참고사진 = 비디오머그 유튜브

오는 23일부터 휴대폰을 개통할 때 안면인증 절차를 거쳐야 한다. 보이스피싱 등 금융사기에 악용되는 이른바 '대포폰'을 차단하기 위한 정부의 강력한 조치다. 하지만 개인정보 침해 우려와 실효성 논란이 맞물리며 정치권과 시민사회를 중심으로 거센 반발이 일고 있다.

과학기술정보통신부는 19일 이동통신 3사(SK텔레콤·KT·LG유플러스)와 알뜰폰 사업자의 휴대전화 개통 절차에 안면인증을 추가한다고 밝혔다. 현재는 신분증 진위 확인만으로 개통이 가능하지만, 앞으로는 신분증 사진과 실제 얼굴을 실시간으로 대조하는 생체인증 과정을 거쳐야 한다.

정부가 이처럼 강력한 조치를 취한 배경에는 급증하는 보이스피싱 피해가 있다. 2025년 11월까지 집계된 보이스피싱 피해액은 1조 1,330억 원으로 사상 처음 1조 원을 돌파했다. 피해 건수는 2만 1,588건에 달한다. 대포폰이 이러한 범죄의 핵심 수단으로 악용되고 있다는 점에서, 개통 단계에서의 관리 강화가 시급하다는 판단이다.

특히 문제가 되는 것은 알뜰폰이다. 경찰청에 따르면 2024년 적발된 대포폰 9만 7,399건 중 알뜰폰이 8만 9,927건(92.3%)을 차지했다. 알뜰폰의 온라인 비대면 개통 절차가 상대적으로 허술하여, 신분증 사진만 업로드하면 되는 구조가 범죄자들에게 악용되고 있다는 분석이다.

이번 조치는 23일부터 통신 3사의 대면 채널과 43개 알뜰폰 사업자의 비대면 채널에서 시범 운영되며, 2026년 3월 23일부터 전면 시행된다. 시범 기간 동안에는 인증 실패 시에도 예외적으로 개통을 허용하고, 현장 안내를 강화할 방침이다.

하지만 이번 조치에 대한 정치권의 반응은 싸늘하다. 국민의힘 조용술 대변인은 21일 논평을 통해 "범죄를 목적으로 한 이들에게 안면인식은 넘지 못할 장벽이 아니다. 범죄에 악용하려면 안면인식까지 거친 대포폰을 개통하면 그만"이라며 "빈대를 잡겠다며 초가삼간을 태우는 발상"이라고 강하게 비판했다.

조 대변인은 "더 큰 문제는 국가와 민간의 보안 역량에 대한 국민적 신뢰가 충분하지 않다는 점"이라며 "그런데도 정부는 안면인식이라는 민감한 생체정보 수집을 강행하고 있다. 이후 범죄단체나 적대 국가에 노출되는 사태가 벌어진다면, 그 피해는 상상하기조차 어려울 것"이라고 우려를 표했다.

주진우 의원도 같은 날 페이스북에 "개별 동의 없이 국민의 초상권을 함부로 침범해서는 안 된다"며 "해킹으로 개인정보 털리는 통신사들을 어떻게 믿고 얼굴 정보를 제공하느냐"고 비판했다. 그는 "외국인등록증으로 휴대전화 개설 시에는 아무 규제도 받지 않는다"며 "보이스피싱은 중국인 범죄 조직이 주로 관여되는데 우리 국민만 얼굴 인증을 의무화하란 말이냐"고 반문했다.

나경원 의원은 "결과값만 남긴다고 해킹 위협이 사라지느냐"며 "앱을 통해 촬영하고 전송하는 그 찰나의 과정, 일치 여부를 판별하는 알고리즘 자체가 보안의 취약점이 될 수 있다"고 지적했다. 그는 "비밀번호는 털리면 바꿀 수 있지만, 유출된 내 얼굴은 어쩔 셈인가? 해킹당하면 얼굴을 갈아엎는 성형수술이라도 하라는 뜻인가"라며 강도 높게 비판했다.

