이장훈 한국신용정보 대표이사
지난 2006년 모 게임회사에서 발생한 명의도용 사건에서부터 세인의 관심을 끌기 시작한 개인정보보호의 필요성은 대형 쇼핑몰에서의 대량정보유출, 기업 내부에서의 정보유출시도 등 잇따른 대형 사건사고로 인해 점차 주요 이슈로 부각되고 있다. 초창기 인터넷의 빠른 보급과 확산으로 외형적인 성장이 급격하게 이루어지는 동안 이면에 가려져 있던 개인정보보호의 취약점들이 하나 둘씩 수면위로 드러나기 시작한 것이다.사실 이전부터 주민등록번호 도용은 공공연하게 이루어져왔다. 주민등록번호의 특성상 일반 생활에서 쉽게 노출이 되고 있어 누구라도 쉽게 웹에서 타인의 주민등록번호를 구할 수 있으며, 또한 마음만 먹으면 대량으로도 획득이 가능한 상황에서는 오히려 당연한 일인지도 모른다.주민등록번호 체계는 대한국민 국민이라면 누구나 가지고 있고, 개인들을 식별할 수 있는 가장 쉬운 수단이다. 이러한 주민등록번호 체계는 정상적인 활용이 이루어진다는 가정하에서는 매우 편리한 시스템이지만, 편리한 만큼 보안에는 매우 취약한 점을 가지고 있다. 오프라인에서는 대부분 대면접촉을 하기 때문에 주민등록번호와 대면확인 결과가 본인확인기록으로 남게 되지만, 온라인 상에서는 직접적인 대면을 하지 않기 때문에 주민등록번호로만 상대방을 확인하게 돼 주민등록번호 자체가 본인확인기록이 되는 경우가 생기게 된다. 바로 이 점 때문에 타인이 입력하더라도 본인이 직접 입력한 것처럼 인식이 되어 도용이 발생할 수 있는 것이다.최근에는 이를 기술적으로 보완하고자 주민등록번호 입력 절차 외에 추가적으로 입력자가 본인이 맞는 지의 여부를 확인하는 프로세스를 두거나 차세대 식별수단인 아이핀(i-PIN)을 도입하는 경우가 많아졌다. 그리고 개정된 주민등록법에 의해 임의로 타인의 주민번호를 무단 도용하는 것을 엄격히 막고 있다. 그러나 모든 사이트가 본인확인 절차나 아이핀을 도입한 것은 아니며, 법률상 막고 있는 도용행위에 대해서도 실제 기술적 조치가 취해지고 있는 것은 아니다.주민등록번호는 대한민국 국민이라면 누구나 부여 받는 특수한 번호로 특별한 사유가 있지 않고서는 변하지 않는 번호 체계이다. 이로 인해 한 번 주민등록번호가 노출되면 얼마든지 다른 곳에서 도용 시도가 일어날 수 있기 때문에 개인은 불안할 수 밖에 없다. 그렇다고 일각에서 주장하는 것처럼 주민등록번호 자체를 폐지하는 것은 주민등록번호가 주는 효용성을 생각해 볼 때 쉽지 않은 선택이다. 마치 칼이 살인의 도구가 될 수 있으니 쓰지 말자는 주장처럼 다소 비현실적인 주장이 될 수도 있다.결국 이 문제를 해결하기 위해서는 큰 원칙을 세우고 그 원칙에 따라 개인정보의 유통을 통제할 수 밖에 없다. 여기서 가장 중요한 원칙은 '활용이라는 자유를 보장하되, 안전이라는 규제를 부여한다'이다. 개인정보보호를 말할 때 자주 언급되는 경제협력개발기구(OECD) 8원칙이라는 것이 있다. 수집제한, 정보 정확성, 목적 명확화, 이용 제한, 안전 보호, 공개, 책임, 개인 참가로 정리되는 8원칙은 개인정보의 수집에 있어서 목적 범위 내에서는 고객의 사전 동의(OPT-IN)를 받아 자유롭게 처리하되 해당 본인에게는 투명한 공개를, 제3자에게는 엄격하게 열람을 규제하는 것을 주요 내용으로 하고 있다. 