'인터넷/정보보호'에 해당되는 글 3건

  1. 2012.07.03 <개인정보>주민등록번호, 뜨거운 감자
  2. 2011.09.02 개인정보 보호를 위한 기업의 노력과 근원적 고민 (2)
  3. 2009.03.12 당신의 모든걸 감시하는게 무슨 통신비밀보호?

<개인정보>주민등록번호, 뜨거운 감자

인터넷/정보보호 2012. 7. 3. 08:30

오는 8월 18일부터 인터넷과 게임을 비롯해 온라인에서는 기업들의 주민등록번호 수집행위가 전면 금지됩니다........................ 그런데, 이게 그렇게 간단하지 않은 상황입니다.

 

이번 조치는 “민간기업들이 ‘무분별하게’ 주민등록번호에 의지해서 가입자를 식별하고 정보를 수집하면 계속해서 개인정보 유출 사태가 벌어질 수 밖에 없다”는 각계의 지적에 따라 ‘정보통신망 이용촉진 및 정보보호에 관한 법률’을 일부 개정한 결과입니다..............이거 굉장히 아픈 얘기인데요, 온라인 기업은 온갖 법에 따라 주민번호를 수집해야만 하는 의무가 있어요. 물론 법 핑계 대고 더 많이 수집했을 수 있어요. 그렇다고 해서 무분별했다고 비난받기에는 좀^^;; 준법 기업 한 죄죠.

 

이어지는 글은, 나름 토론문이라 점잖고 딱딱합니다. 관심 가져볼 주제라, 코멘트를 이어가겠습니다.

 

정보통신서비스 제공 사업자 입장에서, 그동안 각종 관계 법률을 준수하는 과정에서 주민등록번호를 수집할 수 밖에 없었던 측면이 있습니다. 각 기업은 이렇게 수집한 개인정보를 보호하기 위해 최선의 노력을 기울였으나 일부 예기치 않은 유출사고 등이 이어지면서 개선방안을 함께 고민해왔습니다. 정부가 주민등록번호 수집을 전면 금지하게 된 배경을 충분히 이해하고 있습니다. 다만, 전격적으로 제도가 바뀌면서 기업 입장에서는 몇 가지 우려되는 부분이 없지 않으며 합리적인 제도 개선이 이뤄지기를 바랍니다.

 

 

기업은 왜 주민등록번호를 수집하는가

 

인터넷서비스 이용과정에서는 주민등록번호를 이용한 실명 확인 (정보통신망법의 ‘제한적 본인확인제’) 및 연령 인증 (청소년보호법 셧다운제, 정보통신망법 청소년 유해정보 차단, 게임산업진흥법 게임과몰입, 중독예방 등) 등을 요구합니다. 이에 따라 인터넷서비스 제공사업자는 회원 가입 단계에서 1회 인증을 통해 본인을 확인, 이용자의 편의를 도모하고 있습니다.

또한 관련 법에 따라 상품구매 등 이용내역을 확인하거나 정보를 보존해야 할 법적 의무도 있습니다. 서비스 내에서 현금성 자산(이머니, 마일리지)에 대한 소유권, 계약이행, 명의 도용방지, 분쟁해소, 공인인증서 인증 등에도 필요합니다.

고객 문의사항에 대해서도 상담내역 조회 관련, 분쟁방지, 프라이버시 보호 등을 위해 본인확인 후 답변이 제공됩니다.

온,오프 사업자들과 서비스 제휴, 마일리지 연계 등을 진행하는 과정에도 주민등록번호를 연결값으로 활용해왔습니다.

<표> 주민등록번호 수집 등을 요구하는 법령 현황  (표를 보면, 머리 아파요. 주민번호를 수집, 저장하라는 법이 이렇게 많습니다. 현재 현실이 그래요. 부끄럽지만, 수사기관이 주민번호를 요청하는 것도 법이죠.)

 

 

주민등록번호 수집 금지와 함께 진행되어야 할 관련 법 제도 정비

 

정보통신망 서비스 제공 사업자들은 정보통신망법 개정에 따라 주민등록번호를 수집하거나 저장하지 않는 방안을 마련하기 위해 기술적 조치를 준비하고 있습니다. 이같은 작업은 중소업체에게는 적잖은 비용이 소요되며 신중하게 진행되어야 합니다. (이게 깔끔하게 정리되면 모를까, 제도적으로 정비가 덜 되어 있는데, 괜히 개발작업 들어가는 것도 삽질이 될 수 있지 않을까요. 포털 같은 큰 기업은 그래도 합니다. 해야죠. 근데, 온라인 기업들, 이번 적용은 일평균 방문자수 1만명 이상 웹사이트가 우선 대상이 되는데, 다들 괜찮아요? 확실해요?)

관련 부처의 적극적 노력에도 불구, 아직까지 부처 협의가 완벽하게 마무리된 단계는 아닙니다. 금융위원회는 카드회사나 보험회사의 주민번호 수집은 정보통신망법의 금지 대상이 아니라고 입장을 밝혔습니다. 공정거래위원회에서도 전자상거래법 상에서의 주민번호 수집은 정보통신망법과는 별개이므로, 전자상거래법 개정이 되기 전까지 해당 조항은 유효하다라는 입장을 밝힌바 있습니다. (방향은, 주민번호 사용 못하게 한 이번 법 개정이 맞습니다. 문제는 정보통신망법에서만 정리가 됐을 뿐, 다른 법들은 꿋꿋하게 주민번호 요구하는데, 이건 어떻게 정리될까요)

결국 주민등록번호 ‘수집’ 자체가 명시적으로 금지됐음에도 불구, 일단 온라인에서 본인을 확인하는 최소한의 사업자 주의의무를 다하기 위해 ‘수집 후 일시 저장했다가 폐기’ 해야 하는 상황이 적지 않을 것으로 예상됩니다. 즉 법 준수를 위한 절차가 여전히 복잡한 상태입니다. 당장 8월18일 주민등록번호 수집 금지 조항이 발효되는데, 아직까지 구체적 절차를 제시해줄 시행령과 고시, 가이드라인이 나오지 않은 상태입니다. (이 글은 당초 5월에 쓰여졌슴다. 그리고, 6월 말, 드디어 고시와 가이드라인이 나왔습니다. 최소한, 1단계로 일평균 1만명 이상 방문하는 사이트 대상이라든지, 2013년 8월부터는 모든 웹사이트 대상이라든지 단계적 적용이 확정됐는데, 아직도 적잖은 의문들이 남아있다는게 좀...)

