방송통신위원회가 8월8일 ‘인터넷상 개인정보보호 강화 방안’을 발표했다. 뼈대는 주민번호 수집을 원칙적으로 금지하겠다는 조치다. 관련 법률 개정을 추진하고, 개인정보 취급 표준 가이드를 마련하겠다는 계획도 덧붙였다.

무분별한 개인정보 수집이 해킹이나 내부 유출 등으로 도용되고 피싱 같은 범죄에 악용되는 사례는 이미 숱하게 봐 왔다. 최근 일어난 SK컴즈 해킹 사고만 봐도 그렇다. 3500만명에 이르는 이용자의 개인정보가 몽땅 털렸다. 사실상 대부분의 인터넷 이용자 개인정보가 유출됐다는 얘기다. 그런 점에서 핵심 개인정보로 꼽히는 주민번호 수집과 보관을 제한한 방통위의 이번 조치는 환영할 일이다.

그런데 목엣가시처럼 넘기지 못할 대목도 눈에 띈다. 방통위는 이번 개인정보보호 강화 방안을 발표하며 마련한 브리핑 자리에서 정보통신 서비스 제공 사업자(ISP)들이 주민번호를 포함한 개인정보를 보관하는 배경을 두고 “업계의 관행”이라고 못박았다. “본인확인제는 이용자의 실명 여부를 확인하라는 것이지, 반드시 주민번호를 수집·보관하라는 것은 아니다”라고도 말했다. 요컨대, 본인확인제와 개인정보 보관은 무관하며, ISP들이 법을 자의적으로 해석해 보관해온 게 문제란 얘기다.

어안이 벙벙할 노릇이다. ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(이하 정보통신망법)은 하루평균 이용자수가 10만명이 넘는 웹사이트를 대상으로 이용자 본인 확인을 거쳐 게시판에 글을 남기도록 의무화하고 있다. ‘인터넷 실명제’로 알려진 ‘제한적 본인확인제’ 얘기다. 더구나 정보통신망법 시행령 제29조 3호는 ‘게시판에 정보를 게시한 때부터 게시판에서 정보의 게시가 종료된 후 6개월이 경과하는 날까지 본인확인정보를 보관할 것’이라고 규정하고 있다.

지금껏 실명제 적용 대상 ISP들은 이 조항에 따라 개인정보를 수집·보관해 왔다. 여기서 개인정보란 특정 개인을 알아볼 수 있는 정보를 뜻한다. 이름이나 주민번호가 대표 사례다. 헌데 정작 주무부처인 방통위는 지금에 와서야 “반드시 주민번호를 수집·보관하라는 것은 아니다”라며 발을 빼는 모양새다. 개인정보를 보관하라고 한 적이 없는데, 시쳇말로 ISP들이 ‘오버’를 했다는 얘기다.

정말 그럴까. 지금껏 해킹 등에 의해 ISP가 보관하고 있던 개인정보가 털린 적은 숱하게 많지만, 방통위는 한 번도 이를 두고 개인정보 보관 문제를 지적하지 않았다. 2008년 2월 옥션 해킹 사고로 1800만명이 넘는 개인정보가 유출됐을 때도, 2006년 ‘리니지’ 이용자 계정 120만개가 털렸을 때도 마찬가지였다. 개인정보 유출 사고가 날 때마다 실명제 부작용 문제가 도마에 올랐지만, 방통위는 그 때마다 보안을 강화하고 ‘아이핀’ 같은 주민번호 대체 수단을 사용하라는 얘기만 앵무새처럼 반복해왔다.

방통위 논리도 그 자체로 옹색하다. 방통위가 주민번호 입력 대체 수단으로 권장하는 ‘아이핀’ 소개 웹사이트를 보자. 아이핀과 주민번호 입력 방식을 비교한 표에는 ‘주민등록번호 실명 확인’ 방식에 ‘주민등록번호가 개별 웹사이트에 저장’된다고 안내하고 있다. 그런데 지금 와선 ‘주민번호를 반드시 보관하라는 얘기는 아니었다’니, 국내 인터넷 이용자의 90%가 넘는 신상정보가 털린 뒤에야 내놓은 변명 치고는 너무 구차하지 않은가.

