사이버 범죄로 인한 전 세계 기업들의 피해액은 2015년에 3조 달러 수준이었으나 2025년에는 연 10조5000억 달러에 이를 것으로 예상된다. 미국 커머셜 보험회사 Embroker에 따르면, 사이버 범죄는 매년 15%씩 증가하고 있으며 이는 모든 비지니스 부문에 큰 위협이 되고 있다. 호주 사이버안보센터 Australian Cyber Security Centre가 발표한 보고서에 따르면 2021/2022 회계연도에 7만6000건의 사이버 범죄가 발생, 이는 전년대비 13% 증가한 수치로 호주에서 사이버범죄가 7분 간격으로 1건씩 발생한 것을 의미한다. 호주 범죄학연구소 Australian Institute of Criminology에서는 신원 범죄(identity crime)가 테러리즘과 심각한 조직 범죄로 이어질 경우 호주 경제에 연간 600억 호주 달러 이상의 손실이 발생할 수 있다고 경고했다. 2022년 이동통신사 옵터스(Optus)와 의료보험사 메디뱅크(Medibank)에 대한 사이버 공격으로 약 1800만 명의 호주인의 고객정보가 유출되는 사건이 일어난 이후 사이버 보안에 대한 경각심이 더욱 높아졌다.

호주의 신원정보 회복력을 위한 국가 전략

호주 정부는 지난 6월 23일 신원정보 회복력을 위한 국가 전략(National Strategy for Identity Resilience)을 발표하고 향후 온라인 상에서 신원 확인을 위해 안면 기반 생체 인식을 활용할 계획임을 언급했다. 또한 시민의 생체 인식 데이터를 안전하게 확보하고 개인 정보를 보호하겠다고 밝혔다. 동 국가 전략은 연방정부와 주정부 내 담당부서 장관이 참여한 Data and Digital Ministers Meeting을 통해 수립됐으며 ID 보안 및 보호를 강화하기 위한 공동 원칙과 단기, 중기, 장기 이니셔티브를 포함하고 있다. 데이터 유출 및 사이버 공격으로 인한 문제를 해결하는데 연방정부와 주정부 간의 협력을 위한10가지 공동 원칙(shared principles)을 정하고 국가적 노력이 중요함을 강조했다.

신원정보 회복력을 위한 10가지 공동 원칙

1) 연방, 주정부 디지털 ID 시스템으로 신원정보 회복력 지원(Seamless commonwealth, state and territory digital ID systems will support identity resilience)

디지털 ID는 온라인에서 신원을 증명하는데 사용할 수 있도록 안전한 신원 증명을 제공한다. 필요한 정보만 공개해 공개되는 정보의 양을 줄일 수 있어 여권 등 신분증의 모든 세부 정보를 공유할 필요가 없게 된다. 정부는 디지털 ID 시스템과 신원 증명 간의 상호 운용을 위해 협력, 어디서든 호주 시민이 서비스를 이용할 수 있도록 지원할 것이다.

호주 정부 산하기관 Digital Identity System은 Trusted Digital Identity Framework(TDIF)를 구축, Australian Taxation Office, Service Australia 등 디지털 ID 서비스를 제공하는 정부 부처의 경우 TDIF에 공인 인증을 신청할 수 있다. 또한 파일럿 인증 프로그램을 실시해 해당 프로그램이 정부 기관에서 기업으로 확장이 가능한지 테스트 중이다. Digital Identity System의 디지털 ID인증을 받은 기업으로는 Australia Post, OCR Labs, Mastercard, eftpos Digital Identity 등이 있다.

<Australia Post 의 Digital iD™ 서비스>

[자료: Australia Post]

2) 포괄적인 신원 증명(Identity needs to be inclusive)

호주 정부는 취약한 집단이 서비스를 이용할 수 있도록 지원하고 디지털 서비스나 신원 증명을 사용하지 않기로 선택한 모든 호주인을 포괄하고자 한다. 원주민을 비롯해 다양한 문화적 커뮤니티, 노인, 장애인의 경우 사이버 범죄에 노출될 위험이 높으며 이를 복구하는 방법을 찾는데 어려움을 겪을 수 있다. 호주 노년층의 경우 2021년 사기로 인한 손실이 가장 높은 것으로 보고됐으며 디지털 신원 증명 또는 기타 기술을 채택할 가능성이 낮은 상황이다. 이에 따라 호주 정부는 개인이 신원 관리 방법을 선택할 수 있도록 디지털 및 비디지털 옵션을 제공할 예정이다.

