개인정보유출계간지 액트온주민등록번호

끝없는 개인정보유출, 주민등록제도를 손보자

By 2011/10/10 10월 25th, 2016 No Comments
장여경

어지간해선 이제 충격받지 않는다. 하나SK 카드에서 회원 정보가 5만 천 건이 유출되었다고 하는데, 언론과 시민들의 반응이 딱 이렇다. SK컴즈가 운영하는 네이트와 싸이월드에서 대한민국 인터넷 이용자를 거의 포괄하는 3천5백만 건이 유출되었다는 데에도 없었던 일처럼 금세 나라 안이 조용해지지 않았던가. 그런데 최근 논란이 된 현대캐피탈 42만 건, 삼성카드 80만 건, 그리고 전자여권 92만 건 개인정보 유출 사고에는 주목할 점이 있다. 바로 ‘내부자’에 의한 유출 사고라는 점이다.

최근 개인정보 유출 사고가 잇따르자 정부와 업계의 대책은 ‘보안기술 강화’에 맞추어지고 있다. 최신 전자칩을 내장한 전자주민증을 도입하겠다는 정부 대책이 그러하고, 보안설비에 대한 투자를 늘리라는 조언들이 그러하다. 그러나 이러한 대책들은 작정하고 빼돌리는 내부인의 유출에 답이 되지 못한다. 내부인 유출은 외부인에 의한 것보다 손쉬우면서 조직적으로 은폐된다는 점에서 더욱 심각한 문제이다. 삼성카드는 80만건을 20만 건으로, 하나SK는 5만 천 건을 200건으로 유출 규모를 축소했다는 의혹을 받고 있다. 외교부 역시 지난해 12월 전자여권 개인정보 유출 사실을 적발했지만 은폐해 왔다. 이런 문제는 끝도 없을 것이다. 내부인으로 하여금 개인정보를 빼돌리자고 마음먹게 하는 동인을 근절하지 않는 이상 말이다.

 

개인정보 유출의 원인

동인은 돈이다. 한국인의 개인정보는 돈이 된다. 대한민국 국민의 개인정보를 빼돌리고 시중에 유통하는 암시장은 어느덧 거대한 규모가 되어 버렸다. 지난 913일 방송통신위원회가 국회에 제출한 자료에 따르면 올해 1월부터 7월 사이만도 한국인의 주민등록번호와 전화번호 등이 15개국 7,500개 이상의 웹사이트에 노출되어 있다고 한다. 개인정보가 돈이 되는 이유에는 여러가지가 있다. 대중생산과 대중마케팅의 시대가 가고 다품종 소량생산과 맞춤형 마케팅으로 기업 환경이 변화하고 있고, 이러한 비즈니스 모델 전환에 필요한 자산이 바로 고객의 취향 등 개인정보이다. 그래서 해외에서는 ‘뉴머러티’로 불리우는 전문가들이 가지각색의 개인정보를 SNS 등 인터넷에서 긁어오고 분석하기에 바쁘다고 한다. 물론 수요의 한 축에는 정치적인 반대자 제거, 테러 위협으로부터 국가 안보 등을 이유로 한 전통적 국가 감시도 한 몫을 차지할 것이다.

그러나 한국의 개인정보가 한국을 넘어서서 전 세계 시장에서 암묵적으로 판매되는 ‘상품’으로 등극하게 된 가장 큰 이유는, 바로 한국 인터넷의 ‘인증 강박’에 있다. 한국 인터넷은 주민번호를 요구한다. 인터넷 포털에 댓글 하나 남기려 해도, 인터넷 게임을 하려고 해도, 주민번호가 필요하다. 각종 ‘인터넷 실명제’ 때문이다. 처음에는 선거 시기에만, 주요 포털에만 적용되었던 실명제는 이제 도메인네임을 등록할 때도, 게임을 하고 싶을 때도 적용되기 시작했다. 자기 주민번호를 사용하기 싫거나 주민번호가 없는 세계 시민이 한국 인터넷을 사용하기 위서는 다른 한국 시민의 주민번호가 필요할 수 밖에 없다. 물론 중대한 행정 서비스에 신원 확인이 꼭 필요하다면 인정해줄 수 있다. 그런데 인터넷 글 좀 쓰자고, 게임 좀 하자고 주민번호를 막 요구하는 것이 제대로 된 국가 정책인가.

더 웃기는 것은 주민번호만 있으면 그 사람이라고 믿어 준다는 사실이다. 믿어 주고 각종 서비스를 원격으로 제공한다. 주민번호만 있으면 다른 사람으로 위장하고 공공과 민간의 여러 서비스를 받기가 매우 쉽다는 말이다. 이렇게 허술할 수가. 이 사람들아, 한국 시민의 주민번호가 3천 5백만 개나 인터넷을 떠돌고 있단 말이다.

