공인인증서 사용 강제 제도를 없앤 것은 박근혜 대통령의 업적이다. 대통령이 ‘천송이 코트’의 사례를 말하자마자 없어졌다. 그런데 이 같은 강제 규제가 도대체 어떻게 갑자기 없어질 수 있었을까. 그 이유는 공인인증서를 강제하는 법이 원래부터 없었기 때문이다.
정권이 바뀔 때마다 정부는 규제개혁을 외친다. 김영삼 대통령의 규제실명제에서부터, 김대중 대통령의 규제등록제, 노무현 대통령의 규제총량제, 이명박 대통령의 전봇대 뽑기까지 정권이 바뀔 때마다 이름을 바꾸며 나타나는 규제개혁은 박근혜 정부에서도 강조됐다. 박 대통령은 집권 초기 규제를 암 덩어리와 원수 등에 비유하며 규제개혁을 이야기했고 규제개혁 점검회의를 직접 주재하며 규제일몰제를 전면 시행하겠다고 했다.
규제일몰제에 따르면 새로운 규제는 만들 때 반드시 존속기간을 설정하고 그 기한이 끝나면 자동 폐기돼야 한다. 목적을 달성하는데 필요한 최소한으로 존속기간을 설정하되 원칙적으로 5년을 넘길 수 없다. 연장해야 할 필요가 있을 때는 해당 규제의 존속기한이 끝나기 1년 전까지 규제의 신설강화 절차에 따라 규제개혁위원회에 심사를 요청해야 한다.
이 제도에 따르면 목적 달성에 필요한 최소한의 기간만 지나면 자동으로 해당 규제가 퇴출당했어야 한다. 그러나 폐기는커녕 해당 부처의 영향력에 따라 없어지는 규제가 많지 않았던 게 저간의 사정이다.
이런 중에 박 대통령은 직접 ‘천송이 코트’를 언급하며 금융산업의 인증 부문에 개혁 바람을 일으켰다. 이 과정에서 우리를 놀라게 한 사실이 두 가지 있다.
첫째는 2008년 금융감독원이 이미 공인인증서와 관련된 액티브X 문제를 해결하기 위해 대책반을 꾸린 바 있다는 사실이다. 주지하다시피 대통령이 ‘천송이 코트’를 언급한 것은 2014년이다. 무려 6년간 대책반은 낮잠을 자고 있었고 대통령이 언급하고 난 다음에야 액티브X를 없애는 작업이 시작됐다. 이 작업은 2년을 넘겨 지금도 진행 중이고 완전한 해결은 올해도 불투명하다.
둘째, 법에는 공인인증서 강제 조항이 없었다는 것이다. 공인인증서는 법으로 강제하는 것처럼 이야기됐으나 사실 법조문은 공인인증서를 인증방법의 하나로 예시하고 있었다. 법규가 아니기 때문에 대통령이 문제점을 언급하자마자 강제 규정은 단숨에 폐지됐다.
법규도 없는데 금융당국은 십여 년간 공인인증서만 쓰도록 강제를 하고 있었고 금융사들은 그냥 규제를 당하고 있었다. 공인인증서는 거의 모든 금융사기에 대해 금융사에 면죄부를 주는 부수 효과가 있었고 그 책임은 고스란히 금융소비자에게 넘어갔다.
금융당국은 법령도 없이 강제하고 금융사들은 면죄부를 받는 동안 금융사기는 산업으로까지 발전했다. 2014년 금융사기 피해액은 2165억 원이었고 이 산업은 매년 150% 이상 성장하고 있다. 그러나 이보다 더 큰 손실은 바로 액티브X와 공인인증서가 우리 IT산업을 십여 년 이상 낙후시킨 걸림돌이었다는 점이다. 국가적으로 전자상거래 등 IT산업의 발전을 저해하는 원천이었다.
그런데 이렇듯 어처구니없는 일이 공인인증서뿐일까? 불행하게도 우리나라는 산업의 발전을 저해하는 또 다른 공인인증서가 구석구석 도사리고 있다. 그중 가장 성장 발전을 저해하고 있는 것을 꼽으라면 그것은 아마도 개인정보보호법 등 27개 법률에서 적시하고 있는 개인정보 보호 관련 법률일 것이다.
