[개인정보] 가상주민번호 아이핀을 아세요

방송통신위원회와 한국정보보호진흥원은 지난 9월 24일에서 10월 24일까지 1개월동안 개인정보 클린 캠페인을 실시하였다. 이 캠페인은 자신이 주민등록번호를 제공하고 가입한 것으로 추정되는 웹사이트 리스트를 본인 인증을 거쳐 직접 확인하고, 그 중 탈퇴를 원하는 웹사이트 리스트를 선택한 후 한국정보보호진흥원에 탈퇴 요청을 접수하는 것이 큰 골자였다.

개인정보 클린 캠페인은 세부적인 내용이 조금씩 다르기는 하였으나 행정안전부나 방송통신위원회 등 정부 유관기관에 의하여 최근 몇 해 동안 지속적으로 시행되어 왔는데, 그 동안 수많은 네티즌들이 이 행사에 참여하여 주민등록번호 도용을 통한 웹사이트 회원 가입은 없었는지, 불필요하게 회원 가입이 유지되고 있는 웹사이트는 얼마나 되는지 등을 직접 확인하는 기회로 활용해 왔다. 특히 올해 캠페인에 참여하신 분들은 웹사이트 가입시에 무심코 기입했던 주민등록번호가 얼마나 많이 저장되어 있는지 새롭게 인식하고, 우리 사회 곳곳에 다소 지나칠 정도로 자신의 개인정보가 보관되고 있음에 적잖게 당혹스러웠을 것으로 여겨진다.

올해는 개인정보보호와 관련한 큰 사고가 다양하게 발생하였는데, 유형별로는 네트워크를 통한 불법 시스템 침입 및 정보유출, 내부자에 의한 의도적 고객정보유출, 그리고 단순히 부주의한 판단과 행정절차로 인한 온라인상에서의 주요 고객정보 공개 등 그 형태가 경우에 따라 매우 다양했다. 보안 사고의 증가는 정보기술이 발달함에 따라 대규모 개인정보의 집적 및 처리가 빈번해지고 이를 통한 기획, 마케팅, 고객관리가 표준화되고 있는 현실을 잘 반영하고 있는 것으로 보인다.

당연한 말이지만 개인정보 유출의 위험을 줄이는 근본적인 방법은 핵심 개인정보를 수집하거나 저장하지 않는데 있다고 할 것이다. 우리나라 주요 웹사이트는 회원가입 시 주민등록번호와 주소, 전화번호 등 중요한 개인식별정보를 필수적으로 요구하는 경우가 많다. 그러나 미국이나 일본 등 주요 선진국의 웹사이트는 대부분 필수적인 최소 정보만 요구하고 있는 것을 감안할 때 우리나라 웹사이트가 일반적으로 회원가입 시 실제 필요한 내용보다 다소 많은 개인 정보를 요구하고 있는 것이 아닌가 의심스럽다.

미국의 대표적인 온라인 가상현실게임인 "세컨드라이프"는 회원가입시 게임에서 사용할 이름, 이메일 주소, 생년월일, 로그인 암호, 그리고 차후 본인확인을 위한 개인보안답변 등을 기재하게끔 하는데, 기본적인 정보를 입력한 후 확인버튼을 누르면 가입 시 입력한 이메일 주소로 가입 최종 확인 메일이 도착하게 되며 고객이 해당 메일을 잘 수신하였다는 확인을 하게 되면 ID가 최종 생성 처리된다.

일본의 대표적인 포털 사이트 야후 재팬의 가입 절차도 이와 크게 다르지 않다. 사용할 ID, 비밀번호 등을 입력하는 것이 기본이며, 본인에 관한 개인식별정보는 생년월일, 우편번호, 이메일주소, 업종과 직종을 선택하는 것이 전부이다. 이 밖에 우리나라의 큰 포털 사이트에도 대부분 도입되어 있는 자동가입방지장치와 약관 동의 부분이 있는 등 기본적인 입력 사항들이 갖추어져 있을 뿐이다.

일본의 경우에는 우리나라의 주민등록번호에 해당하는 개인고유식별번호가 별도로 존재하지 않는다. 따라서 웹사이트 회원 가입시에 우리나라의 주민등록번호에 해당하는 정보를 입력 받을 수도 없다. 경우에 따라 운전면허증 번호를 입력하도록 하는 경우가 있지만 어디까지나 예외적인 경우로 보아야 한다. 미국의 경우에는 영주권 이상을 보유하고 있는 경우 "사회보장번호(Social Security Number)"가 부여되고 있지만 세컨드라이프의 예에서 보는 것과 같이 사회보장번호의 입력을 필수로 요구하지는 않는다.