3) 개인, 산업, 정부의 역할(Individuals, industry and government have a role to play)

개인은 자신의 신원을 보호하는 방법을 알고 신원 도용 및 오용에 능동적으로 대응할 수 있는 역량을 갖춰야 한다. 산업과 정부는 신원 정보 오용을 예방하기 위한 교육, 안전한 사이버 행동, 지원 서비스를 적극 홍보함으로써 신원 정보 복원력을 강화할 수 있을 것이다.

4) 모든 관할지 내 일관된 국가 표준 적용 노력(All jurisdictions will work towards consistent high national standards)

개인은 발급 기관에 관계없이 안전하고 신뢰할 수 있는 신원 자격 증명을 보유해야 한다. 이를 위해 호주 정부는 유체물 및 디지털 신원 증명 발급에 대한 보다 강력하고 전국적으로 일관된 표준을 개발할 것이다. 또한 신원 인증 정보에 보안이 강화될 수 있도록 보안 조치를 취할 계획이다.

5) 동의된 생체 인식을 통한 신원 확인으로 복원력을 향상(Biometric establishment and verification of identity with consent can improve resilience)

호주 정부는 적절한 경우 개인의 동의 하에 생체 인식을 적용해 범죄자들이 신분증을 오용하지 못하도록 할 것이다. 개인 정보(이름, 생년월일, 운전면허 번호)로는 신원 도용 범죄로부터 호주 시민을 적절히 보호하지 못하며 데이터 침해에 노출될 수 있으며 암호를 잊어버리거나 도난 당할 위험이 높다. 이에 따라 호주 정부는 개인의 사생활을 보호하고 생체 인식의 사용과 관련된 데이터를 보호하기 위해 노력할 것이다.

2022년 호주 스타트업 OCR Labs의 원격 생체 인식 기술은 Trusted Digital Identity Framework(TDIF)로부터 최고 단계인 IP3(Identity Proofing Level 3) 인증을 받았다. 이는 원격 디지털 신원 확인 서비스가 제공할 수 있는 가장 강력한 수준의 신원 증명을 보장하며 사용자 인증을 위해 안면 인식이 필요하다. IP3는 호주 정부의 디지털 ID 서비스인 myGovID와 같은 등급이며 OCR Labs의 기술은 내장된 NFC 칩 스캔을 통해 사용자의 얼굴을 인식한 후 여권 사진과 비교한다. 2016년 이후 발급된 호주 여권에는 NFC 칩이 내장돼 있다.

<안면 인식 신원 확인 서비스>

[자료: OCR Labs]

6) 개인이 모든 관할지 내 기관 간에 정보를 편리하게 업데이트할 수 있도록 허용(All jurisdictions will allow an individual to update their information conveniently across agencies)

현재 호주는 이름을 변경하거나 이사를 하는 경우 신원 증명을 개별적으로 업데이트해야 하며 결과적으로 개인 정보기 정부 기관과 관할 구역에 따라 다를 수 있다. 이에 따라 신원 사기의 가능성이 증가하는 바, 호주 정부는 개인이 원할 경우 개인 신원 증명을 보다 편리한 방식으로 업데이트할 수 있도록 개선할 것이다.

7) 데이터 수집 및 저장 축소(Less data collection and retention)

여러 데이터 침해 사례를 통해 개인 정보의 대규모 신원 증명 복사본 저장의 위험성이 입증된 바 있으며 수집 및 저장 정보를 결정할 시 향후 데이터 침해 가능성을 고려해야 한다. 정부 기관과 기업은 디지털 ID, 디지털 신원 증명, 문서 확인 서비스(Document Verification Service) 등과 같은 정부 서비스를 통해 개인 정보 수집을 최소화해야 할 것이다. 정부는 기업과 정부 기관에서 데이터 수집 및 저장을 축소할 수 있도록 지원하고 이는 법 집행 및 규제와 관련된 합법적인 요구사항과 균형을 이루도록 제공한다.