정부는 무얼 하는가? 정부는 ‘SK컴즈에서 유출된 주민번호는 암호화되어 있으니 장기간 안전할 것이다’고 답변한 후 대책이 없다. 아니지, 있긴 하다. 비밀번호 바꾸란다. 그리고 아이핀을 쓰란다.

 

헛발짚는 아이핀 대책

SK컴즈 개인정보 유출 사고 직후인 지난 8월 11일 행정안전부가 당정 협의를 위해 작성한「최근 개인정보 유출사고에 따른 개인정보보호 종합대책」자료에는 무려 4개 분야 13가지 대책을 거론하고 있다. 첫째, 온라인상 주민번호 대체수단(I-PIN 등) 전면 보급, 취약분야 실태점검 등을 통해 무분별한 개인정보 처리 관행을 근절하겠다는 것이다. 둘째, 주민번호 수집 및 처리 관련 법령 단계적 정비, ‘개인정보 삭제’ 범국민 운동 등 개인정보 보호조치 강화 정책을 추진하겠다고 한다. 셋째, 개인정보 유출 및 부정사용 방지기술 개발 등 개인정보 보호 인프라를 확충하는 한편, 넷째, 집단분쟁조정제 및 권리침해 중지 단체소송 시행 등 개인정보 침해구제를 강화하겠다고 한다.

이 대책들 대부분은 이미 도입되어 있는 제도를 점검하거나 개인정보보호법 등 어차피 도입될 예정인 제도를 재탕하여 거론한 것들이다. 그래도 주민번호 대체수단을 보급하겠다거나 주민번호 수집 및 처리 법령을 정비하겠다는 대목은 확실히 눈에 띈다. 지금과 같이 개인정보 유출 사고가 위험수위에 이르렀다고 하면 기존의 법제도를 넘어서는 ‘특단의 대책’이 필요하지 않겠는가. 문제는 정부가 그 구체적인 실행방법으로 엉뚱한 제도를 밀어붙이려 하는 데 있다. 즉 정부는 인터넷에서 주민번호를 정말 끊겠다는 생각으로 주민번호 대체수단을 도입하는 것이 아니다. 주민번호 대신 아이핀을 ‘의무화’하겠다는 것이다.

아이핀이 무엇인가? 어차피 주민번호를 토대로 한 식별번호가 아니던가? 게다가 아이핀을 발급받으려면 휴대폰이나 신용카드를 자기 이름으로 사용하고 있거나 년 4,400원짜리 공인인증서를 구입하거나 동사무소를 방문해야 한다. 댓글 달려고 그 짓을 해야 한다니 국민을 참 할 일 없는 사람 취급한다. 번거로와도 안전하다면야 시비걸 일이 많지 않겠다. 그러나 기왕 귀챦을 것, 인터넷에서 입수한 아무나의 주민번호를 가지고 그 사람 이름의 휴대전화를 발급받은 후 그 이름으로 아이핀을 발급받으면 감쪽같이 다른 사람 행세할 수 있으니 헛웃음이 나올 뿐이다. 이게 개인정보유출에 대처하는 이 나라 정부의 대책이다. 무엇보다, 아이핀을 의무화한다고 집나간 주민번호가 돌아오는지? 참 깨알 같다.

상식적인 사람이라면 아이핀이 개인정보 유출에 대한 답이 되지 못한다는 점 쯤은 간파해야 한다. 다행히 국회 입법조사처는 상식적이다. 입법조사처는 「아이핀 활용에 대한 실효성 조사」라는 제목의 보고서를 통해 조승수 의원의 질의에 회신하면서, 아이핀은 효과성·신뢰성·활용도의 측면에서 모두 낙제라고 평가했다. 특히 아이핀 발급 기반도 주민번호이므로 근본적으로 아이핀이 주민번호의 위험성을 대체하기에는 역부족이라고 지적하면서 2010년 6월 발생하였던 13,000여 건의 부정발급 사건을 꼬집었다. 물론, 이때 집나간 아이핀은 아직도 다 회수되지 않았을 것이다.

더불어 보고서는 문제의 원인을 ‘인터넷 실명제’라고 분명히 명시하였다. 인터넷 실명제가 존재하는 한 주민번호의 저장은 관행의 문제가 아니라 법령상 요구되는 것이었고, 아이핀 역시 ‘인터넷 실명제’를 위해 존속하는 변형 주민번호 제도라는 것이다. 결국 입법조사처는 개인정보 보호를 위해서는 인터넷 실명제에 기반한 주민번호 및 개인 식별번호의 활용을 감축시켜나가는 정책이 필요하다고 결론을 내렸다. 이 당연한 사실이 왜 이렇게 받아들여지기 어려울까?

 

개인정보보호를 위해 전자주민증 도입?

