[머니위크 커버]나는 해커다/개인정보 수집에 따른 피해, 해법은 없나
“해킹 당하는 게 문제가 아니라, 개인정보를 묻는 것 자체가 문제다.”
농협 사건부터 SK커뮤니케이션즈(이하 SK컴즈) 사건까지 몇 차례 굵직한 해킹 사건이 이어지며 온 국민의 개인정보가 ‘털렸다’. 사태가 걷잡을 수 없이 커지자, 주민등록번호를 비롯해 개인정보를 수집하는 것에 대한 논란이 급물살을 타고 있다.
◆가입 때마다 ‘시시콜콜 개인정보’ 넘겨야 해?
온라인쇼핑몰에 가입하는 데 왜 내 ‘학력’과 ‘결혼여부’ ‘혈액형’을 말해줘야 하는 걸까. 포털 업체들이 ‘내 주민등록번호’를 물어보고 이를 보관하고 있는 이유는 무엇일까.
수많은 인터넷 사이트에 가입할 때마다 ‘개인정보 사용 동의’ 버튼을 눌러야 하는 사용자들은 늘 궁금한 문제 였다. 현재 <정보통신망 이용촉진 및 정보보호 등에 관한 법률>에 의거해 국내 업체들은 사용자의 동의 하에 개인정보를 수집할 수 있도록 돼 있다.
업체들은 ‘별 다른 고민 없이’ 시시콜콜한 개인 정보를 수집해 왔고, 사용자들 역시 ‘별다른 고민 없이’ 이에 동의를 했으며, 그 결과 3500만 명이나 되는 많은 사람들의 전화번호와 혈액형 등이 유출되는 대형사고로 이어진 셈이다.
당장 SK컴즈는 사건 직후 앞으로 8월 말까지 기존 회원들의 주민등록번호와 주소 등 개인정보를 모두 파기할 것이라고 밝혔다. 9월1일부터는 신규 가입자들의 경우 주민등록번호 없이 사이트 가입이 가능하도록 했다.
SK컴즈 관계자는 “실명인증은 신용평가사 등을 통해 본인여부에 대한 Yes, No 값을 받아 사용할 계획이다”며 “다만 금전 거래를 할 경우에는 법률상 5년 동안 개인정보를 보관하도록 돼 있어 이 부분은 제외했다”고 밝혔다. 때문에 업계에서는 ‘반쪽짜리 보안책’이라는 비판을 사고 있기는 하지만, 주민등록번호 없이 가입이 가능해졌다는 점에서는 의미 있는 첫걸음인 셈이다.
그렇다면 궁금하다. SK컴즈 경우에서 보듯 주민등록번호 없이 인터넷 가입이 가능하다면, 기존에는 왜 그렇게 못했던 것일까.
독자들의 PICK!
NHN 관계자는 “사용자가 커뮤니티 게시판이나 금전 거래 서비스를 이용 하기 위해서는 제한적본인확인제 등의 규제 때문에 주민등록번호를 사용할 수밖에 없다”며 “고객 정보를 마케팅에 사용하는 일은 없다”고 밝혔다.
그러나 이와 같은 포털 업체의 입장에 방통위 개인정보보호 관계자는 “주민등록번호 등을 통한 본인확인이 필요한 것은 맞지만 이를 보관하는 것은 기업들의 선택이다”며 “제한적본인확인제와 주민등록번호 등 개인정보 수집 문제는 별개로 논의해야 할 부분이다”고 정면으로 반박했다.
최근 <인사이트 플래닝>이라는 저서에서 기업들의 개인정보 과다 요구에 문제를 제기한 박준호 비트레인 대표는 “기업들이 고객의 개인정보를 요구하는 이유는 사실상 마케팅 목적이 가장 크다”고 밝혔다.
만약 사용자가 ‘미혼’이라는 정보를 기업이 갖고 있을 경우, 기업은 그에 맞는 정보를 사용자에게 보다 쉽게 전달할 수 있다. 그러나 문제는 현재 기업들이 보유하고 있는 사용자 개인정보가 부정확한 경우가 많다는 것. 대부분의 사용자들은 사이트 가입 절차에 따라 성의 없이 개인정보를 기입해 넣기 때문에 적중률이 떨어지면서 업체들 역시 이와 같은 개인정보를 마케팅에 사용하는 경우가 현저히 줄었다는 설명이다. 그는 “상황이 이런데도 기업들이 개인정보를 과하게 요구하는 경우는 관행으로 볼 수밖에 없다”고 꼬집었다.
