본 글은 글쓴이가 속한 Daum의 입장을 대변하는 것이 아닌 개인적인 의견으로, 판단에 대한 책임은 독자 여러분에게 있습니다.
지난 주 네이트/싸이월드 고객 3천 5백만명의 고객 정보가 해킹되어 큰 충격을 안겨주었다. 10여년 간 국내에서 연이어 터지고 있는 온라인 개인 정보 유출 사건을 보더라도 이제는 개인정보 수집에 제동을 거는 제대로 된 대책을 마련해야할 때이지 싶다.
특히, 주민 번호와 휴대폰 번호 같은 본인 확인 수단이 대량으로 해킹되고 유통되고, 이를 통해 얻는 금전적 이득 역시 원천적으로 차단해야 한다.
욕심에 기인한 주민 번호 수집
우리 나라에서 주민 번호를 매개로 한 개인 정보의 수집은 인터넷 초창기로 거슬러 올라간다. 주민 번호의 수집은 1인 1계정을 매칭하여 늘어나는 계정 숫자를 제어할 수 있을 뿐 아니라 생년월일, 성별 등의 진위를 바로 확인할 수 있는 완벽한 마케팅 도구이기 때문에 쇼핑몰 및 게임 사이트, 소셜네트웍 서비스를 통해 행해졌다.
회원 숫자가 곧 돈이 되던 닷컴 버블 시기에 한 마디로 마케팅 욕심으로 벌어지기 시작한 과도한 실명 확인 및 주민 번호 수집은 이제는 중소 사이트 아니 작은 웹 사이트에서도 기본 기능에 들어갔다. 주민 번호의 수집과 이에 대한 관리가 마케팅 보다 관리 비용을 늘인다는 점을 깨닫지 못하고 있다.
업체 입장에서는 계륵 같은 주민 번호이다 보니 설마 내가 해킹 당하겠어? 하는 마음으로 현상 유지를 하고 싶은데… 이를 위해 내세우는 두 가지 논거가 있다.
실명제에 대한 보완 장치 마련 필요해
첫 번째는 많은 이들이 소위 인터넷 실명제(제한적 본인 확인제, 이하 실명제)에 책임을 떠넘기고 있다. 실명제는 단순히 상호 의견 교환을 하는 게시판에 글 쓰기를 할 때, 특정 아이디에 대해 본인 확인을 하는 절차로 본인 확인 정보는 6개월까지만 보관하도록 되어 있다.
사실상 제 3자 기관에 본인 확인 내역(요청 시간 및 로그)만 보관하면 되지만, 해당 포털 및 웹 사이트의 대부분은 실명 확인 후 주민 번호를 직접 저장하고 있다. 명예 훼손 등의 사건이 생겼을 때, 주민 번호 없이도 그 로그를 통해 제 3자 기관에 대조하여 누구인지 파악할 수 있다.
하지만, 현실은 본인 확인을 해주는 신용 정보 회사들이 수사에 비협조적이기 때문에 즉각적인 조치를 취하지 않으면 민형사상 책임을 져야하는 불리한 조건을 가진 웹 사이트들이 울며 겨자먹기로 주민번호를 저장해 놓는 것으로 알려져 있다.
정부에서는 본인 확인을 해주는 제 3자 기관(신용정보회사)의 서비스 역할을 확대시켜, 내부 확인 용도로 난수로 만든 본인 확인키를 제공하고, 사업자의 본인 확인 기록만으로 대조를 통한 수사 기관 지원을 하도록 하고 웹 사이트를 면책하는 법적 보완 장치를 마련해 주어야 한다. 비용 때문에 여의치 않은 경우, 법을 만든 정부가 직접 본인 확인 서비스를 제공하기 바란다.
전자 거래 5년 보관 오해를 풀어라
주민 번호를 저장하는 또 하나의 법적 걸림돌이라고 주장하는 것이 바로 전자 금융 거래법인데, 온라인 결제를 한 경우 업체들은 거래 정보를 5년간 보관하도록 되어 있다. 여기에는 아이디(ID), 성명 또는 상호, 연락처, 배송관련주소, 대금 송금 계좌 정보 등 최소한의 필요정보를 보관해야 한다. 웹 사이트들의 주장과 달리 주민 번호는 사실상 필요가 없다.
게다가, 보관 주체도 일반 웹 사이트라기 보다는 전자 금융법상 허가 받은 결제 사업자들이다. (이들은 일정 규모 이상의 사업자에 대해 보안 설비 등에 대한 법적 규제를 받는다.) 따라서, 일반 업체 입장에서는 결제사(PG)의 승인 내역 키 값과 상품 내역 및 배송 주소만 보관해도 하등의 문제가 없을 것이다. 주민 번호 저장은 지금까지 해온 그냥 관성일 뿐이다.
