자동입국 시스템에서 생체정보 없이 이용 가능한가?

디지털 시대의 공항은 빠르게 변하고 있다. 그 중심에는 자동입국 시스템이 있으며, 여권 스캔과 생체인식 기술을 활용해 빠르고 효율적인 입국 심사를 가능하게 만들고 있다. 특히 지문, 얼굴, 홍채 인식 등 생체정보 기반 인증 방식은 신속성과 보안성을 동시에 확보할 수 있다는 이유로 세계 각국의 공항에서 표준처럼 자리 잡았다. 그러나 이와 동시에 생체정보에 대한 개인정보 침해 우려, 정보 유출 가능성, 사용자의 동의권 문제가 사회적 이슈로 떠오르고 있다. 이로 인해 “생체정보 없이 자동입국 시스템을 이용할 수는 없을까?”라는 질문이 점점 더 자주 제기되고 있다.

 

생체정보는 한번 유출되면 되돌릴 수 없는 민감정보이기 때문에, 이를 기반으로 한 시스템이 사용자의 선택권 없이 강제된다면 기술의 효율성은 곧 개인의 권리 침해로 이어질 수 있다. 따라서 자동입국 시스템이 효율성과 보안만을 추구할 것이 아니라, 프라이버시를 존중하고 다양한 대체 인증 방식도 병행할 수 있는 구조로 발전해야 한다는 요구가 증가하고 있다.

이 글에서는 생체정보를 제공하지 않고도 자동입국 시스템을 이용할 수 있는 가능성에 대해 분석해본다. 국제적 사례, 현재 사용 중인 대체 기술, 법적·윤리적 관점, 그리고 실현 가능성까지 다양한 관점에서 살펴보며 “완전한 디지털 자동화”가 반드시 생체정보 기반이어야 하는가에 대한 본질적 물음을 제기해본다.

 

자동입국 시스템의 기본 구조와 생체정보의 역할

자동입국 시스템은 공항에서의 입국 절차를 자동화하기 위한 목적으로 설계된 시스템이다. 완전 기본적으로 이 시스템은 탑승객의 신원 확인, 입국 요건 충족 여부, 범죄·위험 요소 존재 여부 판단을 빠르게 수행해야 하며, 이때 가장 핵심적인 기능이 ‘본인 확인’이다. 생체정보는 이 본인 확인 과정에서 기계가 사람을 자동으로 식별하는 데 가장 정확하고 일관된 방법으로 사용된다.

가장 널리 사용되는 방식은 얼굴 인식(안면 인식)이다. 승객이 자동입국 게이트 앞에 서면, 시스템은 여권 정보와 카메라로 촬영된 얼굴 정보를 비교하여 동일 인물인지 판단한다. 일부 국가에서는 지문이나 홍채 정보를 병행하거나 선택적으로 수집하기도 한다. 이러한 생체정보는 사전에 등록되어 있거나 실시간으로 추출되어 비교되며, 국가별 정책에 따라 데이터는 일정 기간 보관되거나 즉시 삭제되기도 한다.

자동입국 시스템은 속도와 정확성이 생명이기 때문에, 생체정보 없이 신원 확인을 하려면 대체 기술이 필요하다. 예를 들어 여권 스캔만으로는 사진과 사용자의 얼굴을 육안으로 비교해야 하므로 자동화가 불가능하다. 이 때문에 생체정보는 현재까지 자동입국 시스템에서 핵심 인증 수단으로 사용되고 있으며, 대부분의 공항에서는 이를 필수 절차로 규정하고 있다.

하지만 기술적 측면에서는 생체정보가 아니어도 본인 확인이 가능한 다양한 대체 수단이 존재하며, 일부 국가에서는 생체정보를 사용하지 않는 선택적 자동입국 시스템을 시범 도입하거나 제한적으로 운영 중이다. 즉, 생체정보는 현재는 기본 구조의 중심이지만, 절대 불가피한 기술은 아니라는 점도 함께 이해해야 한다.

 

생체정보를 사용하지 않는 대체 인증 기술들

자동입국 시스템에서 생체정보 없이 신원을 확인하기 위해서는 다른 인증 수단이 필요하다. 현재 기술적으로 가능한 대체 인증 방식에는 다음과 같은 것들이 있다.

첫째, 디지털 여권 기반의 전자 인증(ePassport + PKI)이다. 디지털 여권에는 칩이 내장되어 있으며, 여기에 사용자의 신원 정보가 전자적으로 암호화되어 저장되어 있다. 이를 리더기에 접촉하면 여권 소지자의 정보가 안전하게 읽히고, 시스템은 위조 여부를 검증할 수 있다. 이 과정에서 생체정보를 굳이 사용하지 않아도, 암호화된 전자서명(PKI 기술)을 통해 높은 수준의 본인 인증이 가능하다.

둘째, 모바일 기반 디지털 신원 인증(Mobile ID, DID)이다. 유럽, 북미 일부 국가에서는 공항 입국 전에 탑승자가 스마트폰 앱을 통해 본인 인증을 사전에 완료하는 시스템이 도입되고 있다. 이때 사용되는 기술은 블록체인 기반 분산 신원 인증(DID)으로, 생체정보를 포함하지 않고도 본인 여부를 증명할 수 있다. 공항에서는 QR코드나 비접촉 NFC 태그를 통해 인증이 이루어진다.

셋째, 이중 패스코드 인증 + 사전 여행 정보(Advance Passenger Information System, APIS)이다. 여행자가 출국 전 항공사 및 정부에 개인 정보를 등록하고, 공항에서는 일회용 QR코드, OTP(일회성 비밀번호), PIN 코드 등을 통해 본인 인증을 하는 방식이다. 이 시스템은 생체정보를 사용하지 않기 때문에 프라이버시 보호 측면에서는 매우 유리하지만, 신원 위조 방지 측면에서는 한계가 있다.

