[비즈니스포스트] 과학기술정보통신부 민관합동조사단 조사 결과 SK텔레콤 통신망이 애초 알려진 것보다 더욱 광범위하게 뚫렸고 가입자 개인정보 유출 규모도 심각한 수준인 것으로 드러나 큰 파장이 일고 있는 가운데, 해킹 사태 재발 방지와 이미 털린 국민 개인정보 악용을 막기 위해서는 국민들이 자신에 부여된 주민번호를 바꿀 수 있도록 제도를 손봐야 한다는 목소리가 학계와 정보인권 단체를 중심으로 다시 커지고 있는 것으로 22일 나타났다.

지금처럼 통신사와 금융사 등이 가입자·고객 주민번호를 수집해 개인 식별과 본인 인증 수단으로 쓰는 상황을 계속 방치할 경우, 해커(불법 침입자)들이 이 기업들을 먹잇감(공격 대상)으로 삼는 사례가 이어지고, 결국은 또 뚫려 개인정보를 털릴 수밖에 없다는 것이다. 

이번에 털린 SK텔레콤 가입자들의 개인정보를 포함해 그동안 무수히 유출된 국민 개인정보에 대한 대처 차원에서 필요하다는 지적도 뒤따른다.

구체적인 방안으로는, 국민들에게 자신의 주민번호를 손쉽게 바꿀 수 있게 하거나, 금융사·통신사·의료기관 등도 다른 대체 수단을 만들어 개인 식별과 본인 확인을 하게 해야 한다는 것 등이 제시된다. 이들이 말하는 주민번호 대체 수단에는 '주민번호 기반이 아니어야 한다'는 전제가 달려있다.

문송천 한국과학기술원(카이스트) 명예교수는 비즈니스포스트와 통화에서 "유독 우리나라에서만 2013년 이후 거의 격년 주기로 해킹을 통한 대량의 개인정보 유출 사태가 계속 터지고 있다"며 "주로 금융사와 통신사 등 주민번호가 수집돼 있는 곳을 노리는 특징을 보여준다"고 말했다. 문 교수는 우리나라 1호 전산학 박사이다.

문 교수는 그 이유로 "전 세계에서 유일하게 우리나라에서만 한번 부여되면 평생 바꿀 수 없도록 설계된 주민번호가 국민 식별 수단으로 사용되고 있고, 무엇보다 이를 금융사와 통신사 등 민간기업까지 수집해 사용할 수 있게 한 탓이 크다"고 설명했다.

문 교수는 "해커 쪽에서 보면 주민번호는 필요한 정보를 자유자재로 뽑아내고 재구성할 수 있는 '만능 키' 구실을 한다"고 강조했다. 

"주민번호를 키워드로 활용해, 해킹이나 인터넷에서 수집한 정보 가운데 다음 공격에 필요한 조건을 충족하는 범주의 정보를 뽑아내 재구성하고, 부족한 퍼즐 조각 정보는 또다시 해킹을 통해 빼내거나 인터넷에 돌아다니는 다른 정보 덩어리에서 찾아 채우는 방식으로 추가 공격에 쓸 사람을 고르거나 공격 대상자를 찾아낼 수 있다"며 "인공지능 기술 발전으로 해커의 이런 활동이 더 활발해지게 됐다"고 설명했다.

문 교수는 "따지고 보면, 이제는 개인정보가 유출됐다는 사실도 큰 문제꺼리가 아니고, 단말기 복제 문제도 크게 신경쓸 게 못된다. 해커한테 계속 농락당할 수 있다는 게 가장 큰 문제"라며 "재발 방지 내지 추가 피해 예방 대책을 마련한다고 하면서 주민번호 제도를 손보지 않으면, 해커들에게 비웃음을 사고, 정부 스스로 해커와 공범이 되는 것"이라고 짚었다.

이창범 동국대 경찰사법학과 교수(김앤장 고문)는 "사업자 쪽에서 보면 고객 식별이나 본인 인증 시 주민번호나 주민번호 기반 '연계정보'(CI)를 사용하면 간편하고 비용이 적게 들긴 한다. 하지만 모두 우리나라에서만 쓰는 주민번호 기반이라 관련 기술이나 솔루션을 수출할 수도 없고, 이런 주민번호와 연계정보가 개인정보를 결합하거나 짜깁기를 할 때 만능 키 역할을 하는 탓에 이들이 포함된 데이터베이스는 해커의 공격 대상으로 꼽히기 십상"이라고 진단했다.
 
이 교수는 "주민번호와 연계 정보를 수집해 쓰는 쪽은 암호화돼 있어 문제없다고 주장하지만 결코 안전하지 않다"고 덧붙였다. 그는 개인정보분쟁조정위원회 개인정보분쟁조정팀장과 한국인터넷진흥원 개인정보보호단장 등을 지낸 개인정보 전문가다.
 
