'게릴라칼럼'은 <오마이뉴스> 시민기자들이 쓰는 칼럼입니다. [편집자말] |
너털웃음이 난다. 1억 건 이상의 개인정보가 유출됐단다. 겨우 5000만 명이 사는 나라에서 말이다.
처음도 아니다. 이번 롯데카드·KB국민카드·NH농협카드 개인정보 유출 사태가 아니어도 지난 5년간 도난당한 개인정보는 1억 건에 달한다. 알려진 사건만 그렇고, 덮이거나 모른 채 넘어간 경우를 포함하면 그 수는 훨씬 많을 것이다.
이번 개인정보 유출 사태가 있기 불과 2년 전 KT에서는 870만 건의 개인정보가 유출됐고, 2011년 네이트·싸이월드에서는 3500만 건의 개인정보가 새어 나갔다. 또 2008년에는 옥션 해킹으로 1000만 건이 넘는 개인정보가 빠져나갔다.
정부는 '대책을 마련하겠다'며 부산스레 움직인다. 지난 5년간 가공할 정보유출 사태가 빈번히 일어났어도 누구 한 명 제대로 처벌한 적이 없었으니, 꽤 생소한 모습이라고 할 만하다. 정부가 갑자기 개인정보의 중요성을 깨달은 것일까.
관련기사 : 주민등록번호 13자리의 '무서운 진실'개인정보 유출 대책, 이번이 마지막 기회그렇다면 반가운 일이지만, 국민 노릇을 한두 해 한 게 아닌 탓에 코앞에 다가온 지방선거가 정부에게는 훨씬 중요한 동기라는 사실을 쉽게 짐작할 수 있다. 어느 경우든 국민으로서는 좋은 일이지만, 이게 마지막 기회라는 점을 깨달을 필요가 있다.
선거를 앞두고 사건이 터진 상황에서 문제를 바로잡지 못한다면, 앞으로 정부가 국민의 정보를 보호하겠다며 팔 걷고 나서는 모습을 보기 어렵게 될 것이다. 게다가 정부와 기업의 정보유출에 대한 여론관리 능력만 교묘해질 가능성이 크다.
정보통신의 발전 속도를 고려할 때도 이번이 마지막 기회일 수밖에 없다. 기업이 개인 정보를 무제한 축적해 활용하는 '클라우드'와 '빅데이터' 환경은 이미 현재가 됐다. 더욱이 한국이 '주민등록번호'라는, 세계적으로도 희귀한 통합정보체계를 지녔다는 점에서 상황은 매우 시급하다.
결론부터 말하면, 주민등록번호를 유지한 채 미래의 정보통신 환경으로 가는 것은 머리를 밖으로 내놓고 로켓을 타는 것처럼 멍청하고 위험한 일이다. 문제는 한국 정부에 이런 짓을 감행할 만큼 어리석은 관료들이 적지 않다는 점이다. 이들이 긴장하고 있다는 점도 이번이 드문 기회임을 말해준다.
롤러코스터 위의 국민들
한국인으로 사는 것은 눈을 감고 롤러코스터를 타는 것과 같다. 한 치 앞을 내다볼 수 없을 만큼 '다채로운' 사건들이 터져 나오는 것도 그렇고, 사태를 해결하겠다고 나섰다가 오히려 문제를 키우는 책임당사자들을 볼 때도 그렇다. 이들이 관리하는 롤러코스터에 오르는 것은 꽤 큰 담력이 요구되는 일이다.
골치 아픈 것은, 우리가 원해서 그 롤러코스터에 올라탄 게 아니라는 점이다. 그래서 나는 오늘도 이 미덥지 않은 롤러코스터 위에서 마음을 졸이며 산다. 불과 며칠 전에도 간이 떨어지는 경험을 했다.
예컨대 카드사에서 유출된 개인정보가 유통되고 있다는 보도가 나오자, 정부와 카드사는 '유출된 개인정보의 원본과 복사본을 검찰이 모두 회수했다'고 주장했다. 그리고 입을 모아 '2차 피해는 없을 것'이라고 목소리를 높였다. 이쯤 되면 웃어야 할지 울어야 할지 모르겠다.
'또 하나의 원본'이라는 옛날 복사기 광고를 기억하는 분들이 있을 것이다. 디지털 정보의 가장 큰 특징은 '원본'과 '복사본'의 구분이 무의미하며, 무제한 복제가 가능하다는 점이다. 게다가 텍스트 파일은 편집과 가공이 간편하고 용량까지 작아서 이메일에 첨부해 쉽게 전송할 수 있다.