중국발 금전적 이익 원천 차단
중국발 해킹의 원인이 되는 문제도 한번 검토해 봐야 한다. 개인 정보 유출이 돈이 되는 현실을 없애지 않으면 개인 정보 해킹 문제는 끝나지 않을 것이다.
브라질의 경우 빈부의 격차가 심해서 가난한 청년들이 컴퓨터 기술을 익히고 러시아에서 악성 코드를 구매해와서 유포하고 이를 통해 금전적 이득을 얻는다고 한다.
우리 나라의 경우, 수 많은 게임 사이트의 아이템 거래를 위한 작업장과 아이디 생성을 위해 유출된 개인 정보가 쓰인다. 또한, 보이스 피싱 및 스팸 발송과 같은 이익을 위해서도 사용되고 있다. 이러한 이익의 수단을 차단하지 않으면 제 2, 제 3의 사고는 계속 터질 것이다.
‘주민 번호 수집 중단 및 폐기법’ 만들어야
법적 보완 장치를 마련하고 오해를 불식 시킴과 동시에 정부는 궁극적으로 과감하게 모든 온라인 웹 사이트의 “주민 번호 수집 중단 및 폐기법“을 마련해야 한다.
유출된 주민 번호를 통해 온라인 상 아이디 도용이 가능하기 때문에 보다 빠르게 시행해야 한다. 더 늦으면 소도 잃고 외양간도 못 고친다.
주민 번호 수집 제한 및 대체 수단(아이핀)은 그냥 탁상 공론에 불과하다. 특히, 대부분 웹 사이트는 주민 번호를 기본 키로 삼고 있지 않고, 암호와 이메일이나 전화 번호(SMS) 등으로 이중 인증(Two
Factor)이 가능할 만큼 정보를 가지고 있다. 따라서, 지금 모든 웹 사이트에 주민 번호를 삭제 명령을 한다고 해서 기업에
영향을 주지 않는다.
이러한 조치는 오히려 기업들의 마케팅 욕심을 없애 경쟁력을 높히고 국내 총 보안 비용을 낮추고, 국민들의 삶의 질에 더 기여할 것이다.
p.s. 우리 나라 웹 사이트에서 여전히 주민 번호를 수집해야 하는 이유를 알고 있는 분은 제보해 주시기 바랍니다.
update. 많은 분들이 오해 하실 것 같아… 저는 주민등록번호 제도 그 자체를 폐지하자는 주장을 하는 것이 아닙니다. 오프라인에서 개인 식별 수단으로 나쁘지 않기 때문입니다. 다만, 온라인에서 대량 유출로 인해 그 효용성이 떨어졌으므로 온라인에서 식별 수단으로 쓰지 말자는 것입니다.
만약 새로운 번호 체계를 만들더라도 주민번호와 똑같은 행태를 걷는다면 그 조차 마찬가지입니다. 따라서, 온라인에서 기본적으로 제 3자를 통해 본인 확인을 하고 로그는 남기되 식별 정보를 남기지 않는 방법을 사용해야 합니다.
그리고, 이미 주민번호가 널리 퍼진 상태에서 아무 쓸모가 없다시지만 세상에는 나쁜 놈들 보다 착한 분들이 많습니다. 나쁜놈들은 어떻게든 잡힙니다. 그렇지 않으면 우리가 세상 사는 이유가 없죠 ㅎㅎ
※ Disclaimer- 본 글은 개인적인 의견일 뿐 제가 재직했거나 하고 있는 기업의 공식 입장을 대변하거나 그 의견을 반영하는 것이 아닙니다. 사실 확인 및 개인 투자의 판단에 대해서는 독자 개인의 책임에 있으며, 상업적 활용 및 뉴스 매체의 인용 역시 금지함을 양해해 주시기 바랍니다. 본 채널은 광고를 비롯 어떠한 수익도 창출하지 않습니다. (The opinions expressed here are my own and do not necessarily represent those of current or past employers. Please note that you are solely responsible for your judgment on checking facts for your investments and prohibit your citations as commercial content or news sources. This channel does not monetize via any advertising.)
오랜만에 좋은글을 읽었네요~
예전부터 말많던 주민등로번호 폐지 이번에도 잘 될지 모르겠지만
저도 폐지에 한표 던지고 싶네요~
이제 대한민국의 주민등록 라이센스는 GPL을 따릅니다…
서글픈 현실입니다… ㅠㅠ
그건 좀 아니라고 봅니다.
주민등록번호는 애당초 어디에 쓰일 수 있는 유용한 정보가 아닙니다. 인증번호”가 아니라 “식별번호”죠.