◆ 주민번호 없이 인터넷 가입, 실현될까?
SK컴즈 사건 직후인 지난 8월 초, 방통위가 이와 같은 기업들의 관행에 제동을 걸고 나섰다. 인터넷상 개인정보 강화 방안을 발표한 것. ▲기업의 광범위한 개인정보 수집을 제한 ▲업종, 서비스별 개인정보 취급 표준 가이드를 마련 ▲개인정보 유효기간제 도입 추진 ▲개인정보 제공, 파기에 관한 웹사이트 점검 강화가 주요 내용이다.
방통위는 개인정보보호과 관계자는 “기업들의 주민등록번호 수집을 원천적으로 봉쇄하고 예외적인 허용정책으로 전환하는 것이 큰 방향이다”며 “당장은 기업들의 부작용이 상당할 것으로 우려돼 우선 이에 따른 사회적 비용을 분석하고, 연내에는 단계적으로 이를 실행하기 위한 중장기 로드맵을 마련할 계획이다”고 밝혔다. 방통위는 이와 함께 방통위 산하 ‘개인정보보호협회’ 설립도 준비 중이다.
여기에 오는 9월30일에는 행안부가 개인정보보호법 시행을 앞두고 있다. 현재 정보통신망법, 신용정보법 등 개별법으로 분리돼 있던 개인정보보호관련법의 사각지대를 없앨 수 있을 뿐 아니라, 개인정보 보호와 관련해 기업의 관리 점검과 처벌을 강화한 것이 가장 큰 차이점. 이 법에 따르면 3개월간 홈페이지 이용자 수가 하루 평균 1만명을 넘어서는 기업의 경우에는 주민등록번호 없이 가입할 수 있는 방법을 의무적으로 제공해야 한다.
그렇다면 SK컴즈뿐 아니라 다른 업체들도 주민등록번호 없이 가입하는 게 가능해지는 것일까. 일단 포털 서비스 업체들의 경우만 들여다보자면, 급물살을 타고 있는 정부의 ‘개인정보수집 최소화’ 방침과 달리 당장 사용자들이 체감할 만한 큰 변화는 없을 것으로 보인다.
다음커뮤니케이션 관계자는 “이미 주민등록번호 없이 회원 가입이 가능한 ‘간편가입’ 서비스가 시행 중이다”며 “9월 개인정보보호법이 시행되더라도 크게 문제될 부분은 없다”고 답했다. 이는 NHN도 마찬가지. 향후 주민번호 없이 가입이 가능한 시스템 마련에 대해서는 두 업체 모두 “논의 중”이라고 답했다.
하지만 간편가입 사용자의 경우 게시판 사용이 제한 될 수 있다. 제한적 본인 확인제에 따라 게시판을 사용하기 위해서는 따로 본인확인인증절차를 거쳐야 하고, 주민등록번호를 기입할 수밖에 없기 때문이다. ‘개인정보 수집 최소화’가 급물살을 타고 있는 상황에도 불구하고, 실효성 논란이 여전히 가라앉지 않는 이유다.
이에 대해 박준호 대표는 “농협이나 SK컴즈 해킹 사건을 해당 업체의 개별적인 사건으로 이해하는 것은 부족하다”며 “모든 정보가 한순간 뚫리는 지금의 상황에서 정보의 집적은 필연적 유출로 이어질 수밖에 없다"고 경고했다.
현재 IT기업들의 가장 큰 아킬레스 건은 개인정보 유출이다. 이를 얼마나 철저하게 관리 하느냐의 문제가 아니라 처음부터 유출 위험을 최소화 하는 것이 관건이라는 얘기다. 그는 “정보는 더 이상 보호 될 수 없다는 것을 받아들여야 한다”며 “지금은 근본적으로 기업들의 가치관이 달라져야 할 시점이다”고 강조했다.