현장의 목소리도 정부 대책의 실효성에 의문을 제기하고 있다. 대포폰의 주된 발생 채널은 알뜰폰의 온라인 및 비대면 개통 방식이라는 점에는 모두 공감한다. 알뜰폰 자사 홈페이지, 온라인 유심 개통, 택배 유심과 비대면 본인확인, 중고폰과 온라인 번호 개통 등이 대표적이다.

이러한 온라인 개통은 신분증 사진 업로드 위주라 영상통화나 안면 대조가 없고, 대량 개통 자동화가 쉬워 사기범에게 유리하다는 분석이 지배적이다. 그런데 정부의 안면인증 의무화가 왜 온라인 개통에만 집중되지 않고 대면 개통을 포함한 전반적인 개통 절차에 적용되는지 납득하기 어렵다는 비판이 제기된다.

한 통신업계 관계자는 "대면 개통의 경우 이미 직원이 신분증과 본인을 확인하는 절차가 있는데, 여기에 안면인증까지 추가하는 것은 과도한 조치"라며 "정작 문제가 되는 온라인 비대면 개통 경로에 대한 실질적인 추가 인증 방안이 미흡하다"고 지적했다.

실제로 우정사업본부는 지난 4월 알뜰폰 온라인 개통 업무를 잠정 중단한 바 있다. 알뜰폰 사업자의 본인 인증 시스템을 범죄조직이 우회하는 사례가 발생했기 때문이다. 이는 온라인 개통 시스템의 근본적인 보안 취약점을 드러낸 사례로, 안면인증만으로는 이러한 문제를 해결하기 어렵다는 주장에 힘을 실어준다.

안면인증의 보안 취약성에 대한 우려도 크다. 글로벌 IT 리서치·컨설팅사 가트너는 "2026년에는 안면인식 솔루션을 겨냥한 딥페이크 공격 때문에 기업 30%가 신원확인·인증 솔루션을 더 이상 단독으로 신뢰할 수 없게 될 것"이라고 전망했다.

AI 기술 발전에 따라 인증 대상자의 실제 얼굴과 딥페이크를 구분하기 어려워지고 있다는 것이다. 현재 얼굴 생체인식을 이용한 신원 확인 및 인증 프로세스는 PAD(프레젠테이션공격탐지) 기술을 활용하고 있지만, 이 기술만으로는 최신 생성형 AI 기반의 딥페이크를 이용한 디지털 인젝션 공격을 구분해내지 못한다는 지적이다.

실제로 지난해 딥페이크 인젝션 공격은 전년 대비 200% 증가했다. 온피도(Onfido)는 딥페이크 공격이 3,000% 증가했다고 밝혔으며, 홍콩에서는 AI 딥페이크 비디오 피드를 삽입해 한 기업으로부터 2,500만 달러를 가로챈 사례도 발생했다.

참고사진 = 나경원의원 SNS

보안 전문가들은 "안면인식 시스템은 얼굴 이미지의 일치 여부는 확인하지만, 라이브 상태의 얼굴 이미지와 그렇지 않은 이미지를 구별해내는 기능이 부족하다"며 "딥페이크 동영상, 가면, 정교한 3D 마스크 등을 통해 시스템을 무력화하려는 시도가 증가하고 있다"고 경고한다.

정부는 PASS 앱을 통해 실시간 안면인증을 실시하고, 촬영된 얼굴 사진 등 생체정보는 별도로 저장하지 않으며 일치·불일치 결과값만 관리한다고 설명한다. 하지만 전문가들은 "촬영·전송·판별 과정 자체가 보안 취약점이 될 수 있다"며 "딥페이크 탐지를 위한 IAD(인젝션공격탐지) 및 이미지 검사 기술이 함께 적용되지 않으면 실효성이 떨어진다"고 지적한다.