시행령 초안에 대한 공청회에서는 절차와 방법과 관련된 더 많은 질문이 꼬리를 물었을 뿐입니다. 주민등록번호 수집 대신 본인확인을 위해 이동통신사, 카드사, 신용평가사와 추가 협의도 더 필요한 것으로 확인됐습니다. 게다가 제한적 본인확인제의 경우, 방송통신위원회가 폐지를 검토중인 것으로 보도됐으며 헌법재판소에서 위헌을 다투고 있으나 아직까지 법 개정 논의가 본격화되지 않았습니다. (들려오는 얘기로는 연말쯤에나 개정 작업이 진행될 거 같습니다.... 전봇대, 참 오래 갑니다)

이처럼 제도가 정비되지 않은 상황으로 인한 불확실성이 우선 제거되어야 합니다. 구체적인 가이드라인이 마련되어야 주민등록번호를 수집하지 않거나 혹은 수집 후 폐기하는 방식으로 시스템을 재구축하고 정비하고 이용자에게 이해를 구하는 작업을 진행하는데 더욱 탄력이 붙을 수 있습니다. 법이 시행되는데 구체적 방법과 절차이 명확하지 않은 상황은 시스템 준비에 시간이 필요한 여러 사업자들로 하여금 법을 지키지 못하는 상황을 야기할 수도 있습니다.

 

주민등록번호를 통한 본인확인의 실효성

 

관계 법령은 본인확인 절차를 위해 공인인증기관이나 본인확인서비스 제공사업자, 행정기관에 의뢰하거나 모사전송·대면확인 등의 방법을 제시하고 있습니다. 그러나 일각에서는 “성명과 주민등록번호의 일치 여부를 확인함으로써 이루어지는 실명인증(실명확인)은 본인확인과는 기술적으로 관련이 없음에도 불구하고, ‘실명확인’이 마치 ‘본인확인’인 것처럼 오해된 채로 통용되고 있다”고 지적하고 있습니다. (김기창, 2009)

실제 주민등록번호와 이름의 조합을 이용한 ‘실명 확인’의 경우, 어떤 이름을 가진 이에게 특정 주민등록번호가 발급된 사실이 맞다는 점을 확인할 뿐, 실제 전자교신의 당사자인지 확인할 방법은 없습니다. (이 지적은 꽤 오래 됐습니다. 현재 본인확인이 모두 눈가리고 아웅이란거죠. 근데, 아무리 문제를 제기해도 넘어가는, 좀 희한한 상황이기도 합니다)

실명확인서비스는 현재 한국신용평가정보(주), 서울신용평가정보(주), 한국신용정보(주), 한국정보통신사업협회 등이 정보통신서비스 제공자나 공공기관 등과 계약을 체결하고 제공하고 있는데, 금융거래나 통신서비스 이용이 없을 경우, 실명확인이 되지 않습니다. 이 경우 별도의 절차에 따라 신분증 등 서류를 해당 실명확인서비스 업체에 보내면, 소정의 절차를 거쳐 실명확인이 가능합니다. 이 때 타인의 신분증을 도용하거나, 스캔 이미지를 변조하는 등 신분을 허위로 만들어낼 가능성은 배제할 수 없습니다. 근본적으로 따져보면, 개인정보를 사업자 대신 금융정보를 다루는 민간사업자나 통신사업자 단체에 넘겨 본인확인을 하는 구조 역시 완벽하게 신뢰할 수 있는 상황은 아닙니다.

 

주민등록번호를 통한 연령확인의 실효성

 

최근 청소년에 대한 연령 확인의 경우, 관계 부처는 아이핀, 공인인증 등 다양한 방법을 사용할 수 있다고 설명하고 있으나 실제로는 불가능합니다. 앞서 살펴봤듯, 금융거래 등이 없는 청소년의 본인확인이 불가능하기 때문입니다.

일단 현실에서는 청소년 연령 확인을 위해 기존 본인확인 절차 대신 실제 해당 주민등록번호의 존재 여부만 확인할 수 있는 유효성 검토를 거치게 됩니다. 또 법정대리인의 확인을 요구합니다. 그러나 이 과정에서 부모와 자녀 관계에 대한 입증은 사실상 불가능 합니다. 그 부모의 존재가 ‘실체’인지 여부도 앞서 ‘본인 확인’의 한계를 감안하면, 불확실합니다. (역시 눈가리고 아웅이라고 밖에..)

현재 관계 법령은 이같은 연령 확인을 100% 완벽하게 하지 못한 탓에 일부 이용자가 허위 정보를 이용해 회원에 가입한 이후, 사고가 발생했을 경우에 입증 책임은 개인정보 수집 주체가 지도록 하고 있습니다. (웹사이트를 운영한다고 생각해보세요. 청소년이 엉터리로 남의 주민등록번호로 회원 가입, 음란물을 게시한다거나, 뭐 사고를 쳤어요. 그랬더니 청소년인지 제대로 확인 안한 죄, 사이트 운영자가 제대로 설명 못하면 책임을 묻겠다는 건데요... 솔직히 하는데까지 노력은 해보겠지만, 그걸 어떻게 완벽하게 막아요..가능할까요? 대개 온라인에서는 기술적 보호조치를 취했냐가 중요한데, 이쪽 법은 그럼에도 사고 나면 책임지라고 합니다.. 웹사이트 운영하려면 간이 커야 하나요?  ) 사업자들은 이같은 책임을 다하기 위해 최소한 부모와 자녀 관계로 입력된 개인정보의 연령 차이가 18세 이상인지, 혹은 부모 입장에서 본인확인한 주민등록번호의 소유자가 20세 이상인지 확인하고 있습니다. 그러나 이같은 확인 절차만으로 실체적 진실을 확인하는 것은 불가능합니다. 개인정보를 도용한 사람이 1차 책임을 지더라도 사업자가 2차적 책임을 져야 하는 법 제도와 달리, 실제로는 해당 가입자가 나이 혹은 부모 개인정보를 속였더라도 서비스 제공자가 이를 사전에 확인할 방법이 존재하지 않습니다.

