본인 확인 강화로 범죄 가능성 차단
생체 정보 유출 위험, 재발급 불가능
신분증 중심 인증 체계 한계 뚜렷

휴대전화 개통 과정에 ‘안면 인증’ 단계가 추가되면서 명의도용과 보이스 피싱을 차단하려는 정책 변화 또한 본격화됐다. 정부는 위조 신분증을 활용해 휴대전화를 개통하던 범죄 조직의 움직임을 차단해 범죄의 출발점을 끊겠다는 취지를 분명히 했다. 통신 인프라를 범죄에 활용하던 경로에 제동이 걸린 가운데, 소비자 사이에선 개인의 생체 정보를 둘러싼 해킹 위험성과 그에 따른 책임 문제를 둘러싼 공방 또한 치열해지는 양상이다. 

보이스 피싱 피해 규모 1조원 돌파

23일 과학기술정보통신부에 따르면 이날부터 43개 알뜰폰사의 비대면 채널 64개 및 이통3사 대면 채널에서 휴대폰을 개통할 땐 신분증 사진과 실시간으로 대조하는 안면 인증을 거쳐야 한다. 안면 인증 시스템은 이동통신 3사가 운영하는 ‘패스(PASS)’ 애플리케이션(앱)을 활용해 신분증의 얼굴 사진과 신분증 소지자가 동일한 사람인지 여부를 확인하는 방식으로 이뤄진다. 인증에 사용된 생체 정보 등은 별도 보관하거나 저장하지 않으며, 이용자의 접근성 및 활용도를 고려해 패스 앱에 가입하지 않아도 이용이 가능하다는 설명이다.

3개월의 시범 운영을 거져 내년 3월 23일 모든 통신사에 적용되는 해당 제도는 보이스 피싱 등 금융사기 범죄에 악용돼 온 대포폰을 차단하려는 목적에서 추진됐다. 그간 대부분 보이스 피싱 조직은 타인의 명의를 도용하거나 위조 신분증을 활용해 개통한 휴대전화를 범죄 중계 수단으로 활용해 왔는데, 개통 단계에서 실제 얼굴과 신분증 사진을 대조하는 절차가 추가되면 이러한 방식 자체가 상당 부분 차단될 수 있다는 판단이다. 과기정통부와 통신업계는 대포폰이 범죄 실행의 출발점 역할을 해왔다는 점에서 개통 절차를 강화하는 것이 보이스 피싱 대응의 핵심 고리라고 봤다. 

보이스 피싱 피해 규모는 해마다 빠르게 늘어나는 추세다. 올해 1월부터 11월까지 집계된 보이스 피싱 피해 건수는 2만1,588건으로, 피해 규모는 1조1,330억원에 달했다. 연간 보이스 피싱 피해액이 1조원을 넘어선 것은 올해가 처음이다. 그간 정부는 범죄에 연루된 계좌 지급정지와 휴대폰 통신 차단, 사후 추적 등 대응 수단이 반복적으로 내놨지만, 범죄 조직이 새로운 대포폰을 비교적 손쉽게 확보하는 상황에서는 피해 확산을 근본적으로 막는 데는 역부족이었다. 이 때문에 안면 인증 시스템 도입은 범죄에 필요한 통신 수단 확보 단계 자체를 봉쇄하려는 시도로 평가된다.

이번 조치는 시범 운영을 통해 제도 안착 여부를 점검한 뒤 전면 적용으로 넘어가는 방식으로 설계됐다. 시범 기간 동안에는 안면 인증에 실패하더라도 예외적으로 개통을 허용하고, 실패 사례를 정밀 분석해 인식 정확도를 높이겠다는 방침이다. 적용 대상은 주민등록증과 운전면허증을 이용한 신규 개통·번호이동·기기변경·명의변경이며, 향후 국가보훈증이나 장애인등록증, 외국인등록증 등으로 신분증 범위를 확대한다는 구상이다. 제도 도입 초기에는 현장 혼선을 최소화하는 데 초점을 맞추되, 장기적으로는 대포폰 생성 경로를 원천적으로 차단하려는 의도로 읽힌다. 