나는 '복사본을 모두 회수했다'는 당국자 말에 웃음을 터뜨릴 수밖에 없었다. 그 말이 뉴미디어 학자의 귀에는 '조류인플루엔자 바이러스를 모두 생포했다'는 말처럼 들렸기 때문이다. 그 확신의 근거가 어떤 것인지 들어보자.
정찬우 금융위원회 부위원장은 지난 달 24일 "기사에 보도된 유출 정보는 엑셀 파일로 돼 있지만 카드사에서 유출된 정보는 텍스트 파일 형태였다, 법무부에서 확인한 바에 따르면 텍스트 파일은 엑셀 파일로 변환이 안 되는 것으로 안다"고 말했다. 이쯤에서 나는 웃기를 포기하고 울기로 한다.
정보유출 책임을 져야 할 금융위원회나, 수사를 담당한 법무부 모두 이번 범죄 증거물에 대한 최소한의 지식조차 갖고 있지 못함을 인정한 꼴이다. 교육 차원에서 덧붙이자면, 텍스트 문서는 '변환'할 필요도 없이 엑셀에서 그냥 열면 된다. 엑셀 문서 하나에 가로 1만6384줄, 세로 104만8576줄까지 옮겨올 수 있다. 이 둘을 곱해보면, 문서 하나로 얼마나 방대한 정보를 빼돌릴 수 있는지 알 수 있게 된다.
국민 정보 팔아넘기는 정부
금융위원회나 법무부의 무지가 한심하기는 하나, 이번 사태로 가장 큰 욕을 먹어 마땅한 대상은 안전행정부(그리고 과거 정보통신부)다. 이들이 기업들의 정보수집을 보장하고, 더 나아가 강제하기까지 하면서도 관리책임은 뒷전으로 미뤄왔기 때문이다. 이들이 국민정보에 보인 무지와 무책임한 태도를 보면 입이 다물어지지 않는다.
장세환 전 민주당 의원이 지난 2011년 9월 국회 행안부 국정감사에서 공개한 자료에 따르면, 행정안전부(현 안전행정부)는 2008년부터 2011년 8월까지 국가행정전산망에서 주민등록번호 등의 개인정보를 빼내 채권추심회사와 금융회사 등에 민간기업 52곳에 돈을 받고 팔았다. 정보 한 건에 30원씩, 무려 17억8000만 원을 받았으니, 얼마나 많은 정보를 넘겼는지 알 수 있다. 5938만 건이었으니, 사실상 전 국민의 정보를 팔아치운 셈이다.
'현재 유통되고 있는 개인정보는 최근에 카드사 유출사건과는 상관없는 것'이라는 금융위원회의 해명은 옳을지 모른다. 그 정보는 정부 자신이 팔아먹은 것일 수도 있으니 말이다. 여기에 올 8월부터 주민등록번호 수집이 금지된 상태인데도, 정부는 여기에 '금융사 예외 조항 신설'을 추진 중이다.
정부의 이런 무지와 무책임함으로 인해 지금까지 원시적인 주민등록 번호를 유지해왔고, 그런 이유로 불편하면서 위험하기까지 한 '공인인증제도'를 강제해 온 것이다. 최문기 미래창조과학부 장관은 취임 전부터 '공인인증제 폐지'를 내세웠으나, 1년이 다 되도록 구체적 정책을 내놓지 않고 있다.
주민등록번호를 토대로 '본인 확인'을 요구하는 정부 공인인증제는 오히려 유출을 돕는 역할을 해왔다. 게다가 주민등록번호가 어떤 번호인가. 나이와 성별은 물론 본적지의 읍·면·동까지 기록되며, 심지어 출생신고 순서까지 뻔히 드러나는 원시적인 부호다. '인터넷'은 고사하고 컴퓨터조차 생소했던 1962년 '간첩 잡는다'며 도입한 신분 확인 수단을 지금까지 유지한 정부의 안일함을 어떻게 이해해야 할까?
주민등록번호를 둔 채 '인터넷 강국' '금융 강국'은 없다한국의 주민등록번호는 세계적으로 희귀한 사례다. 개인의 출생정보까지 한눈에 보여주는 '무식함'만이 아니다. 주민등록번호는 개인의 식별과 본인 확인의 용도뿐 아니라, 그 사람의 신원기록을 검색하는 '열쇠' 기능도 수행한다. 이처럼 한 개인의 모든 정보를 통합한 사례는 그 유례를 찾기 어렵다.
