. 그러나 비대면인 온라인 상에서는 필수 적으로 본인확인 즉 인증이 중요한 기술적 제도적 이슈가 될 수 밖에 었다. "온 라인 인증[Authentication]"이라 함은 여러 사람이 공유하고 있는 컴퓨터 시스 템이나 통신망의 경우 이를 이용하려는 사람이나 장치 및 응용프로그램의 신 분(identification)을 확인하여 불법적인 사용자가 들어올 수 없도록 시스템 보 안을 유지하는 방법을 의미한다. 영기서 “본인확인”이란 정보통신망을 통하여 정보시스템 또는 행정정보를 이용하는 업무담당자, 민원인 또는 시스템 관리 자가 가지고 있거나 알고 있는 정보를 이용하여 본인임을 확인하는 것을 의미
한다. 구별개념으로 “실명확인”이 있으며 이는 사용자가 사용한 명의가 실제 로 존재하는 자의 명의인가 여부를 확인하는 것을 의미한다.
<표 3-1> 본인 확인 관련 법률규정
이러한 본인확인 즉 인증 수단으로는 다음과 같이 지식기반, 소지기반 및 생 체기반의 인증수단으로 분류된다.
<표 3-2> 분류별 인증수단
구분 관련 법률 주요내용
실명 확인
공직선거법
제82조의6(인 터 넷 언 론사 게시판·대화방 등의 실명확인)
실명확인이라 함은 사용자가 사용 한 명의가 실제로 존재하는 자의 명의인가 여부를 확인하는 것을 말함
본 인 확 인
민원인 등 의 본인확 인
전자정부법
제10조(민원인 등의 본 인 확인)
전자정부법 시행령 제12조(민원인 등의 본 인 확인)
전자정부법에서는 민원인등의 본 인확인에 대하여 규정하고 있다. 본 인확인의 방법으로 법률에서는 전자 서명법 제2조제3호에 따른 공인전 자서명을 제안하고 있음
게 임 과 몰 입 · 중 독 예 방 조 치 를 위한 본인인증
게임산업진흥에 관한 법률
제12조의3(게임과몰 입·중독 예방조치 등) 게임산업진흥에 관한 법률 시행령
제 8 조 의 3 ( 게 임 과 몰 입·중독 예방조치 등)
게임물 이용자의 게임과몰입과 중 독을 예방하기 위하여 과도한 게임물 이용 방지 조치로서 ‘게임물 이용 자의 회원가입 시 실명·연령 확인 및 본인 인증’을 하도록 규정
분류 종류 설명
지식기반 ID/Password 서버에 저장된 아이디와 아이디에 매칭되는 비밀번호로 본인을 인증방식
특히 생체기반 인증은 사용자가 가지고 있는 고유한 지문이나 홍체, 정맥등 과 같은 생체적 특징을 이용하여 인증하는 방식으로 이용자의 생체정보(지문 인식, 얼굴인식, 전자펜서명인식등)를 이용하여 본인 확인을 하는 방식이다. 얼 굴구조, 지문, 홍채, 정맥 등 생체적 특징을 이용한 방식과, 목소리, 타이핑리듬 등 행동적 특징을 이용한 방식이 있다.
