[성 명]
개인정보 유출 문제를 바로 보는 네 가지 입장
● 대규모로 유출된 것은 대규모로 수집되었기 때문
● 주민등록번호를 당장 재발급하고 민간 사용을 금지해야
● G-PIN과 I-PIN은 대안이 아니다
● 제대로 된 개인정보보호법 만들어야
옥션 회원 1천81만명의 개인정보 유출 사고에 이어 LG텔레콤의 개인정보 유출, 그리고 이제는 업계 2위의 하나로텔레콤이 600여 만 명의 고객정보 8천530여 만 건을 유출한 것으로 드러났다. 특히 하나로텔레콤은 본사 차원의 조직적 지시로 텔레마케팅 업체 등으로 개인정보를 유출하였다는 점에서 지금까지의 사건들과 또다른 충격을 주고 있다.
그러나 개인정보 유출이 해킹이나 실수로 이루어졌건, 아니면 의도적으로 팔아넘겨졌건, 문제의 본질은 하나이다. 개인정보가 대규모로 유출되는 것은 대규모로 수집되었기 때문이다. 디지털로 수집된 개인정보는 대규모로 집적되기 때문에 유출도 대규모, 무단이용도 대규모, 조작도 대규모로 이루질 수 있다. 정보사회에서 개인정보 문제가 심각해지는 배경이다.
문제1. 대규모로 유출된 것은 대규모로 수집되었기 때문
그래서 OECD와 UN을 비롯 국제적인 개인정보보호 규범의 제1원칙은 ‘수집제한의 원칙’이다. 개인이건, 기업이건, 국가건, 다른 사람의 개인정보를 수집하는 것은 원칙적으로 금지된다. 법률적 근거가 있거나 당사자의 동의를 받았을 때만 ‘예외적으로 수집’할 수 있으며, 여기서 동의를 받는다는 것은 말 그대로, 동의하지 않는다는 이유로 손해볼 일 없이 정보주체가 자유롭게 결정한다는 것을 의미한다.
즉 이번 대규모 개인정보 유출 사고를 겪으며 우리가 꼭 던져봐야 할 질문은 이런 것이다. “왜 그 많은 개인정보들이 수집당했는가”. “왜 기업들은 그 많은 개인정보들을 수집하려고 했는가”.
개인정보는 불법적으로 유출되기도 하지만, 일상생활 곳곳에서 ‘고객 동의 하에 제3자 제공’이라는 명분하에 ‘합법’적으로 유출된다. 정보사회에서 개인정보는 상업적 가치가 있기 때문이다. 개인정보를 이용해 짭잘한 수익을 내려고 하는 기업들의 욕구는 높아져가고 있다. 하나로텔레콤은 빙산의 일각일 뿐이다. 마케팅용으로, 맞춤광고라는 이름으로, 고객관계관리를 위해 개인정보는 이미 기업의 주요 자산이 된지 오래다.
더 늦기 전에 우리는 기업들의 개인정보 수집을 제한할 수 있는 보다 근본적인 대책을 고민해야 한다. 대안적인 법제도 마련이 필요한 것이다.
문제2. 주민등록번호를 당장 재발급하고 민간 사용을 금지해야
개인정보 유출 문제로 아우성을 겪고 있기는 해외도 마찬가지이다. 그러나 즉각적인 피해로 이어지는 것은 대한민국이 세계제일이다. 주민등록번호라는 것이 있기 때문이다. 주민등록번호만 알면 이 나라에서 완벽한 타인이 될 수 있다. 단순한 가짜 이름이 아니라 실제로 존재하는 다른 사람.
주민등록번호와 같은 국민식별번호는 국민 각자마다 평생 단 한번만 부여된다. 또한 성별과 나이, 출신지까지 그대로 드러난다. 때문에 가장 상품성이 높은 개인정보이다. 주민등록번호로 ‘김철수’라는 사람과 또다른 ‘김철수’라는 사람을 구분할 수 있다. 덕분에 기업들로서는 자기 비용을 들일 필요 없이 마음껏 개인정보 데이터베이스를 확장할 수 있었다.
하지만 대포폰처럼 다른 사람의 명의를 도용하려는 시도는 끊이지 않고, 이런 수요 때문에 주민등록번호의 유출 또한 끊이지 않는다. 악순환의 고리를 끊으려면 기업들이 주민등록번호를 수집하는 것을 금지해야 한다. 다른 나라처럼.
대개의 나라에는 공공 민간영역을 관통하는 ‘만능열쇠’ 주민등록번호라는 것이 없다. 우리와 유사한 주민등록번호 제도를 가지고 있는 복지국가 스웨덴도 주민등록번호를 민간이 사용하는 것은 금지하고 있다. 그런데도 이들 나라에서 일상생활하는 데에는 큰 문제가 없다.
우리 역시 오프라인 시장에서 물건을 살때는 시시콜콜한 신상정보를 적지 않는다. 댓가를 지불한 순간 거래관계는 끝난다. 유독 인터넷에서만 주민등록번호, 휴대전화번호, 계좌번호, 심지어 취향까지 기업들이 적어내라는대로 순순히 적어내고 있다.