또 다른 논란은 외국인에 대한 예외 조치다. 현재 안면인증 대상은 주민등록증과 운전면허증을 사용하는 신규 개통, 번호 이동, 기기 변경, 명의 변경으로 한정된다. 외국인등록증으로 개통하는 경우는 내년 하반기에야 적용이 확대될 예정이다.

주진우 의원은 "보이스피싱은 중국인 범죄 조직이 주로 관여되는데, 정작 외국인등록증으로 휴대전화를 개설할 때는 아무 규제도 받지 않는다"며 "우리 국민만 생체정보를 강제로 제공해야 하는 이유가 무엇인가"라고 반문했다.

나경원 의원도 "보이스피싱과 대포폰의 온상은 외국인 명의 도용이나 조직적 범죄"라며 "결국 범죄자들은 유유히 빠져나가고, 애꿎은 우리 국민만 번거로운 인증 절차에 시달린다"고 비판했다.

실제로 보이스피싱 조직은 대부분 해외에 거점을 두고 있으며, 국내에서는 인출책이나 대포폰 개통책 등을 모집하는 구조다. 외국인 명의 대포폰이나 불법 체류자의 신분증을 이용한 개통이 빈번하게 발생하는 상황에서, 내국인만을 대상으로 한 안면인증이 실질적인 효과를 거둘 수 있을지 의문이라는 지적이다.

이러한 논란 속에 국민청원도 등장했다. 청원인들은 "휴대전화는 현대 사회에서 사실상 필수적인 생활 인프라인데, 이를 이용하기 위해 얼굴 정보와 같은 민감한 생체정보를 제공하지 않으면 개통이 불가능하도록 하는 것은 실질적인 강제"라고 주장한다.

청원 내용에 따르면, 얼굴 정보는 「개인정보보호법」상 민감정보에 해당하며 한 번 유출될 경우 변경이나 회수가 불가능한 정보다. 그럼에도 통신 서비스 이용을 위해 생체정보 제공을 사실상 의무화하는 것은 최소수집 원칙과 비례성 원칙에 반한다는 것이다.

청원인들은 또한 "안면인식 기술은 고령자, 장애인, 외국인, 디지털 취약계층에게 불리하게 작용할 수 있으며, 기술 오류나 인증 실패 시 정당한 서비스 접근을 차단하는 차별 문제로 이어질 가능성이 있다"고 우려를 표했다.

특히 "보이스피싱·명의도용 방지라는 목적은 형식적인 것에 불과하며, 가장 침해적인 수단인 생체정보 강제 수집을 택하는 것이 헌법상 기본권 제한의 원칙에 부합하는지 신중한 재검토가 필요하다"며 ▲안면인증 의무화 추진 중단 ▲생체정보 인증은 선택사항으로 규정 ▲생체정보를 대체할 수 있는 덜 침해적인 인증 수단 우선 도입 ▲제도 도입 전 국민 대상 충분한 공론화와 영향 평가 실시를 요구했다.

온라인 커뮤니티와 SNS에서도 찬반 논란이 뜨겁다.

찬성 측은 "보이스피싱 피해가 1조 원을 넘었는데, 강력한 조치가 필요한 시점", "대포폰 때문에 피해 보는 사람들이 많은데 조금 불편해도 감수해야 한다", "선진국들도 생체인증을 활용하는 추세 아닌가"라며 정부 조치를 지지한다.

반면 반대 측은 "통신사들 개인정보 유출 전력이 한두 번이 아닌데 얼굴 정보까지 믿고 맡기라고?", "딥페이크로 안면인증도 뚫린다는데 무슨 소용이냐", "외국인은 예외고 국민만 강제하는 게 말이 되나", "해킹되면 비밀번호는 바꾸지, 얼굴은 어떻게 바꿔?"라며 강하게 반발한다.

특히 젊은 세대를 중심으로 "또 국민을 잠재적 범죄자 취급하는 거냐", "불편함은 국민이 감수하고 책임은 통신사가 안 지는 구조", "진짜 문제는 온라인 개통 시스템인데 엉뚱한 데 칼 빼는 느낌"이라는 냉소적인 반응도 많다.