I-PIN 명의도용이 쉬운 주민등록번호를 대신하여 이 용자에게 부여되는 인터넷 개인식별번호
보안카드
비밀번호 도용에 의한 금융사고를 방지를 위 해 사용하며 35개의 표에 4자리숫자들이 기록 되어 있는 형태의 카드
진위확인 식별정보를 이용하여 문서의 진위를 확인해 주는 서비스
소지기반
공인인증서
공인인증기관이 인증한 전자서명으로 법령에 서 서명 또는 기명날인을 요구한 경우에 공인 전자서명은 이의 요건을 충족한 것
보 안 토 큰 (HSM)
소프트웨어 형태의 토큰을 안전하게 보관하 기 위해 고안된 하드웨어형 토큰
OTP
로그인할 때마다 그 세션에서만 사용할 수 있는 1회성 패스워드를 생성하는 보안서비 스
휴대폰 SMS 인 증
입력한 주민등록번호와 휴대폰번호 + 휴대폰 가 입시 등록한 가입자 주민등록번호가 맞는지를 이 동통신사를 통해 확인하는 서비스
2채널인증
임의로 생성된 1회용 비밀번호를 반드시 사 용자의 전화에서 입력하는 인증을 거쳐야만 거래가 가능하도록 하는 서비스
PC등록 인증 사전에 등록된 PC에 한하여 거래가 가능하 도록 하는 서비스
생체기반 바이오인증
이용자의 바이오정보(지문인식, 얼굴인식, 전 자펜서명인식등)의 바이오정보를 이용하여 본인 확인을 하는 서비스
분실, 변경의 위험이 없어 타인증수단 보다 보안성이 높다는 장점이 있으나, i)생체정보를 인식할 시스템이 필요하여 비용이 많이 소요되고, ii)생체정보 이 용에 대한 거부감이 있을 수 있으며, iii)변경이 불가능하여 유출시 복구가 불 가능하다는 단점이 있다. 생성주기는 다음과 같다.
<표 3-3> 인증수단으로서 생체정보 생성주기
나. 헬스케어 플랫폼 서비스
우선 헬쓰케어 영역에서 생체정보는 개인건강기기(Personal Health Device) 를 통해 수집된다. 이러한 개인건강기기는 가정용 또는 휴대용기기에 센서를 내장하여 언제 어디서나 개인의 건강상태를 측정할 수 있는 웨어러블 디바이 스 등을 말한다. 주요 제품으로는 Fitbit Flex(핏비트), Fuel Band(나이키), Shine(미스핏), Gear Series(삼성전자) 등이 있다.25) 최근 미국 식품의약국(Food and Drug Administration, FDA) 및 한국 식약처에서 의료기기로서의 규제를 받지 않아도 된다고 정의한 건강관리용 제품들, 일명 “웰니스”제품들도 이에 해당된다. “웰니스”제품의 경우에는 건강관리용으로서 맥박, 수면 장애 등을 점검하여 사용자에게 정보를 알려줄 수는 있으나 본 데이터는 질병 진단의 목
25) 이진수, “디지털 헬스케어 플랫폼과 주요기업 동향”, 보건산업브리프 vol 140, 한 국보건산업진흥원, 2014. 9, 4면.
구분 설 명
발급 - 별도의 과정이 없음
등록 - 생체정보의 원본 정보 영상을 디지털화하고 이것의 특징 정보를 생성하여 저장
인증 - 데이터베이스에 저장된 값과 비교하여 검증 갱신 - 별도의 갱신 과정이 없음
폐기 - 이용자가 요청하거나 정보가 필요하지 않는 경우
적을 가질 수 없기 때문에 의료용으로 사용할 수 없다. 또한 의료기기로서 규 제를 받으나 ICT의 기술을 활용하는 심전도 측정 제품, 유전자 분석 제품들 또 한 이에 해당한다. 이렇게 수집된 정보들은 스마트기기에 내장된 카메라 센서 및 앱세서리(앱과 연결된 악세서리를 이용하여 개인의 건강상태를 측정 관리 할 수 있는 어플리케이션)인 PHA(Personal Health Application)를 통해 전송 된다. 주요 PHA 제품으로는 Nike Move(나이키), S-헬스(삼성전자), RunKeeper(피트니스키퍼) 등이 있다.26)
두 번째로는 각 기기들로부터 측정된 결과가 집결되는 데이터 관리의 영역 이다. 생체정보를 비롯한 개인건강정보들은 각각의 정보를 통합하여 저장 관 리할 수 있는 데이터 플랫폼이 필요하며, 이를 ‘개인건강정보 플랫폼(PHI Platform)’ 또는 ‘디지털헬스케어 플랫폼’이라 한다. 외부사업자들이 개발한 헬 스케어 제품들로부터 수집된 생체정보 또는 개인건강정보들은 이러한 하나의 플랫폼에서 통합 관리함으로서 개인의 건강상태를 종합적으로 분석할 수 있 다. 개인건강정보(PHI)를 효율적으로 관리할 수 있는 플랫폼을 중심으로, 개인 의 건강정보를 수집하는 제품공급자(PHD, PHA)와 건강관리 의료서비스 제공 자가 참여함으로써 디지털헬스케어 생태계의 구현이 가능하다.27) 클라우드컴 퓨팅을 이용하여 개인용 의료 히스토리(PHR, EMR)를 모으는 형태와, SNS서 비스로 구성되어 이용자들이 자발적으로 자신들의 의료 기록 및 정보를 공유 하는 형태가 있다.28) 개인건강정보 플랫폼 서비스의 특성상 다양한 공급자와
26) 이진수, 전게논문, 4면.