그런데 아이디 잊어버릴때 주민번호로 찾는게 얼마나 유용한지는 써본 사람은 다 알겁니다. 지메일에서는 아이디 잊어버리면 새로 만들어야 합니다.
그냥 “개인정보는 소중하다”라는 메세지에 휘둘려 편익을 저해하는 일은 바보 같은 짓입니다. 웹서비스의 활용을 전혀 모르는 인권단체에서나 할 법한 주장을 실용적인 해법을 찾아야 할 실무자가 주장하는 것은 옳지 않다고 봅니다.
제가 글 마지막에 업데이트 해 놓았는데, 주민번호 자체를 폐지하자는 게 아니라 온라인 웹 사이트에서 plaintext로 있는 상태를 폐기하자는 것입니다.
지금 처럼 제 3자 기관을 통해 식별 수단으로 쓰는 건 가능합니다. 웹사이트에서 식별 코드로 필요할 경우, 제 3자 기관이 사이트별로 전혀 다른 난수코드를 제공할 수도 있구요.
문제는 다른 사람의 주민번호로 ID 찾고 전화번호/생일로 쉽게 암호까지 알아낼 수 있는 부분입니다. 온 국민의 주민번호가 유출되었는데, 그 번호로 모든 사이트의 개인정보를 훔칠 수 있다고 생각해보세요? 그리고 그 정보를 나쁜곳에 사용한다면 어떤 피해가 발생할까요? 끔찍합니다.
저번에 누가 말씀하시길, 홍보 메일을 보냈을 때 본인이 동의했음에도 불구하고 스팸 메일 신고를 할 경우가 종종 있고 이 때 KISA에 동의했음을 증명해야 면책을 할 수 있는데, KISA 쪽에서 주민번호를 요구한다고 하시더군요. 메일 소유자가 동의했음을 확인하는데 왜 주민번호를 쓰는지는 이해하기 힘들지만..
온라인에서 왜 주민번호가 필요한건지는 정말 모르겠습니다. 인증을 위한 거라면 얼마든지 다른 방법이 있을텐데요. 이번일로 국가에서 나서주었으면 하네요.
주민번호 수집 중단 및 폐기를 해야한다는 주장에 동의합니다. 그런데, 관련하여 현행 법률에 문제가 없는지는 검토가 필요한 것 같습니다. 본문에서 ‘전자금융거래법’에서는 주민번호 보관 의무화를 하지 않았다고 말씀하셨는데, ‘전자상거래 등에서의 소비자보호에 관한 법률’ 제6조는 아래와 같이 규정하고 있습니다.
제6조(거래기록의 보존 등) ① 사업자는 전자상거래 및 통신판매에서의 표시·광고, 계약내용 및 그 이행 등 거래에 관한 기록을 상당한 기간 보존하여야 한다. 이 경우 소비자가 쉽게 거래기록을 열람·보존할 수 있는 방법을 제공하여야 한다.
②제1항의 규정에 의하여 사업자가 보존하여야 할 거래의 기록 및 그와 관련된 개인정보(성명·주소·주민등록번호 등 거래의 주체를 식별할 수 있는 정보에 한한다)는 소비자가 개인정보의 이용에 관한 동의를 철회하는 경우에도 정보통신망이용촉진및정보보호등에관한법률 제30조제3항의 규정에 불구하고 이를 보존할 수 있다.
위에 ‘주민등록번호’라고 명확하게 나오는 것이 문제인데요..이것이 주민등록번호의 수집을 의무화한 것인지, 아니면수집할 수 있다(즉, 하지 않아도 된다)는 것인지, 법적으로 명확하게 해석이 되어야할 것 같습니다. 또한, 가능하면 주민등록번호 자체를 삭제하여, 해석의 여지를 없애는 것이 더 바람직하겠지요.
저도 99년말부터 2003년까지 pg업을 했었기 때문에 그 조항은 알고 있습니다만 조항을 잘 보시면 식별정보에 대한 범위가 불분명합니다. (이름 혹은 주소 혹은 주민번호 혹은 기타 등등입니다.) 현재는 PG들이 이메일 같은 식별 혹은 고지 정보를 모두 받고 있을 정도이기 때문에…
저장해야할 정보의 예를 든 것 뿐인데 저 법 조항 때문에 주민번호를 저장해야 한다는 건 사실상 환상입니다^^ 문제는 4년전 자료를 꺼냈을 때 그 사람이 거래한게 맞다고 확인만 가능하면 되는거 아니겠습니까.
이런일 발생 했는데도 주민번호 폐지 안하면 진짜 이민을 가버리던가 해야지.
channy님 안녕하세요.