일부는 "안면인증 자체는 나쁘지 않은데, 선택권을 주지 않고 강제하는 게 문제", "최소한 대체 인증 수단은 있어야 하는 거 아닌가", "국민 의견 수렴 과정도 없이 일방적으로 밀어붙이는 게 불쾌하다"며 절차적 정당성 문제를 지적하기도 했다.

최우혁 과기정통부 네트워크정책실장은 "대포폰 근절이 피싱·스미싱 등 디지털 민생범죄 예방의 첫걸음인 만큼, 안면인증 도입 초기에 일부 어려움이 있더라도 이용자 불편을 최소화하는 선에서 모든 이통사가 안면인증을 조기 도입하는 등 적극적인 협력을 당부한다"고 밝혔다.

그는 "이용자 입장에서도 개통 절차가 늘어 번거로움이 있을 수 있지만, 범죄 악용 가능성을 적극 차단하는 공익적 목적이라는 점을 이해해 달라"고 당부했다.

정부는 안면인증 외에도 ▲개통 과정에서 대포폰의 불법성과 범죄 연루 위험성 고지 의무 부여 ▲대리점·판매점의 부정 개통에 대한 이통사의 관리 감독 책임 강화 ▲관리 의무 소홀 시 영업정지·등록취소 등 강력한 제재 적용 등의 제도 개선도 함께 추진한다.

부정 개통에 대한 이통사 관리 의무와 제재 강화를 담은 전기통신사업법 개정안은 지난 3일 국회 법제사법위원회를 통과했으며, 현재 본회의 처리를 앞두고 있다.

보안 전문가들은 안면인증 도입의 취지에는 공감하면서도, 효과와 부작용을 면밀히 검증하는 보완책이 필요하다고 입을 모은다.

한 보안 전문가는 "대포폰 차단이라는 정책 목표와 개인정보 보호라는 가치 사이에서 균형을 맞추는 것이 중요하다"며 "안면인증을 도입하더라도 딥페이크 탐지 기술, 다중 인증 체계, 그리고 선택적 대체 수단을 함께 마련해야 한다"고 조언했다.

또 다른 전문가는 "생체정보는 유출 시 돌이킬 수 없다는 점에서 일반 개인정보보다 훨씬 신중하게 다뤄져야 한다"며 "결과값만 저장한다고 해도 전송·처리 과정에서의 보안 취약점, 해킹 가능성, 그리고 무엇보다 통신사의 정보보호 역량에 대한 국민적 신뢰가 선행되어야 한다"고 강조했다.

개인정보 보호 전문가는 "현대 사회에서 휴대폰은 필수재인데, 이를 이용하기 위해 생체정보 제공을 사실상 강제하는 것은 개인의 자기결정권을 과도하게 제한할 수 있다"며 "최소한 얼굴 인식을 원하지 않는 사람들을 위한 대체 인증 수단은 반드시 마련되어야 한다"고 지적했다.

23일부터 시행되는 안면인증 제도는 3개월간의 시범 운영을 거쳐 내년 3월 정식 도입된다. 정부는 이 기간 동안 인증 실패 사례를 분석하고 시스템 정확도를 높이겠다는 계획이다.

하지만 ▲온라인 비대면 개통 시스템의 근본적인 보안 강화 방안 ▲딥페이크 등 첨단 기술을 이용한 우회 가능성 ▲외국인 명의 대포폰 차단 방안 ▲생체정보 유출 시 대응 체계 ▲디지털 취약계층을 위한 대체 인증 수단 마련 등 해결해야 할 과제가 산적해 있다.

날로 복잡하고 교묘해지는 보이스피싱과 통신범죄로부터 국민을 지키고, 통신소비자의 소중한 권익을 보호하기 위한 정부의 노력이 어떤 결실을 맺을지, 그리고 개인정보 보호와 범죄 예방이라는 두 가치 사이에서 어떻게 균형을 찾을지 귀추가 주목된다.