"개인정보, 주민번호 안 버리면 재앙 반복"

많은 이들이 반복해서 터지는 개인정보 유출 사고를 나몰라라하는 상황을 '그냥 그런가'보다 하고 넘길 일은 아니다.

지금 해결에 나서지 않으면 디지털 경제 전체의 위기로 이어질 수 있다. 전문가들에 따르면 끊이지 않고 터지는 개인정보유출을 예방하고 피해를 최소화하기 위해서는 크게 3가지 해법이 요구된다.

■주민번호는 ID가 아니다

근본적인 해법은 다시 주민등록번호에서 출발한다. 결론부터 말하면 주민번호는 인터넷 웹사이트에서 사용되는 ID처럼 다뤄져서는 안된다는 것이 전문가들 지적이다. 태어날 때부터 부여된 고유한 식별번호가 온라인 세상 곳곳에서 ID와 마찬가지로 남용되는 상황은 대형사고의 불씨가 될 수 밖에 없다는 것이다.

이를 보여주듯 주민번호를 이용할 곳을 최소한으로 제한하는 의견들이 입법화 되고 있다.

당장 오는 8월7일부터 발효되는 개인정보보호법 개정안에 따르면 모든 공공기관, 민간사업자들은 법령상 구체적인 근거가 없는 주민번호 수집이 전면 금지된다. 법적 절차에 따라 주민번호 수집이 허용되는 곳이라고 하더라도 유출됐을 경우 최고 5억원의 과징금이 부과된다.

문제는 주민번호 수집 금지에 예외조항이 너무 많다는 점이다. 안전행정부가 발표한 '주민등록번호 수집 금지 제도 가이드라인'에 따르면 개인정보보호법 예외가 적용되는 법령은 총 385개에 달한다.

이중에는 본인확인기관으로 지정돼 있어 주민번호 수집이 허용되는 금융회사, 이동통신회사 등이 포함된다. 보험업법에서도 국민의 건강정보를 다루기 위해 주민번호를 수집할 수 있도록 허용하고 있다.

지난달 28일 국회 본회의를 통과한 개인정보보호법 개정안이 금융, 의료, 공공기관 등에서 사용되는 주민번호도 암호화를 의무화했다는 점은 긍정적이란 평가다. 다만 해당 안에 대한 세부사항은 앞으로 대통령령으로 정하는 만큼 얼마나 예외를 최소화하는가가 관건이다.

주민번호 대체 수단에 대해서도 여러 대안들이 나오고 있다. 김민호 성균관대 법학전문대학원 교수는 대체수단으로 공통식별번호를 도입하자고 제안한 바 있다. 김 교수에 따르면 주민번호는 안행부 소관으로 노출되지 않도록 제한적인 용도로만 사용하고, 일반 기관/기업 등에게는 개인을 식별할 수 있는 고유의 다른 식별번호를 마련하자는 것이다.

염흥열 순천향대 정보보호학과 교수는 개인식별번호를 만들어도 수년 내에는 똑같은 사고가 발생할 가능성이 높기 때문에 차라리 각 영역별로 목적에 맞는 개인식별번호를 사용하자는 안을 냈다.

예를들어 의료영역에서는 의료보험증 번호를 사용하고, 운전면허 등 다른 수단을 각 영역별로 사용하도록 해 위험을 분산시키자는 것이다. 기존에 만능키처럼 사용되면서 부실하게 관리되고 있는 주민번호보다는 현실적인 대안이라는게 그의 설명이다.

기업이 적극 나서지 않은 상황에서 이 같은 대책이 탄력을 받기는 어렵다. 임종인 고려대 정보보호대학원 교수는 2001년 미국 엔론 사태 이후 사베인 옥슬리(SOX)법이 제정되고 5개년 계획을 세워 장기적으로 문제를 해결했던 것처럼 우리나라에서도 각종 대책 자체보다도 정부, 기업의 단기/중기/장기적인 대책을 마련해야 한다고 밝혔다.

