공공아이핀 시스템이 해킹을 당해 75만 건이 부정 발급되는 사고가 발생하였다. 아이핀은 정부가 ‘주민번호 대체수단’으로 도입하고 적극 권장한 제도다. 행정자치부는 ‘피해가 거의 없어!’라고 불을 끄기에 급급하지만, 이번 사고는 안전행정부가 지금까지 권장해 온 아이핀 시스템이 얼마나 취약한 것인지 보여준다.
정보사회에서 해킹 사고는 불가피한 측면이 있다. 오히려 그렇기 때문에 개인정보 보호를 위한 가장 중요한 원칙 중의 하나가 ‘최소 수집의 원칙’이다. 아예 수집을 하지 않으면 유출될 위험도 없기 때문이다.
이런 측면에서 아이핀은 애초에 도입되지 말았어야 할 제도이다. 첫째, 아이핀은 인터넷에서의 불필요한 본인확인을 촉진하는 제도다. 구글, 페이스북, 아마존 등 해외 주요 사이트들은 본인확인 없이도 운영이 되고 있는데, 유독 한국에서만 본인확인을 요구하고 있다. 둘째, 아이핀은 ‘주민번호 대체수단’으로 도입되었지만, 그 자체가 또 다른 ‘만능키’로 역할 하고 있다. 아이핀이 유출되면, 이용자가 가입한 여러 사이트가 한꺼번에 뚤리게 되고, 이 때문에 아이핀 역시 해커들의 표적이 되고 있는 것이다. 애초에 아이핀이 도입되지 않았다면, 나아가 불필요한 본인확인 자체가 없다면, 이에 따른 해킹이나 개인정보 유출, 명의 도용 사고 등도 발생하지 않을 것이다.
인터넷 실명제가 위헌 결정을 받았지만, 행정자치부는 여전히 본인확인 시스템을 고집하고 있다. 이는 익명 표현의 자유 보호를 위해 인터넷 실명제에 대해 위헌 결정을 한 헌법재판소 결정의 취지에도 배치되는 일이다. 이번 해킹 후 대책 논의에서 행정자치부는 “아이핀 발급, 인증체계 보안 취약점을 긴급점검, 개선조치 하고, 전문기관을 통해 아이핀 시스템 전면 재구축 방안 등을 검토”하겠다고 밝혔다. 또 다시 완벽한 보안을 하겠다고 헛된 다짐을 하겠다는 것인가?
올해 UN 표현의 자유 특별보고관은 ‘익명성과 암호화’에 대한 보고서를 발표할 예정이다. 한국이 또 다시 인터넷 인권 침해국으로 거론될 가능성이 높다. 불필요한 본인확인의 강제는 이용자의 표현의 자유와 프라이버시를 침해하는 것이기 때문이다. 한국의 인터넷을 본인확인의 담장으로 둘러싸는 것이 박근혜 정부의 창조경제인가?
2015년 3월 5일
진보네트워크센터