8) 명확한 데이터 공유 방안 마련(Clear data-sharing arrangements)

대규모 사이버 범죄와 데이터 유출로 피해를 입은 개인을 지원하기 위해 정부는 데이터를 수집하고 공유할 수 있어야 한다. 호주 관련 피해자를 보다 효과적으로 보호하기 위해 데이터 공유 방안을 마련하기 위해 노력할 것이다.

9) 일관된 취소 및 재발급 절차(Consistent revocation and re-issuance)

호주 전역에서 신원 증명을 취소하고 재발급하는 절차가 일관되지 않고 다른 상황이다. 이로 인해 신원 범죄 피해자가 여러 연방정부, 주정부과 민간 부문에 도움을 요청해야 하는 경우 피해 회복이 더 어려워지고 있다. 호주 정부는 피해자의 부담을 줄이고자 유출된 신원 인증 정보를 복구하는 절차를 간소화하고 일관성을 유지하기 위해 지원할 것이다.

10) 명확한 책임과 의무(Clear accountability and liability)

데이터 유출, 사이버 공격, 기타 신원 범죄로 인해 유출된 신원 증명을 복구하는 데 드는 비용에 대한 책임과 적절한 조치가 명확해야 한다. 책임 소재가 명확하지 않을 시 데이터 유출에 대한 대응 조치가 지연된다. 이 경우 솔루션은 데이터가 유출된 개인에 대한 추가 피해를 최소화하는 것이다.

단기, 중기, 장기 이니셔티브 계획

1) 단기 이니셔티브(12개월 계획)

ㅇ 국가 신원 증명 가이드라인 업데이트

국가 신원 증명 가이드라인은 정부 및 민간 부문 조직을 대상으로 개인의 신원 증명에 관한 지침을 제공한다. 가이드라인은 디지털 및 비디지털 신원 증명 전반에 걸쳐 일관된 프로세스를 지원하기 위해 신뢰할 수 있는 디지털 신원 프레임워크에 맞춰 업데이트될 예정이다. 이를 통해 관할지 별로 신원 관리의 불일치 문제를 해결하고 데이터 수집 및 보존을 줄일 수 있다. 또한, 연방정부와 주정부의 디지털 ID 시스템 사용에 대한 신뢰를 구축하는 데 도움이 될 것이다.

ㅇ 신원 보안에 대응하기 위한 국가 차원의 일관된 접근 방식 마련

중대한 데이터 침해에 대한 신원 보안 대응 속도와 효율성을 높이기 위해 Centre of Excellence를 설립한다. 해당 센터는 연방정부 차원에서 신원 보안 관리를 지원하고 주정부 기관과 협력해 개인, 기업, 정부의 피해를 최소화하기 위한 단일 전문 기관으로 운영할 예정이다.

ㅇ 신원 정보 회복력 교육 및 인식 제고

교육과 인식 개선은 개인, 업계, 정부 기관의 신원 정보 회복력을 향상시키는데 도움이 될 수 있다. 현재 연방정부, 주정부 모두 다양한 교육 및 인식 제고 프로그램을 가지고 있으며 여기에는 호주 경쟁 및 소비자 위원회 Australian Competition and Consumer Commissio의 Scamwatch, NSW주정부에서 제공하는 ID Support NSW등이 포함된다. 국가 차원에서 일관성 있게 시스템을 개선하면 이러한 프로그램의 효과를 높일 수 있을 것이다.

2) 중기 이니셔티브(1~3년 계획)

ㅇ 신원 인증 보호 등록 시스템

신원 정보가 유출될 시 이를 복구하는데 오랜 시간이 소요되며 해당 기간 동안 범죄자는 계속해서 신원 증명을 오용할 가능성이 높다. 신원 정보 유출을 막기 위해 2022년 10월, 연방정부는 신원 인증 보호 등록(Credential Protection Register) 시스템을 구축하고 신원 매칭 서비스(Identity Matching Services)를 제공해 왔다. 중기적 이니셔티브를 통해 정부는 개인이 관련 정보를 잘 관리할 수 있도록 세부사항을 업데이트하고 신원 인증 보호 등록부를 개선할 계획이다.