엔론 사태는 엔론이라는 회사가 수익을 부풀리고, 손실을 감추는 분식회계를 저지른 사건이다. 이 이후 기업 내부통제를 강화하고, 문제가 발생하면 엄격하게 처벌하기 위해 SOX법이 제정됐다. 임 교수에 따르면 이 법은 내부통제를 강화하는 과정에서 자연스럽게 보안이나 프라이버시 강화에도 도움을 줬다.

■중소사이트, 무법지대

이통사, 카드사 등 굵직한 기업들 외에도 개인정보유출문제는 중소 규모 웹사이트에 집중되고 있다. 티켓몬스터 개인정보유출사건에서 보듯이 허술한 외주업체에게 시스템에 대한 보안을 맡기다가 문제가 생기는 일은 겉으로 드러나지만 않았을 뿐 무법지대나 다름없다는 것이 보안 업계 관계자들의 지적이다.

웹하드 업체 등 중소 규모 웹사이트들은 웹서버에 대한 체계적인 보안시스템을 갖출만 한 여력이 없는 경우가 대부분이다. SQL인젝션, 크로스사이트스크립트(XSS) 등 기본적인 웹 취약점에 대한 대비책도 세워지지 않은 곳이 수두룩하다.

이들 기업은 보안 시스템을 구축할 여력이 없다고 하소연 한다. 그러나 고객들의 개인정보를 다루는 만큼 영세기업이라고 해서 보호에 예외가 있어서는 안 된다는 것이 정부측 입장이다. 미래창조과학부 정보보호정책과 신홍순 사무관은 영세기업이든, 대기업이든 예외 없이 개인정보를 다루고 있다면 기술적, 관리적 보호조치를 마련해야 한다고 말했다.

중소기업기술지킴센터의 경우 보안관제센터를 두고 중소기업들의 내부기술유출방지 서비스를 제공하고 있으나 일반 웹사이트에 대해서까지는 지원하지 않고 있다. 한국인터넷진흥원(KISA)은 웹 취약점 점검 모니터링 서비스를 제공하고 있으나 이 역시 이용률이 저조한 실정이다.

대기업과 달리 투자 여력이 없는 중소사이트들을 위해 이 같은 서비스를 활성화할 수 있는 방안을 모색할 필요가 있다.

■자기결정권에 대한 사용자 인식 확대 필요

개인정보유출 책임은 해당 기업/기관들에게만 지우기는 어렵다. 사용자들 입장에서는 해당 기업/기관에게 개인정보를 믿고 맡긴다고는 하나 자신의 개인정보가 어떻게 관리되고 있는지 조차 파악하지 못하고 있다는 점에서 책임소재가 없는 것은 아니다.

정부가 지난 10일 부처합동으로 발표한 금융분야 개인정보유출 재발방지를 위한 종합대책에 따르면 사용자들의 개인정보에 대한 자기결정권을 강화한다는 내용이 포함됐다. 핵심은 금융회사 고객 본인이 신용정보 이용, 제공 현황을 언제든 확인할 수 있도록 하고, 영업목적 연락에 대해 수신거부를 신청할 수 있는 제도를 도입하겠다는 것이다.

이러한 조치가 취해진다고 하더라도 사용자가 적극적으로 활용하지 않는다면 유명무실한 정책으로 남을 가능성이 높다.

자기결정권을 강화한다는 취지는 좋으나 정책 자체에 추가해야 하는 부분들이 있다. 이와 관련 민후 법률사무소 김경환 변호사는 정부나 기업 차원에서 개인정보 사용 내역에 대해 보다 알기 쉽고, 간결하게 고지할 필요가 있다고 강조했다.

기존에 웹사이트에 가입할 때 개인정보수집 내역에 대해 일일이 확인해 보는 사용자들은 없다. 대부분은 모든 체크항목에 동의한다. 이 중 제3자 정보제공동의를 체크한 사용자들은 보험회사나 텔레마케팅 회사 등으로부터 서비스, 상품 구매 등을 권유하는 이메일, 전화, 문자 등을 수신하게 된다.