인터넷업체 주민번호 수집금지, 금융기관에는 왜 적용 못하나?

2014.2.12 경향

주민번호는 다 알다시피 1970년대 방첩용으로 만들어졌다. 남한주민들 모두에게 번호 하나씩을 주고 그 번호가 있는지를 확인함으로써 간첩을 걸러낼 수 있다는 논리였다. 즉 처음에는 일종의 패스워드로 기능할 목적으로 만들어졌다.

문제는 주민번호가 영구불변한 덕분에 패스워드기능 외에도 고유식별기능을 할 수 있게 되자, 수많은 정부기관들과 사기업들이 서비스제공 및 거래의 조건으로서 주민번호를 요구하게 되었다. 이것이 수십년 정도 지속되자 수많은 기관과 기업들이 주민번호를 보관하게 되었고, 보관하다 보니 유출도 하게 되었고 결국 선악을 불문하고 많은 사람들이 타인들의 주민번호를 가질 수 있게 되었다. (작년 겨울 한 보안전문가로부터 들은 얘기 말에 따르면 우리나라 주민번호 1억개를 담은 CD를 중국에서 100불에 살 수 있다고 한다) 이렇게 많은 사람들이 타인들의 주민번호를 알고 있게 되면 주민번호는 패스워드의 기능도 고유식별의 기능도 할 수 없다. 주민번호가 신뢰성있는 패스워드나 식별자로 기능하자 너도나도 이를 요구하게 되어 결국은 식별자로도 패스워드로도 기능하지 못하게 되었다는 것이 바로 주민번호의 패러독스이고 신뢰성의 패러독스이다.

그럼에도 불구하고 기관과 회사들은 계속해서 주민번호를 서비스제공 및 거래의 조건으로 요구하고 있고 결국 해커들과 명의도용자들은 이 주민번호 데이터베이스를 취득할 욕심을 갖게 되었다. 2014년1월의 카드정보유출대란도 그런 욕심의 발현이었고 주민번호가 포함되었기 때문에 훨씬 더 위험한 것이었다.

결국 문제는 주민번호 자체가 아니라 그것이 활용되는 방법이다. 우선 이미 수많은 사람들이 번호를 가지게 되었으니 대부분의 경우 패스워드나 식별자로서의 기능을 못한다는 것을 인정해야 한다. 그나마 주민번호가 국가-개인 간의 식별기능을 하기 위해서는 수많은 업체와 기관들이 타인의 주민번호를 보관하고 있는 이 상황을 중단시켜야 한다. 그러려면 모든 기관과 회사들이 서비스제공이나 거래의 조건으로 주민번호를 요구하는 행태를 중단해야 한다. 그렇게 주민번호에 의존하면 명의도용으로 인한 피해는 더욱 커질 것이다. 또 그렇게 요구해서 받은 주민번호를 보관하고 있게 되면 유출의 가능성이 그만큼 높아지고 이 때문에 다시 명의도용의 위험이 높아지는 악순환이 계속된다.

이 위험은 점점 커져 이제 주민번호를 서비스제공의 조건으로 요구하는 행태를 법으로 금지할 시점에 우리는 와 있다. 이미 우리는 그런 경험을 가지고 있다. 2011년 싸이월드가 3천7백만개의 주민번호유출을 겪은 후 곧바로 법이 만들어져 2013년부터 모든 인터넷업체들의 주민번호 수집이 금지되었다. 그렇다면 2013년 국민, 농협, 롯데가 1억개 넘는 주민번호를 유출시켰다면 “모든 금융업체들의 주민번호 수집 금지”는 당연한 수순 아니겠는가?

언론보도에 혼선이 있는데, 2014년 8월부터 시행되는 개정 개인정보보호법으로는 금융업체의 주민번호수집을 막을 수 없다. 금융실명거래법이 명시적으로 주민번호 수집을 허용하고 있기 때문이다.

주민번호 수집이 금지된다고 해서 엄청난 혼란이 일어날 것처럼 이야기하지만 모두 과장되었다. 지금 당장 은행에 가서 계좌개설을 해보라. 여러분들에게 주민번호만 받아가지 않는다. 성명, 생년월일, 주소, 본적, 직업, 휴대폰 전화번호, 집 전화번호 등등 몇 개만 조합하면 고유식별기능을 할 수 있는 정보들을 은행들은 이미 충분히 가지고 있다. 그걸로 부족하다면 운전면허번호, 학생증 번호 등등을 요구하면 된다.

바로 주민번호같은 것이 존재하지 않는 외국에서도 은행들이 잘만 운영되고 있는 이유이고 심지어 국내의 은행들이 주민번호가 없는 외국인들에게도 은행계좌를 만들어 줄 수 있는 이유이다. 호주에도 거의 전국민이 국세청에 세금보고할 때 사용하는 번호를 가지고 있지만 이 번호를 다른 기관이나 업체가 수집하면 형사처벌을 받게 된다.

사실 생각해보라. 주민번호에 뭐가 들어있나. 생년월일, 성별, 출생등록지 그리고 이 세 가지 정보를 이미 널리 알려진 간단한 산식으로 곱하고 더해서 얻게 되는 숫자 하나가 포함되어 있을 뿐이다. 즉 주민번호는 어차피 은행들이 요구하는 다른 정보에서 도출할 수 있는 것이다. 혼란은 기우일 뿐이다.

주민번호 수집이 금지되면 진짜 혼란은 해커와 명의도용자들이 겪을 것이다. 은행마다 기업마다 요구하는 식별정보의 조합이 다르니 이제 무슨 정보를 가져가야 할지 모를 것이다. 지금? 인증시스템이 주민번호를 중심으로 일원화되어 있으니 적들은 너무나 좋다. 공격방법도 일원화하여 자원을 집중할 수 있기 때문이다. 은행들이 어차피 수집하는 개인정보와 별도로 주민번호까지 수집함으로 말미암아 혜택을 받는 자들은 해커들이나 명의도용을 하고자 하는 사람들 뿐이다.

http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201402112046175&code=990303

Print Friendly, PDF & Email