어설프군 YB라고 합니다.
늘 깊있고 의미있는 IT 관련 글을 올려주셔서..
경청하고 있다가 오늘에서야 이렇게 댓글하나 남기게 됩니다.
저 같은 비 엔지니어 출신인 사람이 감히 쓸 수 없는 기술적 요건과 근거를 적절하게 설명해 주셨다 생각합니다.
다음이란 곳에 소속되어 계시면서 아무래도 이와 관련한 글을 쓰시기 어려웠을텐데 용기내 주셔서 감사드리고..
또, 내용 너무나 잘보고 많은 것 깨닫고 얻어가는 시간이었습니다.
앞으로도 좋은 이야기 많이 부탁드리겠습니다.
끝으로 정말 주민번호 폐기 논의(주민번호 자체가 아닌 사업자가 이용하는 행태에 대한..)가 공론화되어 더 큰 피해가 생기기 전에 무언가 대책이 마련되었으면 좋겠네요.
전 국민이 무감각해진 해킹사태, 정부가 나서서 바로 잡아야 이번 글은 정말 안쓰려고 했는데 어제 “네이트의 병신 크리, 사실은 대한민국 전체가 병신..” 이란 Sooop님이란 블로거 글을 읽고 이거 내가 너무 안일하게 생각한 것은 아닐까란? 생각이 들어 다시 네이트 해킹 사태 글을 기획하게 되었습니다. 저도 사태가 심각하다는 것은 알고 있었지만 “그래 어떻게든 대처하겠지 하고” 말았습니다. 그런데 위의 글을 읽고 제가 너무 안일함에 젖어 있었구나 싶..
허술한 보안의식과 과도한 개인정보에 대한 탐욕이 나은 예고 된 인재 SK 커뮤니케이션즈에 큰 위기가 닥쳤습니다. 3500만명이란 천문학적인 숫자의 개인정보가 해킹 된 것이죠. 대한민국 인구의 60% 이상의 정보를 유출 한 것이니 말이 안나 올 정도 입니다. 너무 큰일이라 다른분들이 다뤄주고 계셔서 저는 그냥 넘어가려고 하다가 포커스가 해킹과 개인정보 유출한 쪽에만 포커스가 맞춰지는 뉘앙스가 풍겨서 원론적인 문제를 좀 더 집고 넘어가보고자 글을 기획하..
세계 유례없는 전국민 평생 불변의 주민번호와 지문날인 완전 폐지해야합니다. 군사정권때 만든 식별번호를 민주화 운동했다는 정치인들도 안없애구 그대로 놔두는게 강력한 국민통제를 위해서 그러는 것입니다. 실명제도 악플에 대한 효과도 없구 주민번호 없는 외국 인터넷이나 뭐나 탈없이 잘 돌아갑니다. 이번 해킹사태에도 불구하고 행안부에서는 주민번호+지문+전자칩의 전자주민증을 밀어부친다합니다. 신분증이 전자화되면 지금의 사태보다 더 큰 재앙이 일어날 겁니다. 주민번호 폐지하구 전자주민증 법안 폐기해야합니다.
전세계가 인터넷으로 묶이고 있는 시대에 주민등록번호 인증은 마땅히 없어져야 한다고 생각합니다.
저는 미국으로 이민온 사람인데, 금융거래 기록에 거의 없어서인지 제 주민등록번호로 실명인증이 되는 곳도 있고 안되는 곳도 있습니다. 한국에 살지 않는 한국인은 한국웹사이트에 가입도 하지 말라는 건지…
제 아이는 아직 어립니다만, 나중에 자라서 한국말을 유창하게 잘하게 키우고 싶고 한국웹사이트도 많이 보게 하고 싶습니다. 주민등록번호 자체가 아예 없는 제 아이는 나중에 어떻게 한국웹사이트에 가입을 해야 할까요? 남의 주민등록번호 훔쳐서 쓰게 할수도 없고 말이죠.
또 한가지 케이스가 생각나네요.
최근에 해외 주문을 해 보신 분은 아시겠지만.. 관세법 또는 관세법 시행규칙이 최근에 개정되는 덕분에, 하루에 동일품목을 15만원 이상 수입할 경우 관세+부가세를 부과하게 되어 있는데요. 이 개정사항이 생기고부터 해외 배송대행 업체에 (주민번호 없어도 가입이 되던 곳인데도) 주민번호를 알려줘야 되더군요. 공항과 항구 세관마다 국민 개개인의 수입 액수를 누적시키는 전산시스템이라도 생겼나 봅니다.
네티즌들이 자신의 정보를 보호할 권리도 더욱 강조되어야겠습니다.