 

대체수단의 실효성 및 방향에 대한 고민

 

현재 온라인에서의 주민번호를 대체하는 수단 가운데 I-pin의 경우 별도 가입상의 불편함 등으로 인해 이용률이 저조합니다. 각 기업마다 비용을 들여 I-pin을 도입하고 있으나 I-pin 업체가 각 기업을 대신하여 개인정보를 보관하는 구조로서 오히려 해킹시 취약점이 더 클 수 있다는 우려도 있습니다. 앞서 살펴봤듯 공인인증서나 신용카드 등에 의한 본인확인 방법의 경우, 특정 계층이나 연령대를 모두 포괄한다고 보기 어려운 한계가 있습니다.

또한 I-pin가입 시 발행하는 사업자 공통 식별값인 CI는 단순히 주민번호 13자리를 대체하는 값으로 활용되고 있어 이 값이 유출될 경우 주민번호가 유출되는 효과와 동일하다고 볼 수 있습니다. (I-pin, 참 인기없어요. 왜 그럴까요. 어려워서죠. 그런데 앞으로는 I-pin이나 공인인증서, 휴대폰 등으로 본인확인 해야 해요. 그런데, 공인인증서, 범용만 가능한 걸까요? 비용 부담은 누가 해요? 사소하지만(?) 궁금한게 여전히 많아요.)

그럼에도 불구하고, 본인확인 혹은 연령확인에 대한 법적 의무는 명확하기 때문에 기업 입장에서는 개인정보 수집을 일단 하지 않을 방법이 없습니다. 회원들의 개인정보를 수집했다가 폐기하는 절차의 복잡성과 위험성은 사업자 입장에서 여전히 적잖은 부담입니다. 결국 주민등록번호 수집 금지는 처음부터 수집했다가 폐기하는 절차 없이 모두 다 수집 않도록 하는 것이 가장 바람직합니다. 본인확인, 연령확인 자체의 필요성과 실효성을 재검토하고, 이같은 불합리한 책임을 사업자에게 묻는 것이 합당한지 살펴봐야 합니다. 참고로 개인정보보호법 제39조 손해배상책임 조항에서는 개인정보와 관련된 위법 행위 발생 시 사업자에게 고의, 과실 책임이 없음을 입증하도록 규정하고 있습니다. (너무 복잡하고, 개발도 해야하고, 그나마 사고 터지면 난리날테고, 이젠 어느 기업이 주민번호 수집을 고집하겠습니까. 트위터니 페이스북이니, 주민번호 없다고 문제 있던가요? 아직도 관련 법제가 깔끔하게 정리 안된건 슬픈 일입니다.)

 

또한 현재 정보통신망법에서만 주민등록번호를 수집 금지하는 구조를 가져간다면 온라인 사업자들만 차별이 불가피할 것으로 우려됩니다. 당장 카드회사 등 일부 기업들은 주민등록번호 수집을 계속 할 수 있습니다. 주민등록번호는 가장 손쉬운 ‘연결값’이기 때문에 카드회사와 서비스 및 비즈니스 제휴를 하는 오프라인 기업들도 주민등록번호 수집을 계속하지 않을 이유가 없습니다. 사실상 온라인 기업들만 금융회사를 비롯해 오프라인 기업들과 서비스 제휴를 중단해야만 하는 불공정한 환경에 처할 수 있습니다. (식별값을 아예 새로 만들면 되는데요. 주민번호 다 수집해놓은 오프라인 기업들이 뭐하러 그리 번거롭게 새 작업을 하겠습니까. 그리고 온-오프 정책 별도로 가져가다보니.. 인터넷 회원이라도 콜센터나 대면상담 등 오프라인에서는 주민번호를 받아도 된다고 하더군요. 근데, 받으면 뭐해요. 회원이 인터넷 가입 할 땐 주민번호 안 받았는데, 이 사람이 그 사람인지 어떻게 확인해요.)

 

주민등록번호 제도 개선은 개인정보 유출의 위험성이 심각한 단계에 이르렀다는 사회적 합의에 따라 이뤄지고 있습니다. 기업 입장에서는 이같은 위험을 안고서 사업을 영위하기 보다 개인정보를 수집하지 않은 상태에서 자유로운 서비스 제휴 및 비즈니스 협력이 가능한 환경이 필요합니다. 이를 위해서는 일부 산업의 기업들만 주민등록번호 수집이 금지되는 반쪽짜리 제도 개선보다는 신중하더라도 전체적인 구조를 바꿀 수 있는 대안이 마련되어야 합니다.

 

주민등록번호, 한국 고유 제도입니다. 세계 어느 나라에도 없어서 행정부들의 부러움(?)도 산다더군요. 그래서 일본도 한국 따라 유사한 제도를 고민중이라고 합니다. 그런데 한국에서 하도 문제가 많이 일어나니까, 일본에서는 몇가지 전제 조건을 갖고 논의 한답니다. 첫째, 주민번호가 털리면, 새로 바꿔줄 수 있다는 것, 둘째, 딱 정해진 일부 부처에서만 쓰고 민간에선 아예 못 쓰도록 한다는 것. 어찌될지 모르지만, 한국이 반면교사가 될까요? 하지만 이런 논의에 앞서, 이 제도 자체가 어떤 목적으로 도입됐으며 현재도 유효한지, 다른 대체 수단은 없는지, 이 정도 문제가 심각하면 제도 자체를 처음부터 다시 고민해야 할 시점은 아닌지, 그런 얘기를 해야 할 때입니다. 
개인적으로는 솔직히, 주민등록번호 하나로 아이 학교 성적도 확인하고, 병원 기록도 나오고, 쇼핑 내역에 세금낸 거, 인터넷에 글 올린 거, 게임한 거, 야동 본 거... 다 연결되는게 아주 무섭습니다.