현재 일부 국가에서는 생체정보 제공이 법적으로 강제되지 않는 경우, 이와 같은 대체 인증 방식을 부분적으로 허용하고 있다. 예를 들어 독일과 프랑스는 GDPR에 따라 생체정보 제공을 거부할 수 있는 권리를 인정하고 있으며, 이런 경우에는 수동 심사 또는 대체 절차로 입국이 가능하다. 결국 생체정보는 편의성을 높이는 수단이지만, 기술적으로는 반드시 필요한 요소는 아니라는 점이 점차 입증되고 있는 상황이다.

 

생체정보 제공 의무에 대한 국제 규정과 법적 판단

생체정보 제공을 자동입국 시스템에서 필수로 요구할 수 있는가에 대한 문제는 단순한 기술 문제가 아닌 법적·윤리적 논의의 대상이기도 하다.

국제민간항공기구(ICAO)는 자동입국 시스템에 사용되는 생체정보 기술을 권장사항으로 제시하고 있을 뿐, 의무사항으로 규정하지 않는다. ICAO의 가이드라인에 따르면, 자동입국 시스템은 각국의 법률, 개인정보보호 수준, 기술 인프라를 고려하여 자율적으로 생체정보 수집 여부를 결정하도록 되어 있다. 이는 각국이 사용자의 인권, 프라이버시, 자기결정권을 존중하는 범위 안에서 시스템을 운영해야 한다는 원칙을 반영한 것이다.

유럽연합(EU)은 GDPR을 통해 생체정보를 ‘민감정보’로 분류하고, 정보주체의 명시적 동의 없이 수집·이용할 수 없도록 제한하고 있다. 이에 따라 자동입국 시스템을 운영하는 EU 국가들은 생체정보 기반 시스템을 운영하더라도, 동의 거부권을 명확히 보장하고, 거부자의 경우에는 수동 심사나 대체 인증 절차를 제공해야 한다.

대한민국에서도 생체정보 수집은 「출입국관리법」, 「개인정보 보호법」에 따라 규율되며, 원칙적으로는 입국 시 생체정보를 제공해야 하지만, 공공 목적이 아닌 민간 서비스의 경우 동의 철회와 삭제 요청이 가능하다. 즉, 생체정보를 거부할 수 있는 법적 권리는 일정 부분 존재하며, 이를 명확히 고지하지 않을 경우 법적 분쟁이 발생할 여지도 있다.

결론적으로 생체정보는 자동입국 시스템의 핵심 기술로 자리 잡고 있지만, 국제 기준이나 국내 법령상으로는 절대적인 강제 수단이 아니며, 정보주체의 동의와 대체 수단 제공을 병행하는 시스템 설계가 권장되고 있는 추세이다. 앞으로 우리의 미래는 생체정보 없이도 자동화된 입국이 가능한 시스템을 준비하는 것이 기술적 진보뿐 아니라 사회적 신뢰를 얻는 데 있어 필수적인 전략이 될 것이다.

 

생체정보 없는 자동입국 시스템 도입의 과제와 가능성

생체정보 없이 자동입국 시스템을 이용할 수 있도록 하려면, 기술적 준비뿐 아니라 전반적으로 제도적, 사회적 기반도 함께 마련되어야 한다.

기술적으로는 앞서 소개한 디지털 ID, PKI 기반 인증, 모바일 기반 분산 신원 인증 등 다양한 수단이 현실화되고 있다. 다만 이들 기술은 아직까지 국제 표준화가 완전히 이루어지지 않았고, 국가 간 상호 인증 체계 부족, 보안성 평가 미비 등으로 인해 전면 적용이 쉽지 않은 상황이다.

제도적으로는 생체정보를 대체할 수 있는 인증 수단을 법률상으로 명시하고, 그에 따른 관리 책임, 보안 기준, 위변조 대응체계를 정립해야 한다. 예를 들어 모바일 기반 인증을 도입하려면 휴대폰 기기 분실 시 대응 방안, 인증 수단의 폐기 절차, 위조 위험 시 대처 매뉴얼이 함께 제도화되어야 한다.

무엇보다 중요한 것은 사용자 관점에서 ‘선택권’을 전제로 한 자동입국 시스템 설계가 필요하다는 점이다. 생체정보를 제공하고 자동게이트를 이용할지, 혹은 대체 인증으로 처리하고 수동 심사를 받을지 사용자가 스스로 선택할 수 있도록 하는 구조가 신뢰 기반 시스템의 출발점이다.

현재는 자동입국 시스템이 ‘편리함’이라는 이름으로 일방적으로 생체정보를 요구하는 방식이 일반적이지만, 앞으로는 “기술은 옵션이어야 하고, 선택은 사용자에게 있어야 한다”는 원칙이 자동화 시스템 설계의 중심이 되어야 한다.

국제 사회에서도 생체정보 수집을 ‘최소화 원칙’에 따라 운영하고 있으며, 민감정보를 반드시 수집해야만 하는 경우에는 목적의 명확성, 보관 기간 제한, 동의 철회 가능성이 함께 보장되어야 한다.

결론적으로 생체정보 없이도 자동입국 시스템을 이용할 수 있는 기술과 정책의 방향성은 존재하며, 향후에는 그 범위가 점점 확대될 것이다. 이 과정에서 기술 개발자, 정책 입안자, 사용자 모두가 함께 고민해야 할 부분은 단 하나다.
“나는 내 정보를 내가 통제할 수 있는가?”
이 질문에 ‘그렇다’고 답할 수 있는 자동입국 시스템이 진정한 미래형 공항 시스템이다.