이 케이스는 빅데이터 산업 성장의 발목을 잡고 있다는 점에서 공인인증서와 유사하다. 다른 점은 공인인증서는 법에도 없는 규제였는데 이 법들은 꼼꼼하게 금지하는 것이 많아서 개인정보를 가지고 아무것도 못 하도록 만들었다.
얼마나 꼼꼼하게 금지하고 있느냐 살펴보자. 첫째로 개인정보 데이터는 유통이 법적으로 불가능하다. 유통이 차단되면 생산자, 수집상, 원재료 가공업체, 중간가공업체, 최종 소비재 생산업 등으로 산업이 분업 발전할 수 없고 자급자족 형태의 원시산업 만이 발달하게 된다.
자동차를 만들려면 누군가 철광석을 캐 용광로에 넣고 제철과 압연을 한 후 실린더를 만들어야 한다. 그러면 자동차 회사는 이를 가져다가 조립한다. 이런 산업에서 철의 유통을 원천적으로 막는다고 생각해 보자. 자동차 회사가 철광석을 직접 캐야 한다면 자동차 산업은 지리멸렬해 지고 발전을 못 하게 될 뿐이다.
둘째로 데이터는 정해진 목적 이외에 사용할 수 없다. 이는 농사꾼이 보리농사 지을 때 보리밥을 하겠다고 했으면 보리밥만 만들어야 하는 것과 유사하다. 보리밥이 아닌 보리떡이라도 만들면 범법자가 된다.
개인정보 보호는 아무리 강조해도 지나치지 않다. 그러나 데이터 유통의 원천적 차단은 산업 발전을 저해한다. 이런 규제 환경에서 정부 당국이 아무리 빅데이터 산업 활성화 대책을 내놓아도 산업은 활성화될 수가 없다. 데이터가 물처럼 흘러야 활성화가 되는데 막아놓은 상태에서는 아무것도 되지 않기 때문이다.
더 답답한 것은 정부가 내놓는 대책이다. 정부 당국자는 비식별화를 전제로 데이터 유통을 허용하겠다는 아이디어를 내놓고 있다. 비식별화를 하면 데이터를 유통할 수 있도록 하겠다는 것이다. 그러나 비식별화는 기술적으로 불가능하다.
전문가들 사이에는 완벽한 비식별화가 불가능할뿐더러 날이 갈수록 점점 더 어려워지고 있다는 데 공감대가 형성돼 있다. 컴퓨팅 파워의 기하급수적 증가와 빅데이터의 도움으로 재식별화 기술이 급속도로 발전하고 있기 때문이다. 최근 외국에서는 비식별화가 효과가 없다는 측과 완벽할 수는 없어도 그런대로 잘 작동을 하고 있다는 측이 논쟁을 벌이기도 했다. 기술적으로 비식별화를 완벽하게 하기 어렵기 때문이다. 정부 당국자의 바람처럼 비식별화가 돼 데이터가 유통되고 활성화될 수 없다.
과거 영국에는 ‘붉은 깃발법’이라는 것이 있었다. 이 법에 의하면 자동차는 위험하므로 자동차 앞에는 붉은 기발을 든 사람이 자동차 앞에서 자동차를 선도해야 한다. 최고 속도는 6.4km로 제한했다. 그나마 시내에서는 그 반으로 줄여서 강제했다.
한국의 개인정보보호법은 영국의 붉은 깃발법과 비슷하다. 개인정보는 위험하므로 개인정보가 들어간 데이터는 무조건 차단한다. 개인정보를 보호하는 것은 아무리 강조해도 지나치지 않다. 그러나 붉은 깃발법처럼 자동차가 위험하다고 깃발 든 사람이 선도하도록 하는 것은 지나치다. 이런 점에서 강력히 주장한다. 개인정보보호법은 무효다.
글 이영환 건국대학교 금융IT학과 교수
▶미래를 여는 테크 플랫폼 '테크엠(테크M)' 바로가기◀