27) 이진수, 전게논문, 4~5면.
28) SNS를 통해 의료정보를 공유하는 대표적 케이스로 ‘PatientsLikeMe’가 있다.
‘PatientsLikeMe’는 2004년 29살의 젊은 나이로 희귀 질환인 루게릭병에 걸린 형제 를 위해 3명의 MIT출신 엔지니어가 모여서 만든 환자들의 SNS로 2011년까지 루 게릭병, 파킨슨씨병 등 22가지 만성 질환에만 제한적으로 새로운 멤버들을 받아들 이다가, 이후로는 완전히 공개하여 암이나 당뇨병등 여타 다른 질병에 대한 환자 들의 가입도 허용하고 있다. 이렇게 환자들을 통해 쌓인 데이터를 바탕으로 기존 의 의학계 연구를 정면으로 반박하는 논문을 Nature Biotechnology 에 출판하기도 하였으며 매우 희귀한 질병을 가진 환자들을 서로 이어줌으로써, 학계와 제약업계
참여자(소비자)를 수용할 수 있는 사업자가 유의미한 개인건강정보 플랫폼 사 업자로서 참여할 수 있어 애플, 구글과 같이 많은 이용자의 트래픽을 유도할 수 있는 플랫폼 사업자들이 이 영역에서 성과를 낼 수 있을 것으로 생각된다. 정보통신서비스제공자의 생체정보 활용과 관련된 부분이 바로 이 플랫폼 사업 자 영역이라고 할 수 있다.
(1) 애플의 HealthKit
‘애플’은 클라우드컴퓨팅을 기반으로 헬스앱을 통해 수집한 개인건강정보와 EMR정보의 통합을 통해 새로운 디지털헬스케어서비스를 제공하고자 종합적 인 개인건강정보 통합 플랫폼 구축을 시도하고 있다. 애플의 HealthKit은 외부 의 다양한 디바이스 어플리케이션을 통해 개인건강정보를 수집하고 이를 통합 저장·관리하는 시스템이다.29) 이를 위해 애플은 헬스케어 시장에 다양한 외부 사업자(Third party service)들을 끌어들여 개방형 헬스케어 생태계를 구축할 계획을 추진하고 있으며, 이와 동시에 iOS 어플리케이션을 개발하기 위한 iOS SDK(Software Development Kit)의 프레임워크로 HealthKit을 제공, 외부사업 자는 애플의 앱스토어에 입점한 iOS 어플리케이션으로 한정함으로써 통제권을 발휘하고자 한다. 아울러 헬스어플리케이션을 통해 의료기관, EHR 시스템과 연계 및 의료서비스와 접목을 시도하고 있는데 지난 5년간 미국 의료기관인 Mayo Clinic과 협력을 통해 헬스어플리케이션을 공동으로 개발함으로써 단순 한 건강데이터의 관리뿐 아니라 기존의 의료시스템과 통합까지 사업영역을 확 대하고 있다. 또한 미국 최대 EHR 회사인 Epic과의 제휴를 통해 다양한 대형 의료기관 환자들의 의료기록을 HealthKit과 통합함으로써 플랫폼 활용도를 극
에서 아직 연구가 되지 않은 해당 질병을 파악하기 위한 방도로도 많이 이용되고 있다.
29) 애플은 2014년 6월 3일, 자사의 개발자 행사인 WWDC 2014를 통해 모바일 운영 체제 차기 버전 iOS8를 발표하고 디지털 헬스케어 플랫폼 HealthKit과 어플리케이 션 Health를 탑재함으로써 디지털헬스분야 진출을 본격화하였다.