Trackbacks 0 : Comments 0

Write a comment


개인정보 보호를 위한 기업의 노력과 근원적 고민

인터넷/정보보호 2011. 9. 2. 02:21



31일 국가인권위원회에서 열린 '기업의 개인정보 수집과 보호' 토론회에서.. 토론문. 


대체로...절대.. 기록으로 남기는데 소심해져서...토론문은 쓰지 않고 말로 때우는데, 이날 N사의 L님께서 너무나도 훌륭한 토론문을 일찌감치 내시는 바람에...어쩔 수 없이 마감날밤에 급조. 하여간에... 이날 토론회는 생각보다 재미있었다. 특히 "위치정보법은 없어져야 마땅한 법. 왜 있는지 모르겠다"고 단호하게 조목조목 말해준 김보라미 변호사님께 많이 배운다.  이날 전체 자료집은 파일로 올려둔다. 


 
여튼 기업이 보안 사고치고 책임 지지 않겠다는 얘기가 아니라, 책임이 너무 무겁고, 완벽한 보안은 어려우니..차라리 정보를 덜 수집보관저장하고 싶고..이런저런 고민의 이야기다. 

 --------------
 
 “포털이 개인의 정보에 대해 너무 많은 것을 요구하는 것은 문제이다. 해외 사이트의 경우 자신의 ID와 패스워드만 있으면 가입이 가능한데 반해 국내에서는 ID를 발급받기 위해 주민번호, 집 주소, 집 전화와 휴대폰 번호까지 의무적으로 기록해야 하기 때문이다.” (2011.8.29 A사 보도)


개인정보 유출 사고 불감증이 우려되는 시대입니다. 금융기관과 전자상거래 업체, 포털까지 줄줄이 개인정보 유출 사고가 이어지고 있습니다. 법원은 네이트와 싸이월드의 개인정보 유출 피해자에게 위자료를 100만원을 지급하라는 약식 명령을 내렸습니다. 만약 이 명령이 최종 판결까지 이어질 경우, 100만원 대신 10만원 정도로 감경된다고 하더라도, 또 3500만 명 중 1000만 명에게만 보상한다고 해도 1조원이 소요됩니다. 단지 “포털이 개인 정보를 너무 많이 요구하는게 문제”라고 한다고 해도 이 같은 위험을 기업이 부담할 수 있을지 의문입니다. 

더구나 이날 언론 보도는 “개인정보가 유출된 회원들은 앞으로 위자료 지급 등 각종 소송에 나설 것으로 보인다…SK컴즈는 회원들의 이런 집단 움직임에 '우리로서는 최선을 다했다' '아무리 철저한 보안시스템이 있더라도 해킹하기로 맘 먹으면 어쩔 수 없다'는 등의 변명은 늘어놓지 않기를 바란다”라고 지적합니다. 

쉽게 복제되고 유출 시 여파가 빠르게 확산되는 디지털 정보의 특성 상 인터넷 기업은 정보보호를 위해 막대한 노력을 기울이고 있습니다. 그러나 보안사고를 100% 막을 수 있는 시스템이 현실적으로 존재하는 것이 아니기 때문에 정보 유출을 막기 위해 각종 법적 기준을 준수하고, 적지 않은 예산을 투입해 최선을 다할 뿐입니다. 이에 대해 “최선을 다했고, 아무리 철저한 보안시스템이 있더라도”라는 식의 구차한 변명조차 어렵다면, 기업의 무한 책임은 엄청난 부담이 됩니다. 기업 입장에서도 보다 근본적인 해결책을 고민하지 않을 수 없습니다. 



어떻게 하면 100점 정보보호가 가능할까

네이트 사태 이후, SK커뮤니케이션즈가 정보보호관리체계(ISMS) 인증을 받지 않았으며 개인정보보호관리체계(PIMS)인증도 올 3분기 심사 예정이었다는 점이 도마 위에 올랐습니다. 하지만 SK커뮤니케이션즈는 2009년 정보보호관리체계 국제표준인증인 ISO27001을 획득한 바 있습니다. 국제표준화기구(ISO)의 정보보호 경영시스템으로, 정보보호 표준 중 유일한 국제인증이라는 ISO27001은 대형 보안사고를 낸 농협도 지난 2007년 받았습니다. 당시 농협은 인터넷 뱅킹 뿐 아니라 포털, 농협e쇼핑, 금고지원시스템까지 IT보안 서비스 대부분을 포함해 인증을 받았다고 밝혔습니다. 농협은 2008년 방송통신위원회가 주최하는 정보보호 대상 시상식에서도 기술적, 물리적, 관리적 정보보호 수준에 대한 서류 및 현장 심사를 거쳐 우수상을 수상했습니다. 이처럼 기술적 보호조치 의무 기준을 강화하고, 개인정보관리체계 인증을 확대한다고 해서, 사고가 100% 예방되지는 않습니다. 법적 기준은 물론, 사회적 합의에 비해 훨씬 더 허술하고 보안에 신경쓰지 않은 ‘정보 유출 인재’도 적지 않지만, 각종 노력에도 불구하고 ‘재해’ 수준의 보안 사고 가능성을 완전히 배제할 수 없습니다. 


