[김홍선의 보안이야기]전국민의 주민번호는 모두 공개됐다


정보보안의 범위(Scope) II : 개인정보보호의 문제

백화점에 가서 신용카드를 사용하면 비밀번호를 입력해야 한다. 어떤 경우에는 직원이 비밀번호를 입력하라며 번호판을 내놓고서는 입력하는 것을 빤히 보고 있다. 때로는 출납을 담당하는 이에게 비밀번호를 불러주기도 한다. 고객의 편리함을 생각해 주는 서비스 정신에 감동해야 하는가 아니면 개인정보가 무시되는 현실에 분노해야 하는가?

정보보안의 화두 중에서 전 국민의 가장 큰 관심사는 개인정보보호의 문제다. 특히 우리 나라는 급속도로 정보화 사회를 추구해 오면서 아주 소홀하게 관리되었던 분야다. 왜 우리 나라는 개인정보에 대해 유난히 취약할까?

한국에서 개인정보보호가 소홀히 취급된 이유

첫째, 개인의 권리가 신장되는 과정이 서구 사회의 발전 과정과 다른 궤적을 보인다. 우리 나라는 개인과 지역의 이익보다 단군의 자손으로서 단일 민족이라는 국가 공동체적 인식이 일찍이 발달했다. 특히 일제 식민지 시대와 남북이 분단된 냉전 시대를 거치면서 국가에 대한 애착이 유난히 강해진 측면이 있다. 그래서, 개인의 권리보다 일사불란한 체제가 우선했기 때문에, 주민등록번호와 같은 국가 단일 번호 체제에 거부감이 적었다.

둘째, 정보 공유, 특히 가족, 혈연, 친구 등과의 공동체 연대를 강조한 우리 나라 특유의 공유 문화도 한몫 했다. 우리는 친지나 가족, 비서와 비밀번호나 중요 정보를 공유하기도 한다. 친척이 빚 보증을 부탁해 와도 거절하기 어려운 ‘기댐’과 ‘나눔’의 문화는, 때로는 쩨쩨할 정도로 자기 관리를 해야 하는 개인주의 시대의 특성과 맞지 않는 면이 있다. 또한 비밀번호가 아니더라도 이미 알려진 개인 정보만으로도 충분히 비밀번호가 유추되는 현실이 개인 정보 노출의 원인이 된다.

셋째, 정보화 시대를 추구하는 과정에서 경제와 사업 모델의 개척이 최우선 목표였기에 그 외의 문제들은 우선순위에서 밀려났다. 특히 IMF 체제 이후 정보를 디지털화해서 IT 효과를 극대화하는 것에 아무도 반론을 제기할 여지가 없었다. 그래서 정보화의 역기능인 정보 보안, 개인정보보호 문제는 정책 입안자나 언론에서 아무리 중요하다고 강조해도 화려한 IT 서비스의 그늘 아래 숨겨졌다. 정보화 과정의 초창기인 10여 년 전부터 개인정보보호, 즉 프라이버시 문제가 존재했음에도 최근에 와서야 논란이 된다는 자체가 그만큼 이 문제를 등한시했다는 것을 입증한다.

주민등록번호, 개인 정보 취약점의 근원

그러면, 우리 사회에서 개인 정보의 노출 상태는 어떠한가? 그 지표 중의 하나라고 할 수 있는 주민등록번호에 대해서 말하자면, 사실상 전국민의 주민번호는 이미 공개되었다고 보는 게 현실적으로 적합한 상황 판단이 아닐까? 개인별로 주민등록번호를 적어 낸 경우가 적게는 수십 번부터 셀 수 없을 정도인 사람들이 많다. 이력서, 통장 가입, 회원 등록, 전세 등기, 증명서 발급 등. 게다가 인터넷 사이트에서 제대로 서비스를 받으려면 항상 적어내도록 요구한다. 이런 상황에서 주민등록번호만으로 성인 인증을 하는 것은 실용성이 떨어져 보이기까지 한다.

게다가 우리 나라의 정보 분류는 주민등록번호 중심으로 많이 이루어지고 있다. 사실 주민등록번호는 정보 관리 측면에서는 아주 편리하다. 주민등록번호 속에는 그 사람의 나이, 성별과 같은 분류의 키워드가 다 포함되어 있다. 그러니, IT를 구축하는 과정에서 주민등록번호를 데이터베이스를 검색하는 열쇠로 사용하는 경우가 비일비재하다. 성별, 연령별 통계를 분류하기가 쉬우니 얼마나 편리하겠는가?

이처럼 전 국민이 유일한 번호 체계로 명확하게 등록된 나라는 전세계에 우리 나라밖에 없다. 혹 일제 시대에서 비롯된 것이 아닌가 하고 착각할지 모르는데, 이웃 나라 일본만 해도 이렇게 중앙집권적으로 관리되는 등록 번호는 없다. 미국의 소셜 시큐리티 넘버(SSN, Social Security Number)는 연금을 타기 위한 수단에서 비롯되었다. 자연스레 연금과 관련된 세금, 금융 서비스에서 활용되지만, 어디까지나 한시적으로 사용되는 숫자다. 미국 기업에 근무할 당시에 재무 담당자가 연금 보고에 필요하다며 소셜 시큐리티 넘버를 제출해야 한다는 사실을 나에게 미리 확인해 주는 것을 보고 의아해했던 적이 있다. 그만큼 개인적(private) 용도로만 사용된다는 의미다.