정부의 또다른 대책은 ‘주민등록증 발행번호’를 도입하겠다는 것이다. 온라인에서 아이핀이라면, 오프라인에선 증 발행번호를 쓰자는 것이다. 행안부 자료에는 증 발행번호 도입이 주민번호 수집 및 처리 법령 정비 차원에서 제안하는 정책으로 거론되어 있다. 흥, 거짓말이다. ‘증 발행번호’는 전자주민증으로 주민증을 경신하려는 정부 계획의 일환으로 이미 2010년 9월 주민등록법 개정안에 포함되어 국회 발의까지 마친 상태이다. 즉, 정부는 증 발행번호 도입이라는 포장으로 전자주민증을 통과시키겠다는 것이다. 한나라당은 이날 당정 협의에서 덜컥 이 제안들을 받았다.

증 발행번호, 좋다. 진즉에 주민번호 같은 인권침해적인 사람 번호가 아니라 증 번호였어야 했다. 그런데 증 발행번호를 적용하기 위해 새 주민증이 필요하다 하더라도 그것이 꼭 전자화된 방식의 주민증일 필요성은 없지 않나. 기존 유형의 주민증을 경신함으로써 적용될 수 있는 것이다. 이러한 이유 뿐이라면, 굳이 IC칩을 채택할 이유도 없고 주민번호와 지문 등을 전자화할 필요도 없다. 그냥 현행 주민증의 경신주기마다 발행번호를 새로 수록해 가면 충분히 위·변조를 방지할 수 있을 것이다.

더욱 큰 의구심은 증 발행번호에 주민번호를 대체하는 효과가 있을 것인지에 대한 것이다. 증 발행번호가 주민번호와 병행하여 사용되면 주민번호 대체 내지 사용 억제 효과는 없는 것이나 다를 바 없을 것이기 때문이다. 주민번호를 칩에 넣는 것이 개인정보 보호는 아니다. 전자주민증은주민번호를 육안으로 보이지 않게 할 뿐 사용하지 않겠다는 계획은 전혀 아니다. 전자화된 정보가 장차 네트워크를 통해 유통된다면 개인정보 유출의 위험성은 오히려 증가하지 않겠는가. 게다가 본인 동의를 구한다는 명분으로 전국의 공공과 민간기관의 판독기에서 지문날인을 강제하는 것은 중대한 인권침해이다. 주민번호를 보호하기 위해서 필요한 대책은 전자적인 방식으로 사용하는 것이 아니라 수록사항에서 아예 제외하는 것이다. 그런데 수록사항에서 제외하지 않고 증 발행번호를 한층 더 얹겠다는 계획 하에서라면 누가 주민번호 사용을 마다하겠는가.

 

실명제를 폐지하라

나라가 거덜난 상황에서도 주민등록제도와 개인정보보호를 동시에 주무하는 행정안전부는 딴청만 피우고 있다. 아니, 개인정보 유출을 오히려 조장하고 있다. 행정안전부는 주민등록 전산자료를 채권추심업체를 비롯한 52개 민간업체에 건당 30원씩 받고 팔았다. 3년간 5천 9백만 건의 개인정보를 제공하고 17억 8,054만 3,230원의 수익을 올렸다. 4대강 사업으로 절단난 나라 살림을 개인정보 판매로 조금이라도 보전하려는 것이었을까? 이들이 민간업체 넘긴 주민번호가 지금 인터넷 어디를 헤매고 있을지 모른다.

말하겠다. 정답은 다른 데 있다. 먼저, 유출된 주민번호를 다른 것으로 바꿔 주어야 한다. 이토록 주민번호를 요구하는 곳이 많은 사회에서, 유출된 번호를 계속 사용하라는 것은 신원 절도를 조장하는 짓이다. 물론 장기적으로는 아무나 주민번호를 쓰지 못하도록 해야 한다. 주민번호를 요구하지 않으면 사람들이 주민번호를 구할 일이 없어진다. 짝퉁 주민번호 아이핀도 마찬가지이다. 신원 확인 강박 사회에서 인증 수단을 아이핀으로 바꾼다고 개인정보 유출이 없어질리 만무하다. 불필요한 인증 제도 자체를 없애야 한다는 말이다. 왜 휴대폰을 개통하는데 신원 인증을 해야 하는가? 휴대폰 요금 잘 내면 될 것 아닌가? 왜 인터넷에 글을 올리기 위해 전국민이 사전에 신원 인증을 해야 하는가? 인터넷에서 불법이 발생하면 사건 발생 후에 추적하시라. 다른 나라들은 다 그렇게 한다.

이제야말로 개인정보 유출에 대한 근본적인 대책을 돌아보아야 할 때이다. 주민번호를 비롯한 주민등록제도, 손보아야 한다. 정부는 진정성을 보여라. 전자주민증이니 아이핀이니 헛소리 그만하고.

 

2011-10-09