정부는 안면 인증 시스템의 도입으로 타인의 신분증을 절취·위조하거나 명의를 도용해 개통하는 방식의 대포폰 생성이 이전보다 현저히 줄어들 것으로 기대하고 있다. 해킹이나 유출 사고로 확보한 개인정보만으로 휴대전화를 개통하던 수법 역시 실제 얼굴 확인이라는 추가 절차 앞에서 제약을 받을 수밖에 없을 것이란 설명이다. 최우혁 과기정통부 네트워크정책실장은 “대포폰 근절이 피싱, 스미싱 등 디지털 민생범죄 예방의 첫걸음인 만큼 안면 인증 도입 초기에는 일부 번거로움이 있을 수 있다”며 “이용자 불편을 최소화하는 선에서 모든 이통사가 적극적으로 협력해 달라”고 당부했다. 

사고 발생 시 책임 주체 불명확

다만 소비자 사이에선 일부 반발이 감지된다. 제도의 취지 자체는 높이 사지만, 해킹 등 사고 발생 시 책임 소재가 명확하지 않다는 이유에서다. 온라인 커뮤니티를 중심으로는 “내 얼굴 정보까지 해킹당해 딥페이크 범죄에 악용되는 것 아니냐”는 반응도 심심찮게 포착된다. 안면 인증 과정에서 촬영되는 얼굴 이미지가 실제로 어디까지 활용되고, 어떤 방식으로 처리되는지 외부에서 확인하기 어렵다는 지적이다. 특히 이 같은 위험이 현실화 했을 때 후속 대응에 대해서는 충분한 설명이 없다는 점이 소비자들의 우려를 키운다. 

통신업계는 안면 인증에 사용된 생체 정보는 저장되지 않는다는 점을 강조했다. 한 업계 관계자는 “촬영된 데이터는 고객 스마트폰 단말기에서만 처리되고, 서버에는 일치 여부를 나타내는 결과값만 전달된다”며 “촬영 이미지는 파일 형태 등오로 저장되지 않고 즉시 삭제되도록 설계됐다”고 말했다. 하지만 소비자들의 불안은 쉽게 가라앉지 않는 모습이다. 정부 서버나 공공 시스템 역시 해킹 위험에서 자유롭지 않았던 사례가 다수 존재하는 만큼 안면 인증만 예외로 안전하다고 보기는 어렵다는 시각이다. 

더 큰 문제는 안면정보는 여타 개인 정보와 달리 유출 시 대체 수단이 없다는 사실이다. 주민등록번호나 비밀번호, 주소 등과 달리 얼굴 정보는 변경이나 재발급이 불가능하다. 미국 회계감사원(GAO) 역시 2020년 보고서에서 “인간의 얼굴은 개개인별로 고유하며 영구적이고 비가역적이기 때문에 안면 데이터 유출은 다른 개인정보보다 훨씬 심각한 결과를 초래할 수 있다”고 지적한 바 있다. 한 번 외부로 유출될 경우, 개인의 생애 전반에 걸쳐 영향을 미칠 수 있다는 점에서 이용자들이 느끼는 심리적 부담은 클 수밖에 없다. 

정치권과 전문가 집단에서도 우려의 목소리가 주를 이룬다. 조용술 국민의힘 대변인은 “범죄를 목적으로 한 이들에게 안면 인식은 넘지 못할 장벽이 아니다”라며 “범죄에 악용하려면 안면 인식까지 거친 대포폰을 개통하면 그만”이라고 짚었다. 장항배 중앙대 산업보안학과 교수 또한 “안면 인식은 오류율 문제와 개인정보 유출 불안이 동시에 존재한다”면서 “충분한 시간과 검증 없이 의무화가 추진될 경우, 거센 반발과 부작용은 불가피하다”고 비판했다. 일각에선 과도한 불안이라는 반론도 제기되지만, 생체정보가 제도적으로 굳어지는 순간 책임과 보상 기준을 보다 명확히 해야 한다는 요구는 쉽게 사그라들지 않는 분위기다.