보안 위협에서 보호해야 할 정보를 차라리 줄여볼까

완벽한 정보보호가 불가능하다면, 보안 노력에 최선을 다하되 동시에 기업이 보유하고 있는 정보를 아예 줄여나가는 방안도 모색하지 않을 수 없습니다. 해외 사이트들도 늘 보안사고의 위험에 노출되어 있지만, 수천만 개인정보가 일시에 유출되는 일은 없습니다. 기본적으로 주민번호를 비롯해 각종 ID 번호를 요구하지 않기 때문입니다. 언론 보도처럼 포털이 개인정보를 과도하게 요구하는 것이 문제라면 이를 줄여나가는 노력이 병행되어야 합니다. 

그동안 인터넷 기업들은 정보통신망 이용촉진 및 정보보호에 관한 법률 제44조의 5(게시판 이용자의 본인확인)에 근거해 게시판에 글을 쓰는 이용자에게는 본인 확인 절차를 요구했으며 동법 시행령 제29조(본인확인조치)에 근거해 “본인확인정보”를 정보 게시 후 6개월까지 보관하는 법적 의무를 다했습니다. 또한 전자상거래 등에서의 소비자보호에 관한 법률 제6조(거래기록의 보존등)에 근거, “거래의 기록 및 그와 관련된 개인정보(성명.주소.주민등록번호 등)”를 보존해야 하는 법적 의무를 준수해왔습니다. 

그러나 네이트 사태 이후 이 같은 법적 의무 이행 방식에 대해 처음으로 문제가 제기됐습니다. 인터넷 기업이 본인확인 정보만 보관하면 되는데 주민번호를 과도하게 수집, 보관, 저장하는 것은 관행 탓이라는 지적과 전자상거래법도 개인정보 예시를 든 것일 뿐 굳이 주민등록번호여야만 하는 것은 아니라는 분석이 등장했습니다. 그동안 매년 정기적으로 진행된 감독당국의 정보보호 실태 점검에서 단 한번도 지적되지 않았던 사항이지만, 이 같은 지적이 이제라도 나온 것은 정보보호에 대한 각계의 고민이 그만큼 깊어진 덕분이라고 볼 수 있습니다. 


본인확인만 하고 주민등록번호를 폐기할 수 있을까

제한적 본인확인제의 도입 취지는 악플을 방지하고 불법행위자를 추적, 처벌하기 위한 것입니다. 본인확인 yes/no 값만 저장할 경우, 이를 실제 당사자와 매칭할 수 있는 시스템을 본인확인 절차를 진행하는 신용평가회사 등에서 갖춰야 합니다. 실제 최근 한 신용평가회사에서 이 같은 준비를 하는 것으로 알려졌는데 각 신용평가회사는 금융기관과 연계, 일부 국민의 개인정보만 갖고 있기 때문에 전체 신용평가회사가 동시에 나서지 않는다면 무의미 합니다. 

이와 함께 기업마다 다르지만, 휴대전화 인증이나 공인인증서 인증 등의 방법은 제외하거나 변경하고 신용평가회사 활용 시스템으로 일원화해야 할 수도 있습니다. 민간 기업에 불과한 신용평가회사로 개인정보가 집중되는 상황의 보안 문제는 더욱 심각하게 고민할 지점입니다.

더불어 기존 14세 인증에 16세 인증을 추가 도입해야 하는 청소년보호법과 게임산업진흥에 관한 법률 개정안은 물론, 성인 인증이 필요한 경우에 대비, 본인확인값 외에 나이에 따른 분류값을 추가로 부여해야 할지도 고민해야 합니다. 본인확인 정보만으로는 중복 가입을 제한하기 어렵기 때문에 별도의 시스템을 갖춰야 합니다.

거의 모든 기업과 정부, 공공기관이 온라인/오프라인 제휴를 주민등록번호 기반으로 진행하는 현실도 감안해야 합니다. 어느 특정 기업이 주민등록번호를 먼저 폐기하기로 결정한다면, 각종 마케팅과 제휴를 중단하거나, 혹은 파트너들과 함께 다른 키값을 적용하는 방안을 모색해야 합니다. 마케팅 목적의 주민등록번호 보관을 금지하는 등 강력한 법적 조치가 병행되지 않는 한 쉽지 않은 현실입니다. 


그런데 왜 본인확인은 포기할 수 없을까

앞서 모든 노력을 동시에 진행한다고 해도, 근본적으로 왜 이 같은 시스템을 갖춰야 하는지 의문을 제기하지 않을 수 없습니다. 본인확인시 주민등록번호를 입력하고 바로 폐기하는 방안을 다각도로 연구한다면, 제한적 본인확인제는 절대 포기할 수 없는 것인지 따져볼 필요가 있습니다.

악플 방지를 위한 제한적 본인확인제는 2007년 정보통신부가 발의한 정보통신망법 개정안을 여야 국회의원들이 압도적으로 지지하면서 도입됐습니다. 그러나 이후 악플이 감소됐다는 유의미한 조사 결과도 없으며 실제 악플 문제는 여전히 사회적 이슈여서 실효성 논란이 확산되고 있습니다 국내 기업과 경쟁하는 외국계 기업은 적용받지 않아 역차별 논란도 이어지고 있으며 소셜댓글이 규제 회피 방안으로 등장하기도 했습니다. 이와 함께 오히려 과도한 개인정보 유출의 근본 원인으로 지적되고 있습니다. 고의적 범죄를 저지르는 자는 대개 남의 주민등록번호를 도용, 규제를 회피합니다. 실제 범죄 수사에서는 본인확인 정보보다IP 추적 등 기술적 방법이 가능합니다. 헌법재판소는 이 제도의 위헌 여부를 심리하고 있습니다. 방송통신위원회도 이 같은 문제를 인지하고 2010년 4월 규제개선TFT를 구성하기도 했습니다.

결국 주민등록번호를 활용해 본인확인을 한 뒤, 폐기하기 위해 각 기업의 회원정보 시스템을 뜯어고쳐야 한다면, 아예 주민등록번호 없이 서비스가 가능하도록 시스템을 고민하는 편이 합리적일 수 있습니다. 주민등록번호를 본인확인 인증 업체에 몰아주는 것도 적절치 않습니다. 이미 주민등록번호 수집, 보관, 저장의 기술적 비용적 부담이 중소기업 진입장벽으로 작용하고 있는데 암호화를 비롯해 각종 기술적 보호조치를 강화하기에 앞서 보호 대상 정보 자체를 포기하는 방안을 모색하는 것이 바람직할 수도 있습니다. 