물론 정확한 개인식별정보, 예를 들어 주민등록번호나 집 주소, 이메일 주소 등은 고객관리나 마케팅적 관점에서 볼 때 대단히 유용한 정보인 것이 사실이다. 또한 이러한 정보는 수사기관의 수사나 정부의 연구 및 조사 목적에도 중요하게 활용되고 있다. 특히 주민등록번호에 포함되어 있는 고객의 생년월일과 성별 정보, 개인식별 가능성 등은 활용적 측면에서의 가치가 매우 크기에 정확한 정보를 얻기 위하여 필수적으로 주민등록번호의 기입을 요구하는 경우가 많다.

이렇게 수집된 개인정보는 주요 대기업이나 포털 사이트의 경우 이미 천만 건 이상을 훌쩍 넘어서고 있다. 대규모로 수집된 개인식별정보는 활용의 편의성만큼이나 안전한 유지를 위한 각종 비용이 크게 소요되기 마련이다. 수천만 건 이상의 데이터를 저장하기 위해서는 서버장비, 보안장비를 포함하여 각종 유지보수 인력, 감사 인력 등 대규모의 인적, 물적 자원이 필요하다. 날로 늘어가는 해킹 기술에 대처하기 위한 시스템 업그레이드 비용 또한 지속적으로 커져 가고 있다. 인적, 물적으로 기업이 최선의 노력을 기울인다고 하여도 정확한 이름과 주민등록번호 등의 핵심 개인정보는 다양한 목적으로 사용 가능하기에 특히 개인 주민등록번호 데이터베이스의 정보를 불법적으로 유출하거나 매매하려는 시도는 끊이지 않고 발생하고 있다.

이에 따라 개인정보보호와 관련한 정부 정책은 웹 상에서의 주민등록번호 수집을 일반적으로 금지하는 방향으로 전개될 가능성이 크다. 사실 주민등록번호를 수집하는 대다수의 홈페이지에서는 기존의 일반화된 관행대로 주민등록번호를 수집하는 경우가 많은데, 정작 기업에서 필요로 하는 정보는 주민등록번호 자체라기 보다는 그 안에 포함되어 있는 생년월일, 성별 정보 정도인 경우가 많다.

최근 급격히 주목받고 있는 가상주민번호 아이핀 인증을 활용하면 개인의 주민등록번호를 별도로 수집하지 않고도 기업은 주민등록번호 내에 포함되어 있는 생년월일과 성별정보를 개인의 동의 하에 수집할 수 있게 된다. 가상주민번호 아이핀은 한국신용평가정보 등 아이핀 제공 기관에서 본인확인용 ID와 암호를 생성한 후 각종 홈페이지 회원 가입시 주민등록번호 대신에 본인확인을 위하여 사용할 수 있는 새로운 인증수단이다. 가상주민번호 아이핀은 방송통신위원회와 한국정보보호진흥원이 주관하고 한국신용평가정보 등 주요 신용정보기관이 제공하는 인증방법으로서 생성과 폐기가 자유롭고, 강한 보안성에 비하여 비교적 편리하게 사용할 수 있는 인증수단이라고 할 수 있다.

이미 웹 상에서 주민등록번호가 광범위하게 쓰이고 있고, 주민등록번호를 통해 이루어지고 있는 업무 처리 방법을 모든 웹사이트에서 빠르게 변경하기 어렵다면 현실적으로 결제나 구입 등 중요한 업무 프로세스는 주민등록번호만으로 할 수 없게끔 부가적인 인증 수단을 도입하는 작업도 우리나라의 현실에서 큰 의미를 지닐 수 있을 것이다. 실제로 최근 다수의 웹사이트에서는 회원 가입이나 서비스 신청, 정보수정, 포인트 사용 등 주요 작업 시에 휴대전화나 공인인증서 인증을 도입하여 실제 본인 여부를 보다 엄격히 확인하는 경우가 늘어나고 있다.

종합적으로 볼 때 웹사이트의 일반적인 사용시에는 가상주민번호 아이핀 인증 등을 통해 고객관리 및 마케팅을 위한 최소 정보만을 저장하고 결제나 구입 등 부가적인 중요한 업무 처리시에 휴대전화 인증, 공인인증서 등을 활용하여 실제 본인 여부를 엄격히 확인하는 이중적인 방법을 구성하도록 권장하는 정책이 차후 광범위하게 도입될 것으로 여겨진다.

소 잃고 외양간 고친다는 비판의 소리가 높지만 고치지 않는 것 보다야 고치는 것이 훨씬 낫다. 기업 및 공공기관의 개인정보 관리 담당자는 주민등록번호 등의 개인정보를 무심코 수집하고 있지 않은지, 수집하고 있는 개인정보가 업무에 꼭 필요한지 다시 한 번 점검해야 할 것이며 늦었지만 지금부터라도 소중한 개인정보보호를 위하여 보다 다각적으로 노력해 나가야 할 것이다.

 제공: 크레딧뱅크(명의도용차단 미니페이지)