장여경 정보인권연구소 이사는 "2000년대 들어 안전한 디지털 사회를 만들기 위해서는 민간의 주민번호 수집을 막아야 한다는 지적이 꾸준히 제기돼왔고, 잦은 주민번호 유출과 인터넷 실명제 논란이 커졌을 때 통신사·금융사·의료기관 등 법적 근거가 있는 곳들을 제외한 민간의 주민번호 수집을 금지하고 이미 수집해둔 것도 삭제하도록 하는 조처가 있었다"며 "주민번호 제도 손질 요구에 전적으로 공감한다. 특히 이번에는 가능하면 민간의 주민번호 이용을 완전 금지할 필요가 있다"고 말했다.

장 이사는 또 "한국정보보호진흥원(KISA)이 주민번호 대체 수단으로 발급해 정부기관과 민간에서 광범위하게 사용되고 있는 연계정보 역시 주민번호 기반이라 변경이 어렵고, 정보 주체가 발급 사실조차 모르는 등 정보인권 침해 소지가 많다"며 "함께 손봐야 한다"고 강조했다.

장 이사는 이어 "더욱 큰 문제는 주민번호와 연계정보를 활용하는 개인 식별 및 본인 인증 모델이 다양하게 도입돼 있고, 앞으로 관련 비즈니스 모델과 서비스가 더욱 늘어날 것으로 예상된다는 점"이라고 짚었다.

정보인권단체들은 연계정보에 대해 국민 정보인권 침해를 이유로 헌법소원을 제기한 상태이다.
  우리나라에선 1962년 주민등록법 제정으로 주민번호와 주민등록증이 생겼다. 북한 공작원들이 박정희 전 대통령 암살을 시도한 '김신조 사건'의 영향이다. 당시 박정희 정부는 북한 간첩이나 공작원을 식별하기 위해 모든 국민에게 12자리 번호를 부여했는데, 주민번호와 주민등록증 1호 발급자가 박정희 전 대통령이었다.

이후 1975년과 2020년 등 두번의 개편을 거쳐 지금과 같은 모양으로 바뀌었다. 국내 인권단체들은 물론이고 UN인권위원회에서도 우리나라의 주민번호에 인권 침해적 요소가 있다는 비판에 따라 개편됐다.

주민번호 민간 수집 및 이용은 김영삼 정부 시절 금융실명제가 시행되면서 공식화됐다. 이후 인터넷 사업자를 중심으로 실명제를 도입하는 사례가 늘면서 민간의 주민번호 수집이 확산됐다.

주민번호 제도를 손질해 민간 이용을 막아야 한다는 요구는 2012년에도 있었다. 그해 5월24일 진보네트워크센터와 함께하는시민행동 등 정보인권 보호 활동을 펴는 시민단체들이 공동으로 기자회견을 열어 "이미 국민 대다수의 주민번호가 유출된 상태로, 주민번호를 식별자로 한 본인확인의 효용성이 사실상 소멸됐다"며 주민번호 제도 손질을 요구했다.

실제로 2008년에는 옥션에서 1800만명의 주민번호가, 2011년에는 SK컴즈가 운영하는 네이트와 싸이월드에서 3500만명의 주민번호가, 초중생이 많이 이용하는 넥슨의 게임사이트 메이플스토리서 1300만명의 개인정보가 각각 유출됐다. 당시 우리나라 총 인구가 5천여만명이고, 경제활동 인구가 2500만 가량 되는 점에 견줘, 전 국민의 주민번호가 유출된 셈이다.

당시 정보인권 단체들은 국민 주민번호 대량 유출 원인으로 "인터넷 기업들이 실명 확인을 이유로 주민번호 수집을 부추기고 강제하는 제도"를 지목했다. 아이핀과 연계정보 등 주민번호 대체 수단 역시 주민번호 기반이라 장기적으로 또다른 유출을 조장할 가능성이 있어 부적절하다고 짚었다.

이에 정부는 민간의 주민번호 수집을 금지했는데, 금융사.통신사.의료기관은 법적 근거가 있다는 점을 들어 금지 대상에서 제외했다.

그런데 2년 전 LG유플러스에서 가입자 29만명의 개인정보가 유출된 데 이어 이번엔 1등 사업자 SK텔레콤에서 사상 최악의 해킹과 가입자 개인정보 유출 사태가 발생하자 또다시 주민번호 손질 목소리가 커지고 있는 것이다.

개인정보보호위원회에 따르면, 개인정보 유출(신고 기준) 건수는 지난해 1377만건에서 올해는 4월까지 SK텔레콤 가입자 유출 건을 포함해 3500만건으로 이미 3배 가까이 증가했다.   

문송천 교수는 "지금은 몽땅 털려나가, 해커들이 다음 공격 대상을 찾기 위한 퍼즐 맞추기 용도로 활용되고 있는 가입자 개인정보에 대해 어떻게 대처할 것인가에 대해 고민해야 할 시점"이라며 "이는 SK텔레콤 차원을 넘어서는 사안"이라고 말했다.

정보인권 보호 단체들도 조만간 주민번호 제도 개선 방안에 대해 공동 의견을 낼 것으로 알려졌다. 김재섭 선임기자