국민에게 고유 식별번호를 부여하는 것은 바코드를 찍는 것 만큼이나 반민주적인 행위다. 그 목적이 감시와 통제에 있기 때문이다. 게다가 이 식별번호가 한국처럼 키·혈액형·질병 등의 생물학적 정보나 가족·혼인·경제활동 등의 사회학적 정보의 열쇠가 된다면 위험성은 커질 수밖에 없다. 그런 이유에서 영국·독일·미국·캐나다·호주·뉴질랜드·포르투갈 등은 아예 고유 식별번호 자체를 부여하지 않는다.
미국에는 '사회보장번호'(social security number)가 있지만, 이 번호에는 개인에 대한 아무런 정보도 담겨 있지 않다. 필요하면 번호를 바꿀 수도 있다. 미국에서 운전 중 위반을 하면 경찰이 운전면허증을 요구하는데, 여기에 사회보장번호 같은 것은 적혀 있지 않다. 운전자의 벌점 등은 운전면허번호로 완전히 분리해 관리된다. 반면 한국은 주민등록증은 물론 운전면허증과 여권에도 주민등록번호가 적혀있다.
'빅데이터'로 표현되는 소비자 정보의 수집과 활용 기술은 통합된 국민 식별체계가 없는 나라들에게도 큰 불안감을 주고 있다. 개인의 행동패턴을 파악하는 것만으로도 상당한 정보를 얻어낼 수 있기 때문이다. 이런 상황에서 '빅데이터'가 주민등록번호와 결합하면 아주 끔찍한 결과를 초래할 것이다.
이처럼 낙후한 한국의 개인정보 관리체계는 첨단정보통신 환경에서 '호구' 신세로 전락할 것이다. 한 가지 위안이 되는 사실은, 이미 털릴 대로 털려 더 이상 털릴 게 없다는 것 정도일 게다. 하지만 그 이유 때문이라도 더 이상 주민등록 번호를 유지할 이유는 없다.
주민등록번호를 '대체'할 수단? 안 된다
이번 카드사 개인정보 유출 사건 후 정부는 '2차 피해가 없을 것'이라고 근거도 없이 주장했다. 하지만 디지털 정보가 무서운 것은 '누적 효과' 때문이다. 이제까지 몇 년 동안 유출된 정보들을 누군가에 의해 (물론 엑셀을 이용해서) 차곡차곡 쌓이고 정리됐을 수 있다.
물론 결과가 당장 드러나지는 않을 것이다. 정부가 눈에 불을 켜고 있는 상황에서 눈에 보이는 범죄를 일으킬 바보들은 없으니 말이다. 이들은 조용해질 때까지 기다렸다가 소액을 노리는 장기전을 택할 가능성이 크다.
금융정보만 유출되면 금전적인 피해로 끝나지만, 주민등록번호의 유출은 금전적 피해는 물론 더 흉악한 범죄의 수단이 될 수 있다는 점에서 훨씬 위험하다. 아무리 법으로 금해도 탐욕을 막을 수는 없다. 국민을 보호하려면 모든 정보가 통합된 주민등록번호부터 없애야 한다.
박근혜 대통령이 주민등록번호를 대체할 수단을 검토하라고 지시한 것은 바람직한 일이다. 하지만 주민등록번호를 '대체'하는 수단을 개발해서는 곤란하다. 통합된 식별체계는 결국 똑같은 문제를 가져올 것이기 때문이다. 오히려 사회보장·운전면허·건강보험 등 용도에 따라 정보를 분리하는 작업부터 시작해야 한다.
우리가 국민으로서 해야 할 일은 '까다롭게 구는 것'이다. 정부와 기업이 개인정보를 요구할 때마다 '그걸 왜 묻느냐'며 따지고 항의하는 것이다. 그래도 버릇을 못 고치면 업체를 바꾸고, 불매운동을 하고, 낙선운동을 하면 된다. 이번 사건의 책임이 있는 롯데카드·KB국민카드·NH농협카드에 대해서는 '재발급'보다 '탈퇴'가 그들의 버릇을 바로잡는 데 도움이 될 것이다.
정부에 대해서는? 까다로운 유권자가 되면 된다. 다행히 그럴 기회가 가까이 왔다.