이런 정보들은 미국이나 일본에서 사이트 회원 가입을 위해서 전혀 요구하지 않는다. ID도 이메일주소로 대신하며 자신의 패스워드만 집어 넣으면 된다. 심지어는 결재를 할 경우에도 필요없다. 왜냐하면 신용카드나 페이팔(PayPal), 은행구좌번호로 모든 것이 해결되기 때문이다. 왜 우리 나라 웹 사이트에서는 주민등록번호, 집주소, 휴대폰 번호가 입력이 안 되면 등록이 안 될까? 개인 정보를 요구하는 것에 대해 서비스 업체나 규제를 하는 입장에서 전혀 거리낌이 없다. 그런 과정에서 생년월일을 담고 있는 주민등록번호는 필수적으로 애용되고 있다.

어쨌든, 주민등록번호가 문제가 많은 것은 사실이다. 그러나, 이 번호의 대체 방안을 논의하는 과정에서, 그것이 얼마나 많은 고통을 수반하는지 과소평가해서는 안 된다. IT 운영 측면에서는 운영 시스템의 전반적인 소프트웨어에 모두 손을 대야 하는 대공사가 될 수도 있다. 또한 주민등록번호만의 문제로 프라이버시의 초점을 맞춘다면 근원적 문제는 남겨둔 채, 겉모습만 바꾸는 행위다. 무엇보다 개인정보보호 문제가 지니고 있는 문화적, 업무적, 개인적 특성을 철저히 분석하는 종합적이고 입체적인 사고가 필요하다.

정보 관리가 되지 않는 근본 원인

개인정보의 취약점의 근원은 개인 정보를 가지고 있는 기업이나 기관들이 이 정보를 제대로 관리하지 않는 데서 시작한다. 그런데, 왜 제대로 관리가 되지 않는 걸까?

첫째, 사업 주체들의 인식이 낮기 때문이다. 사실 몇 년 전만 해도 서비스 사업자들은 자신들이 보유한 고객 DB를 공공연하게 자랑했다. DB에 등록된 고객 숫자는 그 기업의 가치 척도였다. 왜냐하면 고객 DB는 그 업체가 파악하고 있는 고객 접점이기 때문에, 별도의 제품이나 서비스를 판매할 수 있는 통로가 된다. 심지어는 어떤 하드웨어 사업을 하는 회사의 임원도, 이 제품을 사용하는 고객 정보가 이 사업의 진정한 성과라는 인식으로 마케팅을 하는 것을 보고 깜짝 놀란 적이 있다. DB를 판매하는 사업이 성행하고 있는 것이 이러한 상황을 여실히 보여주고 있다.

물론 이런 인식은 본격적으로 개인정보보호 문제가 불거져 나오기 전의 일이다. 이제는 그런 인식이 바뀌었기를 기대하지만, 인식의 변화는 항상 시간이 걸리기 마련이다. 따라서, 진정으로 내가 이 정보를 소중하게 지키겠다는 인식이 최고 경영층부터 그 조직 안에 자리잡게 하는 것이 최우선 과제다.

둘째, 정보의 생성과 소멸에 대한 오너십이 명확하지 않기 때문이다. 개인 정보가 등록될 때에는 비교적 단순한 과정을 거친다. 그 정보의 생성과 관리, 소멸을 동일한 프로세스로 같은 사람이 진행한다면 문제는 적다. 그러나, 사업의 특성상 조직은 수시로 변하고, 사업 운영 주체에도 변화가 많은 환경에서 이런 정보가 제대로 인수 인계되지 않는 경우가 비일비재하다. 개인정보보호의 최종 책임자가 애매하거나 아예 없는 경우도 많다. 더욱이 그 정보를 원하는 타 부서나 계열사의 요청이 있을 때, 이를 거부하지 못하는 사내 분위기도 있다. 따라서 소중한 개인 정보가 생성되어 관리되는 프로세스가 책임있게 정착되어야 한다.

셋째, 검색 기술의 발전이다. 강력한 검색 엔진은 인터넷 상에 노출된 어떤 정보도 가져온다. 사용료도 무료다. 이름이나 주민등록번호, 전화번호, 어떤 형태의 조합도 인터넷에 연결된 전세계의 서버에서 가져온다. 섬뜩할 만큼 무서운 현실 아닌가? 웹사이트는 물론 브로드밴드로 상시 연결된 PC나 서버의 정보도 검색되어 나올 수 있다. 따라서, 노출되어서는 안 될 중요 정보는 절대적으로 인터넷 수면 밑으로 내려야 하는 철저한 정보 관리가 필요하다.

개인정보보호의 법적 논의가 가시화되고 대국민 홍보가 많이 되는 것은 바람직한 일이다. 그러나, 개인의 권리를 법적으로 보호하는 것과 실용적인 운용이 이루어지는 현실 간에는 큰 격차가 있다. 이 격차를 줄이려면 우선 한국적 정서와 이미 노출된 정보에 대한 인정을 해야 한다. 또한 서비스 운영을 하는 기업의 책임있는 조직 문화가 정착되지 않으면 적합한 대책이 서지를 않는다. 개인정보보호는 IT만의 문제가 아니라 문화적, 개인적 속성과 연관이 있는 분야이다. 그 복잡다단함을 고려해야 적절한 해법도 찾을 수 있다.

/김홍선 안철수연구소 대표이사 column_phil_kim@inews24.com






포토뉴스