위치정보와 결합되면서 더 심각해진다면 

다음은 지난 5월 모바일 광고플랫폼인 Ad@m을 통해 개인이 식별되는 위치정보를 동의 없이 수집했다는 의혹과 관련, 경찰의 압수수색을 받았습니다. 중소 앱 개발자나 업체에서 모바일 광고 개발/운영/영업 부담을 줄일 수 있도록 해주는 인터넷 생태계의 상생 모델로서 현재 1200여개 앱이 채택하는 등 좋은 호응을 얻고 있지만 개인위치정보 불법 수집 의혹이 제기됐습니다. Ad@m이 수집한 것은 모바일 앱에서 광고가 노출된 장소의 좌표값 등 단순 위치정보로서 이 같은 정보로는 개인을 식별할 수 없습니다. 전화번호나 국제단말기식별번호(IMEI), 맥주소(Mac Address)는 수집하지 않았습니다. 문제는 포털 사업자인 다음은 이미 회원 개인정보를 보유하고 있기 때문에 수집된 위치정보와 결합시킬 수 있다는 오해였습니다. 매칭 DB가 존재하지 않으며 기술적으로 회원정보와 연결될 가능성이 없음에도 불구, 본인확인 정보를 보유하고 있다는 사실만으로 의혹을 받았습니다. 아무리 이용자가 식별되지 않는 위치정보라 하더라도 수천만 회원 정보를 보유한 포털사라는 이유만으로 식별성 개인위치정보 수집으로 해석된다면, 차라리 회원 개인정보를 보유하지 않는 편이 낫습니다. 


위치정보 식별 가능성을 어떻게 따질 것인가 

위치정보의 보호 및 이용 등에 관한 법률 제2조(정의)는 제1호에서 “위치정보”에 대해 “이동성이 있는 물건 또는 개인이 특정한 시간에 존재하거나 존재하였던 장소에 관한 정보”로, 제2호에서 “개인위치정보”에 대해 “특정 개인의 위치정보(위치정보만으로는 특정 개인의 위치를 알 수 없는 경우에도 다른 정보와 용이하게 결합하여 특정 개인의 위치를 알수 있는 것을 포함한다)”로 정의하고 있습니다. 제1호의 “개인의 위치정보”와 제2호의 “개인위치정보”의 관계는 상당히 애매하며 제2호에서 결합의 용이성 만으로 식별성을 판단하는 것도 과잉 해석을 낳습니다. 또 “이동성이 있는 물건”의 위치정보에 대해 소유자 동의를 요구하는 것은 유례없이 강력한 규제로 오히려 실생활에 유용한 정보 흐름을 막는게 아니냐는 지적도 제기되고 있습니다. 


위치정보 규제의 모호함이 문제라면

위치정보의 보호 및 이용 등에 관한 법률” 제15조(위치정보의 수집 등의 금지) 제1항은 “누구든지 개인 또는 소유자의 동의를 얻지 아니하고 당해 개인 또는 이동성이 있는 물건의 위치정보를 수집·이용 또는 제공하여서는 아니된다”고 규정합니다. 다음은 합법적으로 방송통신위원회의 허가를 받은 위치정보사업자로서 위치정보를 수집하며 Ad@m을 이용한 앱에서 위치정보 수집시 OS 기반에서 ‘동의’를 받고 있습니다. 다음은 OS 위치정보 동의 절차가 변경될 가능성 등에 대비해 앱 개발자들에게 위치정보 수집시 사용자 동의를 구하라고 고지하고 있습니다.
그러나 ‘누구든지’ 구해야 할 동의와 관련, 앱 실행시 OS에서 “동의”를 구한 뒤, 추가로 다음이 동의를 받아야 한다면 이는 기술적으로도 서비스적으로도 맞지 않습니다. 여기에다 위치정보 수집 주체를 각 앱 개발사로 해석할 경우, 1200여개 Ad@m 이용 앱은 물론이거니와 대다수 국내 앱 개발사는 이용자 동의에도 불구, 무허가 위치정보사업자로 전락할 가능성도 있습니다. 위치기반서비스사업자가 스스로 위치정보를 수집하여 위치정보사업을 하는 경우인지 경계가 모호한 경우도 있습니다. 위치정보법은 ‘위치정보의 유출·오용 및 남용으로부터 사생활의 비밀 등을 보호하고 위치정보의 안전한 이용환경을 조성하여 위치정보의 이용을 활성화함으로써 국민생활의 향상과 공공복리의 증진에 이바지함’을 목적으로 하는데, 현재 실제 법 적용 과정에서 나타난 문제점들은 위치정보 이용을 가로막고 있습니다.



결론

최근 SNS 서비스가 활성화되면서, 이용자들은 자발적으로 자신의 개인정보와 위치정보를 공개하는 경우가 적지 않습니다. 이용자 스스로 자기정보가 어떻게 수집, 활용되는지 범위를 이해하고 결정할 수 있도록 자기정보통제권에 대한 논의가 더 필요합니다. 더불어 개인정보를 기업들에게 일률적이고 강제적으로 수집, 확인하도록 하는 제도도 개선되어야 합니다. 

또 해외에서는 식별되지 않는 단순 위치정보 등을 기반으로 하는 다양한 타겟 마케팅이 활성화됐지만, 국내에서는 아직 등장하지 않은 단계입니다. 주민등록번호에 의존해 비식별성 데이터 마이닝 기술 개발이 뒤쳐진 측면도 있습니다. 식별되지 않는 위치정보는 이용자의 편익을 늘려주는 서비스가 되거나 사회적 가치를 증가시킬 수 있습니다. 식별되지 않을 이용자 권리를 보호하고, 개인정보를 과도하게 수집하지 않도록 하는 동시에 새로운 서비스 혁신이 이뤄질 수 있도록 과도하거나 모호한 규제도 개선되기를 바랍니다. 

