미국 트럼프 대통령은 지난 3월 6일, 2021년까지 미국의 톱 20개 공항에서 얼굴 인증 시스템을 도입할 것이라는 대통령령을 발표했다. 모든 국제선 승객이 대상이되고, 미국 시민도 포함된다. 얼굴 인증 시스템을 도입하는 목적은, "미국에 입국하는 외국인에 대한 테러 행위로부터 국가를 보호하기위해"라고 한다.
그러나, 버즈피드에 따르면, 미국 국토 안보부는 얼굴 인증 시스템의 도입을 서두른 나머지, 시스템의 감시와 규제면의 안전 조치가 소홀하게되고 있다고 한다. 개인 정보 보호 지지자들은, 국토 안보부의 노력은 법에 어긋난다고 반발하고 있다.
버즈 피드는, "전자 프라이버시 정보 센터(Electronic Privacy Information Center)"로부터 프로젝트에 대한 346 페이지의 자료를 입수했다. 세관 및 국경 보안청이 "생체 인식 출입국 관리 시스템"을 구축 할 경우, 주당 1만 6300편의 승객에 얼굴 인증을 실시하게 된다.
자료에 따르면, 제휴 항공사가 얼굴 인증 시스템의 데이터를 사용하는데 제한은 아무것도 설치되어 있지 않다고 한다. 세관 및 국경 보안청 대변인은, 버즈 피드에 대해 다음과 같이 말하고 있다.
"우리는 안전 문제를 해결하면서, 여행객의 편리성 향상에 노력하고 있다. 공항 및 항공사와 제휴하여, 신뢰성이 높고, 빠르게 움직이는 독립형 시스템을 제공 할 수있다"
혁신과 편리성 향상은, 대부분의 경우 안전을 희생하여 달성되는 것이 많았고, 이번은 그 전형적인 사례가 될 수있다. 본래 세관 및 국경 보안청은 생체 인증 시스템의 도입에 앞서 국민의 의견을 청취 할 필요가 있지만, 버즈 피드가 입수 한 자료에 따르면, 이번에는 이루어지고 있지 않다고 한다.
■ 오작동으로 "범죄자"라고 판정 될 가능성도
여기서 문제가 되는것은, 먼저, 얼굴 인식 기술의 정확도에 문제가 있고, 대량의 여행객을 대상으로 사용하는 수준에 도달하지 않았을 가능성이다. One Identity의 디렉터인 Patrick Hunter 씨에 따르면, 얼굴 인증 시스템은 오작동이 많고, "승객이 실수로 범죄자라고 명시되어 버릴 위험이 있다"고 지적한다.
개인 정보 보호도 큰 문제다, 지난달 중국에서 얼굴 인증 시스템을 다루는 기업의 데이터베이스에서, 250만명 분의 데이터가 손상된 것으로 밝혀졌다. "협력 기업이 국제법을 범하지않았는지, 누가 확인하는지 등 생체 인식 데이터베이스는 사용자 이름과 암호보다 훨씬 가치있는 정보를 포함하고 있으며, 정교한 신원 도용에 사용되고 있다"고 Hunter 씨는 말한다.
AMTrustEurope에서 보안 책임자로 있는 Ian Thornton-Trump는, 시스템을 시작하기 위해서는 2가지 규칙에 따라야한다고 지적한다. "보호 할 수없는 데이터는 수집할 수없다. 데이터를 수집해야만 한다면 필요한 최소한의 정보를 수집한다"
"보안을 설계 할 최적의 방법이며, 강력한 암호화를 우선 도입해야 한다. 생체 인증 결과, 승객이 탑승 거부 목록과 일치하지 않으면, 그 사람의 데이터를 저장할 필요는 없다. 데이터베이스에서 삭제해도, 대부분의 나라는 도착과 출발의 기록을 남기고 있기 때문이다"라고 Thornton-Trump는 말한다.
세관 및 국경 보안청은 이번 사업에 대해 "개인 정보 영향 평가를 실시하여 강력한 보안 안전 장치를 포함시킨다"라고 하고있다. 또한 국경 보안청은 개인 식별 정보의 취득을 제한한다고 한다.
그러나, 미국에서는 얼굴 인증을 단속하는 법률이 존재하지 않기 때문에 이러한 시스템이 데이터를 남용하는 것은 현실적으로 가능하다. 얼굴 인증 시스템을 도입하는 항공사는 델타 항공, 제트 블루 항공, 영국 항공, 루프트 한자 항공, 아메리칸 항공 등이다.
EU는 GDPR(일반 데이터 보호 규칙)을 업데이트하고, 생체 정보는 "개인 정보"로 보호 할 것을 명기하고 있다. Outpost24의 CSO, Martin Jartelius 씨에 따르면, 영국에서는 얼굴 인증은 e 여권의 셀프 서비스 레인 외에도 유럽의 지하철역 일부에서 이미 도입되어 있다고 한다.
그러나 이번과 같은 거대한 프로젝트가 다른 것에 미치는 영향은 크기 때문에 성급하게 추진해서는 안 될 것이다. "걱정스러운 것은 시스템 설계 및 보안, 신뢰성이 부족한 상태에서 도입을 서두르고 있다는 점이다. 법적으로 불명료 한 점을 남긴채 진행하는 것은 무책임하다. 이같은 프로젝트를 무조건적으로 진행하면, 정확하고 안전한 도입을 방해하는 결과가 될 것"이라고 Jartelius 씨는 경종을 울리고 있다.