ISP들은 지금까지 여러 이유로 개인정보를 수집·보관해 왔다. 전자금융거래법에 따라 온라인 결제 서비스를 제공하는 업체는 5년간 거래 정보를 보관해야 한다. SK컴즈가 해킹 사고 발생 이후 “개인정보를 보관하지 않겠다”라고 발표하면서 ‘도토리’ 구매 이용자들 개인정보는 예외적으로 보관할 것이라고 한 것도 이 때문이다. 또 전기통신사업법 83조에 따라 법원이나 수사기관이 요청할 경우 ISP들은 그 요청에 따를 수 있도록 돼 있다. ‘따를 수 있다’고는 하지만, 사실상 요청이 들어오면 지금까지는 개인정보를 제공할 수 밖에 없는 게 현실이었던 만큼, 이용자 정보를 보관할 수 밖에 없었다. 이런 배경들을 무시하고 ISP들이 개인정보를 보관한 것을 두고 ‘법을 자의적으로 해석한 것’이라고 탓하는 건 너무 무책임한 발언 아닌가.

지금까지 ISP들이 주민번호를 포함한 개인정보를 과도하게 수집한 점도 인정해야 한다. 이용자 정보를 자산으로 여기고 DB 마케팅에 활용하려는 의도도 적잖았다. 아무리 철통 보안을 하더라도 구멍은 있게 마련이다. 애초에 문제될 정보를 모아두지 않는 게 낫다. 그래서 특별한 경우를 제외하고 주민번호 수집을 원칙적으로 금지하는 조치는 환영할 만 하다. 하지만 의지에 관계 없이 개인정보를 보관해야 하는 현실적 장벽들을 걷어내는 노력도 함께 진행돼야 한다.

국회입법조사처는 8월9일 내놓은 ‘네이트 해킹사고와 포털의 개인정보보호‘ 보고서에서 “인터넷 실명제는 주민등록번호의 수집을 부추기는 요인으로 작용하고 있”다고 지적했다. 개인정보 유출 위험을 증대시키는 첫 번째 요인으로 인터넷 실명제를 꼽은 것이다. ‘네 탓’만 하는 방통위 주장과 비교되는 대목이다.

주민번호를 입력해 인증을 받든 아이핀 방식을 쓰든, 문제는 개인정보 식별 수단으로 주민번호를 반드시 쓰도록 강제하는 지금 제도에 있다. 주민번호는 적어도 지금 웹에선 개인을 식별하는 유일무이한 만능열쇠가 아니다. 이미 국내 누리꾼 신상 정보가 뭉텅 잘려나간 마당에 ISP로 하여금 선택권 없이 주민번호로 실명을 확인하는 방식을 강제하는 게 실효가 있을 지 곱씹어볼 일이다.

ISP가 이용자 개인정보를 굳이 모아 보관하지 않아도 문제될 게 없도록 법과 제도가 이참에 재정비돼야 한다. 방통위는 이번 개인정보보호 강화 방안을 발표하며 “정보통신망법 개정 등 관련 법률 개정을 추진”하겠다고 밝혔다. 지금부터 눈을 부릅뜨고 지켜볼 일이다. 주민번호 수집을 금지하는 조치가 헛된 구호로 그치지 않으려면.

사진 : http://flickr.com/photos/azrainman. CC-BY.

Comments

    1. 실명제를 아예 폐지하는 게 최선. 그게 안 되면, 이참에 업체가 자율 결정하고 이용자가 평가하도록 법 좀 제대로 다듬기를 기대합니다.

  1. 인터넷이든 오프라인이든 가입시 약관안보고 가입하는 님들이 문제죠 .. 전보수집 동의해노라구 가입하구 카드 만들어놀구 거참 본인들 잘못은 인정안하구 주저리 변명하구 항의하는 한국민들 ㅉㅉ

    1. 실명제가 뭔지도 모르는 양반. 애초에 실명 확인을 강제하기 때문에 정보수집을 할 수 밖에 없는 시스템이 문제란 얘기. ㅉㅉ

  2. 통신규제는 하고 싶고 마케팅에 써먹으려고 하니까 이런저런 정보가 필요한거니까요
    정보유출에 대한 뒷감당도 못하면서 무늬만 선택사항인 정보를 요구하는 행태는…

SkyKiDS 에 답글 남기기 응답 취소

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.