Trackbacks 0 : Comments 2
  1. mahasiswa terbaik 2011.10.23 04:54 Modify/Delete Reply

    이 사이트는 내 일 밤낮의 이전 커플 조금씩 작성되고 있습니다. 나는 그것은 동시에 그럼에도 불구하고 우리의 노트북이나 컴퓨터의 시스 세션 귀하의 블로그를 보니 아마도 믿고 그 또는 그녀가 유사한 것은 당신을 위해 전처 발생했다. 단지 어떤 개념에 대해?

  2. GHd 2013.07.17 00:00 Modify/Delete Reply

    지금은 반짝반짝 빛이 나겠지,, 하지만 시간이 흐르면 그빛은 사라저버릴거야,지금 우리처럼

Write a comment


당신의 모든걸 감시하는게 무슨 통신비밀보호?

인터넷/정보보호 2009. 3. 12. 17:00

'
표현의 자유'라든지, '빅브라더에게 감시받지 않을 프라이버시'라든지, 2009년 OECD 선진국 대한민국의 국민들이 기꺼이 포기해야 하는 '소소한 권리'들은 여러가지다. 
민주주의 국가에서, 국민의 손으로 선출한 권력. 정부와 여당의 정책에 '반대를 위한 반대만 하는 무능한 좌파, 반정부 세력'으로 찍히지 않으려면 조심해야 한다.  

아고라 문 닫겠다는 법(www.durl.kr/cac), 감청에 수천억 투자하란 법(www.durl.kr/cad).놀라운 대한민국에서, 새삼스럽게 뭘.

사람들은 뭉뚱그려 '미디어법'만 문제라 하지만, 그 와중에 많은 법들이 기본권을 유린한다. 사실 하도 많아서 뭐부터 문제 삼아야 할지도 모르겠다. 인터넷과 미디어 쪽만 하더라도 대단하다.

이한성 의원이 대표발의한 한나라당의 통신비밀보호법. 2월 말에 여야 법사위 의원들이, '그래, 이 법은 논란이 많으니까, 우리 4월까지 시간을 두고 법사위 차원에서 공청회도 하고, 이야기도 들어보자'고 합의했더랬다. 
  
왠걸. 일주일도 안되서 여야 국회 난리치는 와중에, 김형오 국회의장이 '그래, 도저히 안되겠다, 이들 15개 법안은 그냥 직권상정해버릴거야~'라는 법 안에 덜렁 들어갔다. 여야 합의로 사회적 합의 모아보자는 건 다 뭐냐. 너무 문제가 많아서 미룬다더니, 전격 직권상정? 나라 경제를 살리기 위해서?
야당이 다 내주고 100일 번 덕분에 여튼, 이 법안도 처리가 미뤄졌다.  그런데 대체 이 법의 정체가 궁금하지 않을까. 통신의 비밀을 보호해준다는 법. 그러나 알고보면, 통신의 비밀을 수사기관이 맘대로 보겠다는 법. 작명부터 근사한 이 법.

기업들아, 수천억 들여 감청장비 안 갖추면 니들 벌금 내야해~

내용인즉, '국가정보원이 감청을 직접 하면, 진짜 '빅브라더' 가 될 수도 있으니, 겁나지 않냐. 그럼 우린 감청 직접 않을테니, 민간사업자가 대신 감청을 전담하고, 감청설비도 다 의무적으로 갖춰라. 예산? 뭐 봐서 국가가 대줄 수도 있고, 아닐 수도 있고...' 뭐 이런 거다.  

어려운 말로 굳이 풀면... 

15조의 2(전기통신사업자의 협조 의무) 제2항. 전화서비스를 제공하는 전기통신사업자, 그 밖에 대통령령으로 정하는 전기통신사업자는 이 법에 따른 검사.사법경찰관 또는 정보수사기관의 장의 통신제한조치 집행에 필요한 장비.시설.기술 및 기능을 갖추어야 한다. 제4항. 제2항에 따른 장비.시설.기술 및 기능의 구비에 소요되는 비용은 대통령령으로 정하는 바에 따라 국가가 그 전부 또는 일부를 부담한다.
 
그런데 이게 KT의 경우 3400억원에 달할 것으로 추산되고, 이동통신사 마다 수백억원 소요될거란다. 과연 국가가 대줄까? 알고보니, 현재 통신사실확인요청 이라는 절차가 있는데, (이건 누가 언제 누구랑 통화했다...까지 수사기관에 알려주는 거다) 이것도 역시 '정부에게 (비용을) 요청할 수 있다'고 법에 나와있으나 실제 정부에게 돈 받아내는 간 큰 사업자는 아무도 없다는게다. KT는 이 업무를 위한 종이값, 토너값만 1년 3000만원이란다. 사실 설비 비용이 3400억원이라고 하면, 그 운영비..즉 인건비를 비롯해 유지보수비는 또 얼마냐. 그 중 KT가 간 크게 받아낼 수 있는건 얼마나 될까.

그럼 국가가 비용 부담하는 감청은 괜찮아? 뭘 감청하는데?

이건 기업들 얘기고, 설혹 법 조항을 일부 바꿔 정부 지원부분을 명문화한다고 치자. 국민 혈세로 수천억원 들여서 감청장비 사주는건 국민 모두 동의할까? 몽땅 외국제 수입해야 할텐데, 이게 외환시장에 도움이 되나, 무역수지에 도움이 되나..최소한 어쨌든 KT 등 통신사들이 담당 인력 추가 고용해야 하니까, 고용안정에 도움될까? 

