치료받으려면 얼굴부터 스캔하세요? — 생체인증이 의료에 들어올 때 생기는 문제들

치료받으려면 얼굴부터 스캔하라고요?

미국에 '헤드웨이(Headway)'라는 정신건강 플랫폼이 있어요. 환자와 심리치료사를 연결해주고, 복잡한 보험 처리까지 대신 해주는 서비스예요. 정신과 진료나 상담은 비싸고 보험 절차가 까다롭기로 유명한데, 그 사이를 매끄럽게 이어준다는 점에서 많은 환자들이 의지하고 있었죠.

그런데 최근 이 플랫폼이 환자들에게 "치료를 계속 받으려면 얼굴을 스캔해서 신원 인증을 하라"고 요구하기 시작했어요. 생체정보(얼굴)를 제출하지 않으면 받던 치료가 끊길 수 있다는 거죠. 정신적으로 취약한 상태에 있는 사람들에게 이런 요구가 떨어졌으니, 프라이버시 측면에서 우려가 나오는 게 당연해요.

회사는 왜 이런 걸 시킬까?

기업 입장에서 이유는 대체로 '사기 방지'예요. 보험 사기나 가짜 계정으로 진료비를 부정 청구하는 일을 막으려는 거죠. 그래서 '이 사람이 진짜 본인이 맞는지'를 확인하려고 얼굴 인증을 도입하는 거예요.

얼굴 인증이 어떻게 동작하냐면요, 보통 두 단계예요. 먼저 신분증(여권이나 운전면허증) 사진을 찍게 하고요, 그다음 카메라로 사용자의 실시간 얼굴을 찍어서 신분증 사진과 같은 사람인지 대조해요. 이때 '라이브니스 검사(liveness detection)'라는 것도 들어가요. 이게 뭐냐면, 화면에 사진이나 영상을 갖다 대는 식의 속임수를 막으려고 "눈을 깜빡여 보세요", "고개를 돌려보세요" 하면서 진짜 살아있는 사람인지 확인하는 기술이에요. 그리고 이 작업은 대부분 회사가 직접 하는 게 아니라, 전문 신원인증 업체에 맡기는 경우가 많아요. 즉 내 얼굴 데이터가 또 다른 제3의 회사 손에까지 넘어간다는 뜻이죠.

진짜 문제가 뭐냐면

생체정보는 비밀번호랑 근본적으로 달라요. 비밀번호는 털리면 바꾸면 되잖아요. 근데 얼굴은요? 한 번 유출되면 평생 못 바꿔요. 새 얼굴로 갈아끼울 수가 없으니까요. 그래서 생체정보는 가장 민감하고 위험한 개인정보로 취급돼요.

게다가 맥락이 '정신건강'이라는 점이 더 무거워요. 가뜩이나 취약한 사람들에게, 치료를 볼모로 잡고 "얼굴 안 내놓으면 안 된다"고 사실상 강요하는 구조거든요. 진정한 동의라고 보기 어렵죠. 동의는 '거절해도 불이익이 없을 때' 비로소 의미가 있는 거니까요.

업계 흐름에서 보면

사실 얼굴·생체 신원인증은 점점 곳곳으로 번지고 있어요. 미국에선 세금 환급이나 정부 서비스를 받을 때도 얼굴 인증을 요구하는 사례가 생겼고, 청소년 보호를 명분으로 한 '나이 인증'에도 얼굴 스캔이 들어오고 있어요. 편리함과 사기 방지를 내세우지만, 그만큼 우리 얼굴 데이터가 여기저기 쌓이고 있다는 뜻이기도 해요.

그래서 규제도 강해지는 추세예요. 미국 일리노이주의 BIPA라는 법은 생체정보를 함부로 수집하면 건당 손해배상을 물게 하고, 유럽 GDPR은 생체정보를 '특별히 민감한 정보'로 따로 분류해서 더 엄격하게 다뤄요. 한국도 개인정보보호법(PIPA)에서 생체정보를 민감정보로 보고, 원칙적으로 별도의 명확한 동의를 받도록 하고 있고요.

한국 개발자에게 주는 시사점

한국은 본인인증 문화가 유난히 강한 나라죠. 회원가입할 때 휴대폰 본인인증, 주민번호 수집, 최근엔 생체인증까지 정말 흔하게 씁니다. 그래서 이 이슈가 남 일이 아니에요.

혹시 여러분이 KYC(고객 신원확인)나 본인인증 기능을 만든다면, 몇 가지를 꼭 떠올려보면 좋겠어요. 첫째, '데이터 최소 수집' 원칙이에요. 정말 얼굴까지 받아야만 하는지, 더 약한 수단으론 안 되는지를 먼저 따져야 해요. 둘째, '대안 제공'이에요. 생체인증을 거부하는 사람에게도 다른 길(예: 상담사 통화, 서류 제출)을 열어둬야 진짜 동의가 성립해요. 셋째, 생체정보는 가능하면 원본을 저장하지 말고, 대조용 수치값만 다루거나 인증 직후 폐기하는 식으로 위험을 줄여야 해요.

편리한 인증을 붙이는 건 쉬워요. 근데 그 데이터가 유출됐을 때 책임지는 건 훨씬 어렵습니다.