본문 바로가기

I Think

온라인 포탈 개인정보누출과 주민등록번호 논란, 뭔가 대단히 잘못되어 있다.

카드사에서 오는 보안 이메일 명세서를 보려면 주민등록번호 뒷자리를 입력해야한다. 그것은 주민등록번호 뒷자리를 입력하는 사람을 나로 간주한다는 것이다.

얼마전 제한적 실명제를 실시한다고 모든 포탈에 로그인을 하면 이름과 주민등록번호를 입력받았다. 그 것 또한 로그인 당사자가 본인인지를 확인하겠다는 의도 였다. 내 이름과 주민등록번호를 알면 내가 아니라도 내가 될 수 있었다.

인터넷에서 성인물에 접근할때도 우리는 이름과 주민등록번호만 입력하면 입력한 사람이 그 이름과 주민등록번호를 쓰는 사람이라고 확인되고 나이가 기준을 넘기만 하면 성인물에 접근이 가능 해진다.

위 사실들은 바로 우리가 주민등록번호를 개인인증수단으로사용하고 있다는 것을 의미한다.

인증이란것은 내가 나라는 것을 입증하는 것을 말한다. 대면관계에서는 주민등록증과 얼굴을 확인하고 내가 진짜 나라는 것을 확인시켜줄 수 있다. 은행에서 실명확인할때 쓰는 방법이다. 주민등록 위조라는 회피수단이 있긴 하지만, 그나마 각종 거래에서 본인 인증 수단으로는 그중 확실한 방법으로 쓰이고 있다.

온라인에서는 문제의 주민등록번호가 마치 주민등록증처럼 쓰이고 있는 것이다. 내가 주민등록번호를 입력하면 비밀로 유지되어야할 내 사적인 정보를 볼 수 있도록 해주는것이다. 그러나 내가 아닌 다른 사람이 입력한다고 해도 그것을 입력 받는 입장에서는 판단 할 수가 없다.

그래서 주민등록번호가 남에게 알려지지 않도록 해야한다고들 생각하고 있다. 그러나 대부분의 웹사이트들이 가입시 주민등록번호를 입력받아 왔고 그 정보들이 이미 유츌될대로 유출되어 버린 이 세상에서  주민등록번호를 개인 인증의 수단으로 여전히 사용하고 있다는 것은 심각한 문제이다.

그런데 여기서 잠시 생각해보고 넘어갈 문제가 있다. 과연 주민등록번호가 누가 누구인지를 확인할 수 있는 인증 수단으로 적절한가의 여부이다.

우리는 회원으로 가입한 어떤 사이트에 로그인을 할 때 아이디와 비밀번호를 입력한다. 아이디는 나를 다른 사람과 구분할 수 있는 식별번호이다. 아이디라는 말도 영어에서 식별자를 뜻하는 identification의 줄임말이다. 아이디는 비밀로 하지 않는다. 내 이메일 주소도 내 아이디로 시작하고 카페에서의 활동도 내 아이디를 기반으로 이루어진다. 말그대로 아이디는 온라인에서 남들과 나를 구분해주는 식별기호로서 사용되는 것이다.

그리고 비밀번호는 로그인시에 아이디라는 식별자를 입력한 사람이 바로 나라는 것을 내가 입증하는 수단으로써, 나만이 알고 있는 비밀리에 사용되는 기호인것이다.

온라인뿐 아니라 이미 오프라인에도 문서의 서명자가 누구인지를 식별하기 위해서는 이름이라는것이 쓰이고 있었고, 그 이름의 주인공이 그 문서를 작성했다는 것을 확인하기 위해서 서명이나 인장을 찍어왔다.

자 여기까지 우리가 익히 알고 있는 주민등록번호와 아이디 그리고 비밀번호를 다시 생각해 보았다.

무언가 잘못되었다는 느낌이 들지 않는가?

개인 식별자로써 쓰이는 아이디와  주민등록번호 그리고 개인인증수단으로 쓰이고 있는 비밀번호와 '또' 주민등록번호.

그렇다 주민등록번호가 두 가지로 쓰이고 있는 것이다. 식별자로써만 쓰여야할 주민등록번호가 식별자와 인증수단으로 동시에 쓰이고 있는 것이다.

그렇다 애초부터 주민등록번호는 이름과 같은 식별수단이지 비밀번호가 아니었다. 이름은 같은 사람이 많으니까 구분을 위해서 주민등록번호가 필요한것이었는데, 어쩌다 그것이 용도 변경 된 것이다. 아마 개인 인증 수단인 주민등록증에 써 있다는 것 때문일지도 모르겠다. 