감청을 열심히 하면, 강모씨 같은 연쇄살인마도 잡는데 도움될테고, 뭐 국민이 범죄불안에서 해방되기 위해 감청 정도는 기꺼이 수용한다고 하면, 뭐라 할 수 없다. 그러나 이런 범죄 수사를 위해 감청이 이뤄진다고 착각까지 할 필요는 없다. 2007년 국내 유선통신 감청은 총 8803건. 98%가 국정원이 했다. 국정원이 일반 범죄 수사하는 곳인가? 신임 원세훈 국정원장께서는 국회의원들 모신 인사청문회에서조차 "정치 사찰도 필요하면 하겠다"는 순진한 발언을 그냥 하셨지만, 별 탈 없이 취임하셨다. 야당 의원들, 그 자리에서 무기력했다면, 앞으로 정치사찰 당한들 어쩔 수 있으랴. 감청으로 산업스파이도 잡으시겠지만, 정치적 반대파들, 폭력시위 조직하는 시민단체들 모두 살펴보는게 국가 법질서 유지에 도움은 확실히 될게다.

'모든 통신사업자'의 '모든 서비스'가 감청 대상

더구나 이 법은 '휴대전화, 이메일 감청'이라고 감청 대상을 제한하지 않았다. '모든 통신사업자'가 감청설비를 의무적으로 갖춰야 하고, 휴대전화, 인터넷전화, 이메일, 메신저, P2P 등을 비롯해 앞으로 어떻게 진화할지 모르는 미래의 통신수단 까지 감청 대상으로 삼고 있다. 포괄 입법이 뭔지 확실히 보여준다. 반면 미국만 해도 '전화사업자'에게만 의무가 적용된다. 그나마 우리가 8803건 감청했던 2007년, 미국은 2208건의 감청이 보고됐다. 우리나라 수사기관 정말 부지런하고 일 열심히 한 덕분이라 해야할까.

정말 통신비밀이 보호될까?

그리고, 국민들은 통신사업자는 믿을 수 있을까? 감청 내용 암호화할테니 염려말라지만, 풀지 못할 암호도 없거니와 결국 암호 풀린 상태로도 데이터는 존재할 수 밖에 없다. 개인정보유출 사고도 심심찮게 벌어지는데, 감청 내용 유출이라고 절대 일어나지 않을 일? 예컨대 톱스타 A군이 B양과 부적절한 어쩌구, 아님 거물 정치인 C씨의 은밀한...이런 대박 스토리가 감청됐다고 치자. 과연 어디서든 유출될 가능성은 없을까? 더구나 개정안은 '통신사실확인자료'를 통신사업자가 1년 간 보관하도록 의무화한다. 누가 언제 누구랑 통화했고, 언제 인터넷사이트에 로그인해서 뭐 했고, 이런 기록들을 1년간 '보관'하란다. 참고로 독일은 연방헌법재판소가 통신사실확인자료 보관 의무가 위헌이라고 인정, 효력정지 가처분 명령을 내린 상태다. 즉 우리에게 필요한 건 개인정보 보관 의무가 아니라 폐기 의무다. '통신비밀보호법'이라는데 어쩌자구 통신비밀을 자꾸 벼랑 끝으로 내모는가.

정말 중대한 일로 감청이 필요할 경우에는 법원의 허가를 받아 통신사업자의 협조를 구하는 방식으로 가능하다. 감청설비 보유를 벌금 위협까지 하면서 강제할 일은 아니다. 더구나 감청 의무와 통신사실확인자료 보관까지 모두 기업에 떠넘길 일도 아니다. 통신사업자가 감청설비 운영하고 통신자료 보관하면서 오남용 사고 치지 않으리라 장담 못한다. 극단적 가설일 수 있지만, 기업 감청설비 담당자가 불륜에 빠진 배우자를 감청하고픈 유혹은 없을까?

고객 다 떨어져 나갈 위기의 기업들

이 법이 재미난 한가지 더.
"MB씨, 당신을 지난 한달 동안 저희가 (통화내용을, 혹은 이메일 내용을) 감청했어요..."라는 '통지의무'를 민간사업자에게 떠넘겼다. 제13조3(범죄수사를 위한 통신사실 확인자료제공의 통지)라는 건데, 사업자들만 불쌍하게 됐다. 대체 어느 이용자가 그 통신사를, 그 인터넷회사 이메일을 계속 쓰겠나. 당연히 서비스 이탈은 가속화될테고, 인터넷 쪽에서야 '사이버 망명'이 본격화될게다. 사업자들은 항의 전화를 받느라 고객센터 업무가 마비될게다.
이런 통지의무가 사업자에게 잇는건, 금융계좌추적과 비슷한 구조인데...결정적 차이가 있다. 계좌추적이야, 검은돈 흘러가는 길만 따라가면 되지만....감청은, 한놈을 잡기 위해 수천명의 선량한 피해자도 같이 '용의자'가 되어 감청당할 확률이 높다. 그 수천명은 황당무개한 감청 통보에 '사이버 망명'을 떠나거나 이동통신 등 모든 통신에 대한 불신 속에서 살아가게 될게다.

'왜 세계의 절반은 굶주리는가', '탐욕의 시대' 저자이자 유엔의 식량특별조사관으로 일했던 장 지글러는 '탐욕의 시대'에서 '감청'을 피하는 방법에 대해 언급하고 있다. 제3세계의 이익을 옹호한다는 이유로 미국과 심각한 마찰을 빚었던 장 지글러는 민감한 때, 민감 이슈에 대해서는 전화도, 이메일도, 메신저도 믿지 않았다. 심지어 컴퓨터로 작업도 안했다. 키보드 감청 같은 기술 때문일까? 여튼, 그는 손으로 또박또박 써내려간 편지를 사람을 통해 전달했다고 한다.

문명의 발전 혜택을 마음 편하게 누릴 권리. 세상 모든 권리와 자유가 그렇듯, 역시 싸워서 얻어내야 할 것 같다. 통신비밀보호를 위해, 통신비밀보호법 개정안에 대해 이렇듯 만화로 문제를 제기하시는 분들도 그 최전선에 서 계신다. 꾸벅.


Trackbacks 0 : Comments 0

Write a comment