우리도 장기적으로 주민등록번호를 폐지하고 목적별 번호로 대체해야 한다. 목적별 번호란 해당 목적으로만 사용되는 번호를 의미한다. 특정한 행정 번호는 해당 목적 내에서만 쓰여야지, 다른 목적으로 여기저기 쓰여선 안된다는 것이다.
이것이 장기적인 대안이라면, 주민등록번호의 민간 사용을 금지하는 것은 당장 도입할 수 있는 대안이다. 심지어 정부에서도 대체번호가 필요하다고 인정하고 있으니 더이상 머뭇거릴 이유가 없다. 기업이 보유한 기존의 개인정보 데이터베이스에서 주민등록번호를 삭제해야 함은 물론이다. 그렇지 않으면 의미가 없기 때문이다.
더욱 긴급하게 필요한 것은 원하는 사람 누구든지 주민등록번호를 재발급받는 것이다. 알려진 개인정보 유출 사고들에 더하여 드러나지 않은 사건들까지 감안해보면, 대한민국 국민 개인정보 대부분이 인터넷을 떠돌고 있다고 보아도 무리가 없다. 개인정보 유출로 인한 피해 확산을 줄이는 길은 주민등록번호를 바꾸는 것이다. 이름도 바꿀수 있는 시대에 주민등록번호는 왜 안되는가? 행정 편의 때문에? 기업들의 편의 때문에? 개인정보의 주인은 자기자신이다!
문제3. 지핀(G-PIN)과 아이핀(I-PIN)은 대안이 아니다
행정안전부와 방송통신위원회는 주민등록번호 수집의 심각성을 인정하면서도 그 대안으로 각각 지핀과 아이핀을 제안하고 있다. 자신들이 지정한 사업자들이 주민등록번호를 관리해줄테니 주민등록번호 대신 대신 발급하는 번호를 쓰라는 것이다.
그러나 주민등록번호가 아닌 제2의 식별번호가 쓰인다고 무엇이 달라질까. 아니, 지핀과 아이핀 사업자들의 개인정보가 유출되면 그야말로 사상 초유의 사태가 벌어질 것이 아닌가. 지핀과 아이핀 사업자들이 집적하게 될 개인별 사이트 가입 내역 또한 중대한 사생활 정보이다. 이건 누가 보호하나?
주민등록번호를 또다른 번호로 대체하는 것으로 문제가 해결될 수 없다. 너도나도 이름과 국가식별번호를 요구하는 관행이 문제이기 때문이다.
문제4. 제대로 된 개인정보보호법 만들어야
사실 이 모든 사태의 가장 큰 책임은 정부와 국회에 있다.
정보보호진흥원과 같은 정부 산하 기구가 기업들의 개인정보 보호 여부를 제대로 감독하지 못한다는 점이 분명해졌다. 심지어 하나로텔레콤 사건 때는 옛 정보통신부 직원들이 직접 가담했다고 하니 고양이한테 생선을 맡긴 꼴이다.
최근 “공공·민간을 포괄하는 개인정보보호법을 제정”하겠다며 개인정보보호 역할을 새로이 자임하고 나선 행정안전부 또한 결격임에 분명하다. 주민등록제도 소관부처로서 이 모든 사태의 책임을 피해갈 수 없기 때문이다.
특히 옛 정보통신부와 행정안전부는 주민등록번호를 수집하지 않았던 인터넷 업체에도 주민등록번호 수집을 의무화하는 인터넷실명제를 도입하고 국가적인 주민등록망을 그 용도로 사용하면서 사태를 키운 장본인들이다. 낯뜨겁지도 않은가? 무엇보다 공공기관 역시 무차별적으로 주민등록번호를 수집하고 이용하면서 개인정보 유출의 장본인으로 등장한지 오래다. 이들 역시 감독 대상이다.
바로 이런 점 때문에 시민사회단체들은 민간과 공공 영역을 동시에 감독하는 전문적이고 독립적인 개인정보보호위원회의 설립하고, 개인정보보호기본법을 제정해야 한다고 주장해 왔다. 그러나 개인정보보호법안은 정부부처내 관할권 다툼으로 17대 국회가 끝나갈 때까지 사장될 위기에 처해 있다. 17대 국회 마지막 임시국회가 열릴때 개인정보보호법은 반드시 논의되어야 한다.
결론적으로, 개인정보 유출 문제의 해법은 다음과 같다.
● 기업들이 불필요하게 많은 개인정보를 ‘수집’하지 못하도록 감독하는 것.
● 주민등록번호를 수집하거나 이용하지 못하도록 금지하는 것.
● 이런 내용을 규정한 개인정보보호법을 제정하는 것.
● 그리고 개인정보보호법에서 규정하는 감독 업무를 수행하는 전문적이고 독립적인 개인정보보호기구를 설립하는 것.
2008년 4월 24일
진보네트워크센터