금융·신원·통신 흡수한 스마트폰 보안 부담

대포폰과 명의 도용을 둘러싼 문제의 출발점을 되짚어보면, 위조 가능한 신분증과 스마트폰 중심 환경이 맞물린 기존 개통 방식의 한계가 먼저 드러난다. 그간 휴대전화 개통 절차는 신분증에 기재된 문자 정보, 즉 이름과 주민등록번호를 확인하는 방식에 의존해 왔다. 이러한 방식은 행정 시스템이 종이 신분증을 중심으로 이뤄지던 시기의 기준에 머물러 있었고, 스마트폰이 금융·통신·신원 인증을 수행하게 된 이후에도 근본적인 변화 없이 유지됐다. 그 결과 신분증 위·변조나 명의 대여를 통한 휴대전화 개통이 난무했고, 이는 다시 보이스피싱 등 범죄의 출발점이 됐다. 

이 같은 문제점을 최소화하기 위해 정부는 휴대전화 개통 시 본인 확인을 강화하는 조치를 이미 추진 중이다. 지난 3월 시행된 신분증 사진 진위 여부 확인 서비스가 대표적이다. 이는 행정안전부와 경찰청이 보유한 사진 데이터와 대조해 위조 신분증을 판별하는 방식으로, 주민등록증과 운전면허증이 적용 대상이다. 신분증이 훼손돼 확인이 어려운 경우에는 재발급이나 대체 신분증 제출을 요구하도록 했고, 향후 외국인등록증 등으로 범위를 넓히겠다는 계획도 함께 제시됐다. 문자 정보 확인만으로는 막기 어려웠던 위조 신분증 기반 대포폰 개통을 차단하겠다는 취지다.

그러나 신분증 사진 진위 확인 강화만으로는 문제를 완전히 해소하기 어렵다는 한계도 드러났다. 보이스 피싱 범죄의 무대가 스마트폰 단말기 내부로 깊숙이 들어온 탓이다. 실제로 LG유플러스의 악성 앱 서버 추적에서는 단말기가 악성 앱에 감염될 경우, 휴대전화 화면이 꺼진 상태에서도 카메라와 마이크를 통해 영상·음성이 실시간으로 수집되는 것으로 파악됐다. 올해 2분기 경찰에 접수된 보이스 피싱 사건 중 약 23%가 이와 같은 서버 추적을 통해 자행됐다는 설명이다. 심지어 발신번호를 ‘112’로 위장하거나 통화 경로를 조작하는 사례 등도 확인됐다. 

이처럼 대포폰과 명의도용을 둘러싼 문제가 ‘누가 개통했는가’를 넘어 ‘개통된 단말기가 어떻게 이용되는가’라는 단계로 확장되면서 통신사들의 움직임도 분주해졌다. LG유플러스는 향후 5년간 정보보호 분야에 7,000억원을 투자할 계획이라며 “모니터링 단계에서 인공지능(AI) 기반 분석 시스템으로 위협을 탐지하고, 범행 대응 단계에서는 악성 앱 설치가 확인된 고객에게 즉각 알림을 보내는 방안을 추진 중”이라고 밝혔다. KT 역시 국립과학수사연구원이 제공한 보이스 피싱 범죄자 실제 신고 음성 데이터를 활용해 ‘화자인식’과 ‘딥보이스 탐지’를 결합한 AI 보이스 피싱 탐지 서비스를 상용화해 통화 과정과 단말 사용 단계에서 위험 신호를 포착해 피해를 줄인다는 구상이다.