[진보네트워크센터 논평]
3천5백만 개인정보 유출, 정부는 근본적인 대책을 강구해야
SK커뮤니케이션즈가 운영하는 네이트와 싸이월드에서 회원 3,500만명의 아이디와 이름, 주민번호, 비밀번호, 전화번호, 이메일 주소 등 개인정보가 유출되었다. 2008년 옥션에서 1,800만 명의 개인정보가 유출된 후 또다시 사상 최대의 유출 규모가 경신되었을 뿐 아니라, 대한민국 경제활동인구 2천 5백만 명(2011년 6월 현재/통계청)을 훨씬 상회하는 막대한 규모이다.
계속된 대규모 개인정보 유출 사고로 이미 대다수 국민의 개인정보가 유출되었을 것으로 추정된다. ‘개인정보’의 문제가 개인이나 개별 기업 차원의 문제가 아니라 국가 제도의 문제일 수 밖에 없는 것이다. 다음번에는 정말로 5천만 국민의 개인정보가 모두 유출되는 비극을 방지하기 위해 정부가 반드시 해야 할 일을 몇가지 제시한다.
첫째, 잘못된 처방을 중단하라. 개인정보 유출은 정보사회의 숙명이나 다름 없다. 대규모로 집적된 개인정보는 그 유출 규모 역시 대규모일 수 밖에 없다. 특히 타인의 개인정보를 통해 취할 수 있는 이득이 갈수록 많아지는 사회에서 강력한 사회경제적 동기를 이길 수 있는 완벽한 보안책은 있을 수 없다. 그런데 옥션 사태 이후로 개인정보 주무부처인 행정안전부를 비롯 이 정부의 개인정보 보호 대책은 아이핀과 전자주민증에 쏠려 왔다. 인터넷에서 주민번호 대신 아이핀을 사용하면 안전할 것이고, 주민번호를 표면에서 지우고 칩에 내장하면 안전할 것이라는 이유에서이다. 그러나 아이핀은 주민번호 등 본인확인정보를 5개 민간 신용정보회사로 집중시킨다는 점에서 부당한 표적이 될 가능성이 높고 이미 1만5천 건이 부정발급되어 중국 등으로 판매된 사건이 발생한 바 있다. 아이핀 업체들은 이렇게 공공적 목적으로 수집한 본인확인정보를 영리적 목적으로 사용하고도 있는데 정부는 아이핀을 의무화하겠다면서 개인정보 상업화를 앞장서서 조장하고 사회적 리스크를 오히려 높이고 있다. 전자주민증 또한 현재 이동통신사 대리점 등에서 눈으로 확인하는 주민증을 앞으로는 전자화하여 인식기를 통해 확인토록 하겠다는 계획으로써, 정부는 이 과정에서 사용되는 전자칩과 인식기, 네트워크망이 모두 안전할 것이라고 장담해 왔다. 그러나 여러 차례 대규모로 주민번호가 유출된 상황에서 대한민국의 보안은 중대한 귀퉁이가 이미 무너진 상황이다. 지금 필요한 것은 근본적인 대책이다.
둘째, 주민번호에 대한 근본적인 대책을 더이상 피하지 마라. 우리는 2008년 옥션 사태 때 이미 피해자의 주민번호를 재발급하고 민간의 주민번호 사용을 금지시킬 필요가 있다고 제언한 바 있다. 오늘도 똑같은 제언을 반복한다. 개인정보 유출 사고가 계속되는 것은 전세계 어디나 마찬가지이지만 유독 한국에서 그 피해가 심각한 것은 주민번호 때문이다. 본래 행정 목적으로 만들어진 주민번호가 제 목적 이외로 마구잡이 사용되기 시작했을 때부터 사태는 이미 예견된 것이나 다름이 없다. 주민번호는 해당 유출사이트 뿐 아니라 대한민국 모든 민간과 공공 사이트에도 접속할 수 있는 만능 인증키이며 원격 거래에도 사용되고 있기 때문에 주민번호 유출은 추가적인 중대 피해로 이어질 수 밖에 없다. 그런데도 주민번호를 변경할 수 없기 때문에, 유출 피해자는 주민번호의 도용을 속수무책으로 당할 수밖에 없다. 지금이라도 피해자가 새 주민번호를 발급받을 수 있도록 조치하고, 장기적으로는 본래의 행정 목적 이외에 민간에서 주민번호를 수집하거나 보관하는 것을 금지하는 주민번호 일몰제를 실시해야 한다.
세째, 불필요한 개인정보 수집과 보관을 강요하는 법 제도를 대폭 정비하라. 네이트가 주민번호를 보관하지 않겠다고 선언하였지만 선언대로 이루어질지 미지수이다. 왜냐하면 민간의 주민번호 수집과 보관을 의무화한 법령과 제도가 존재하기 때문이다. 일례로 전자상거래 관련 법률에서 주민번호는 물론이고 전화번호와 주소 등의 항목을 5년간 보관하도록 강제하고 있어서 싸이월드 도토리, 아이템 등을 구입하는 고객의 경우에는 개인정보가 앞으로도 장기간 보관될 수 밖에 없다. 특히 본인확인제의 문제점이 심각하다. 주민번호가 확인된 이들에게만 글쓰기 권한을 부여하는 인터넷 실명제가 지난 2007년 실시될 때부터 개인정보 보호에 역행한다는 비판이 계속되어 왔지만 행정당국은 귀를 막고 그 대상 사이트를 확대하여 왔다. 하지만 유일한 정책 목적인 악플이 줄지 않는 상황에서 본인확인제는 인터넷 기업의 개인정보 확인과 보관의 방편으로 이용되고 있을 뿐이다. 본인확인제 관련 법률에서 글쓴이의 본인확인정보를 6개월간 보관하도록 한 상황에서 네이트의 주민번호 폐기 방침이 온전하게 적용될 이용자가 과연 얼마나 있을 지 의구심이 든다.
또다시 대규모 개인정보 유출 사고가 벌어진 데에는 정부의 책임을 묻지 않을 수 없다. 정부가 그동안 주민번호의 민간수집과 보관을 방치하였을 뿐만 아니라, 아이핀과 본인확인제 등을 통해 업체의 주민번호 이용을 조장하여 왔기 때문이다. 재앙이나 다름없는 3천5백만 건의 개인정보 유출, 대한민국의 개인정보 정책에 대한 근본적인 수술을 더이상 늦추어서는 안 된다.
2011년 7월 31일
진보네트워크센터
2011-07-30