정부에서도 개인정보보호문제의 중요성을 고려해 지난해에 개인정보보호법을 발의, 추진하고 있다. 동법은 상기 언급한 원칙을 바탕으로 온라인과 오프라인을 아우르는 통합법 체계로 진행되고 있는데, 통합법 체계로 들어가게 되면 지금 개별법에 의해 규제되고 있는 개인정보가 하나의 상위법으로 통제를 받게 되는 특징이 있어 더욱 효율적인 통제가 가능할 것으로 기대된다. 또한 개인정보의 범위를 컴퓨터 등에 의해 처리되는 정보 외에도 수기문서 등 오프라인에서 취합된 정보까지 포괄적으로 정의함으로써 개인정보가 온라인과 오프라인으로 이원화되어 관리되고 있는 문제도 상당부분 해소될 것으로 보고 있다.미국의 경우 프라이버시법 제정 이후 개별 영역별로 별도의 규정과 법률을 제정해 운용해왔지만, 최근 들어서는 네트워크의 발달로 인해 정보간의 결합이 빈번해지면서 보호받아야 하는 개인정보의 구별이 불분명해짐에 따라 연방정부 차원에서 이를 조정하는 작업을 벌이고 있다. 유럽연합(EU)에서는 공공부문과 사적부문에 공통적으로 적용되는 개인정보보호정책을 회원국에 권장하고 있으며, 이에 따라 독일, 영국 등의 국가에서는 개별법에 의해 통제되던 개인정보들을 하나의 통합법 체계하에서 운영되도록 변경해가고 있다. 한 가지 흥미로운 사실은 같은 유럽 국가이면서도 독일, 덴마크, 오스트리아 등이 사뭇 달라서 독일에서는 법인체에 대한 정보는 개인정보로 인정하지 않는 반면에 덴마크, 오스트리아 등지에서는 사단법인, 주식회사, 협동조합 같은 법인들의 정보도 개인정보로 인정 보호하고 있다.이번 개인정보보호법에서 또 하나 주목할 사실은 온라인 상에서 사용자를 확인함에 있어서 주민등록번호 외의 본인확인방법을 추가로 제시하도록 규제한다는 것이다. 물론 모든 사이트가 대상인 것은 아니지만 일정 규모 이상의 사이트들은 의무적으로 주민등록번호 외에 i-PIN이나 휴대폰 본인확인 등을 사용자가 선택할 수 있도록 해야 한다는 것은 더 이상 주민등록번호가 만능키로서 사용되지 않도록 하겠다는 강한 의지의 표현이라고 해석할 수 있다. 이렇게 되면 모든 사용자를 주민등록번호 만으로는 분류할 수 없기 때문에 그 효용성은 상대적으로 줄어들 수 밖에 없다. 또 개별 사업자는 별도의 인덱스를 설정해야 하고, 고객관계관리(CRM)을 위한 데이터 분류 체계도 상당 부분 수정해야 한다. 초기에는 수정을 위한 비용 및 재원의 투자, 사용자 혼란이 불가피하겠으나 장기적으로 볼 때 범람하고 있는 개인정보의 오남용으로 인한 사회적 손실이 줄어든다는 점을 감안해보면 향후 더욱 안정된 시장 플랫폼으로 자리잡을 수 있을 것으로 기대된다.불과 수 년 사이에 정보의 네트워크가 광역화되고 정보의 전파 속도가 가속화됨에 따라 디지털화된 개인정보의 유출이나 오남용으로 인한 개인 사생활 침해도 증가하고 있다. 이로 인해 발생하는 사용자의 불신이나 직간접적인 사회적 비용도 그 규모를 더해가고 있는 시점이다. 이러한 혼란을 극복하고 인터넷이 다음 성장 동력을 이어가기 위해서는 적절한 가이드가 제시되어야 한다. 다만 이러한 가이드가 또 하나의 규제로 변질되어 시장의 자유로운 성장을 저해할 만큼의 과도한 수준이 되는 것 또한 반드시 피해야 할 것이다. <ⓒ아시아 대표 석간 '아시아경제' (www.asiae.co.kr) 무단전재 배포금지>