ㅇ 휴대폰 신뢰 점수제 도입

호주에서 휴대폰 번호는 신원 인증에 필수적인 요소 중 하나이다. 반면 휴대폰 번호가 신원 도용 및 사기에 사용될 수 있어 '휴대폰 신뢰 점수제(Mobile phone trust score)' 시스템을 도입하고자 한다. 통신 사업자는 최근 심 교체, 휴대폰 요금제 사용 기간, 가상 개인 번호와 같은 위험 요소에 따라 휴대폰 번호에 대한 신뢰 점수를 부여할 수 있다. 신뢰 점수는 휴대폰 번호가 사기에 악용되는 것을 방지하는 데 도움이 될 것이다.

3) 장기 이니셔티브(3~5년 계획)

ㅇ 디지털 지갑을 통한 디지털 신원 증명 재발급

디지털 증명서는 신원 회복력을 위해 중요한 부분이다. 신원 증명의 디지털 버전은 유체물보다 더 저렴하고 빠르게 재발급될 수 있다. 디지털 신원 증명을 위한 표준 개발이 필요하며 이는 데이터의 일관성, 사용자 경험, 상호운용성을 보장하는 동시에 선택권과 개인정보 보호를 유지하는데 도움이 된다. 동 이니셔티브를 통해 사기 범죄를 줄이고 고객 경험을 개선하는 동시에 기술적, 법적 차이를 해결하기 위한 방법을 모색하고자 한다. 또한 향후 디지털 신원 증명 프로젝트에 정보를 제공, 디지털 지갑 출시를 위한 밑거름이 될 것으로 기대하고 있다.

ㅇ 신원 정부 복구 노력

개인은 자신의 신원을 완전하고 신속하게 복구하기 위해 정부 기관과 협력해야 한다. 여기에는 온라인 계정에 대한 통제권 회복, 신원 증명 해지 및 재발급, 유출된 증명 보호 조치 등이 포함된다. 일부 주에서는 종합적인 지원 서비스를 구축했다. 해당 이니셔티브를 통해 개인의 경험을 개선하는 동시에 추가적인 피해를 줄이고 신속한 신원 회복이 가능하도록 지원할 것이다.

ㅇ 안전하고 통일된 신원 정보 기록 관리

출생증명서, 해외 출생 호주인의 이민 기록과 같은 신원 기록의 경우 여러 기관에서 발급되어 다른 관할지에서 개명 등의 신원 정보 변경이 있을 시 연결되지 않는다는 문제가 있다. 이에 따라 호주 정부는 업데이트된 신원 기록 시작을 제공하기 위해 관련 기관과 협력할 수 있는 방법을 모색할 계획이다.

시사점 및 전망

호주는 코로나 대유행 이후 디지털 경제가 크게 성장했으며 이에 따라 신원 확인 방식도 빠르게 변화했다. 대면이 아닌 온라인으로 신원을 확인하는 것이 일반화되고 있으며 동시에 범죄자들이 신원 정보를 도용 및 오용하는 사례가 증가하는 추세이다. 신원 범죄는 또 다른 신원 범죄와 사이버 범죄에 이용돼 악순환이 발생할 수 있어 정부차원에서 개인 정보를 안전하게 보호하는 시스템을 구축하기 위해 투자를 확대하고 있다.

이번 신원 정보 회복력 국가 전략에서 언급한 바와 같이 개인 정보 보호를 위한 생체 인증 도입이 더욱 확대될 것으로 전망되며 디지털 ID 및 관련 안면 인식 서비스에 대한 수요가 증가할 것으로 보인다. 관련 국내기업에서는 디지털전환이 급속도로 이루어지고 있는 호주에 지속적인 관심을 가지고 법인 설립, 합작투자, 현지 파트너사 등을 통해 현지 시장 진출 전략을 세워볼 수 있을 것이다.

자료: Australian Digital Health Agency, Australian Cyber Security Centre, Biometric Update, KOTRA 멜버른 무역관 자료종합