그렇다면 이문제를 어디서 부터 풀어나가야하는것일까? 주민등록번호를 없애야하나? 주민등록번호를 없애면 당장 등기부등본만 봐도 내 집 주인이 나인지 아닌지 내 동명이인들과 어떻게 구분을 할 것인가? 난 세금을 냈는데 나랑 이름 같은 사람이 세금을 안냈다고 이름 같은 사람들이 1/n로 나눠서 그 사람이 안낸만큼 더 낼것인가?


우선 보안이메일 수신시 개인인증 수단으로 주민등록번호 뒷자리를 입력하도록 하는 것은 어떤가?  이미 이메일 로그인 과정을 거쳐서 나를 식별시켜주고 인증까지 했는데도 불구하고 또 인증을 하려고 하는 중복의 문제는 제쳐 놓는다 해도, 보안메일을 보기 위해 입력해야하는 입력하는게 고작 내 이름과 동급인 주민등록 라면 말이 안된다. 만일 카드사가 보낸 명세서라면 카드사 홈페이지 로그인시에 쓰는 비밀번호를 물어보는것이 당연하지, 왜 난데 없이 주민등록번호 뒷자리를 물어보기 시작했는지 참 의아스럽다.

보안메일로 오는 명세서들의 내용을 과연 해킹해서 무슨 득을 볼일이 있다고 그걸 애써 해킹을 할까? 주민등록번호를 떠나서, 쓸데없는 것들 암호화 하느라고 명세서 보는것 마저 힘들게 해 놓지 말았으면 하는게 진정한 바램이다.


이런 넌센스는 그곳에만 있는 것이 아니라 사회 전반에 널리 퍼져있다. 심지어 모든 사람들의 머리속에 심지어  정통부 공무원의 머리속에도 있어서 주민등록번호를 숨기기 위해 아이핀이란것을 고안해내기에 이르렀다. 아이디를 숨기기 위해서 새로운 아이디를 만들어 사용하도록 한다는 신비로운 발상이다.

이 상황을  포털의 카페에 견주어 생각해보면 내가 활동하는 동호회에 모든 글에 쓰이던 내 아이디를 남이 알면 안되기 때문에 새로운 아이디로 바꾸어 활동하도록 강요하는 것이고, 그리고 이메일 주소를 알려주는 것도 내 아이디를 알려주게 되기 때문에 새로운 아이디로 바꿔서 알려줘야하는 것이다.

어떤가? 뭔가 조치를 취해서 일을 한것 같긴 한데 문제를 해결했다는 생각이 드는가?  모든것이 이치에 맞지 않는 상황이 될 뿐이다. 카페에서는 식별자와 개인인증을 위한 비밀번호가 혼동되고 있지 않기 때문에 내가 쓴글의 옆에 표시되는 아이디는 내가 그 글을 썼다는 것을 사람들에게 알려주고 있으며, 그 글을 쓰기 위해서 필히 거처야 하는 로그인과정에서는 아이디와 비밀번호를 모두 제대로 입력해야 한다는 것을 모두가 알기 때문에 사람들은 그 글을 쓴사람이 나라는 것을 확신할 수 있는 것이다.

주민등록번호는 비밀번호가 아니다. 단지 나를 남과 구분하기 위한 식별기호일 뿐이고 알려지든 말든 나의 사생활의 보호에는 전혀 문제가 없어야 한다. 그러나 일반인 뿐 아니라 공문원이나 각종 회원을 관리하는 회사나 조직의 관리자도 그것을 비밀번호로 착각하고, 그 주민등록번호만 입력하면 개인의 신상정보에 접근하도록 한다거나 하는 개인인증의 수단으로 쓰고 있기 때문에 이 모든 문제가 벌어지고 있는 것이다.

아이핀이라는 주민등록번호 대체 수단을 만드는 것 보다도 훨씬 큰 작업이 바로 주민등록번호를 개인인증 수단으로 쓰고 있는 모든 공적, 사적인제도(컴퓨터 내외의 시스템 모두)를 고치는 일일 것이다. 물론 사람들의 주민등록번호에 대한 인식도 바뀌어야 할 것이다.

하지만 시스템이 먼저 바뀌어야 주민등록번호의 유출에 대한 두려움이 없어질 수 있지 그렇지 않고서는 사람들은 여전히 주민등록번호의 유출을 비밀번호의 유출처럼 두려워 해야 하는 것이 현실이다.

시급히 주민등록번호를 비밀번호로써 사용하는 모든 사이트와 제도를 바꿔야한다. 그러면 온라인에서의 개인인증은이 문제가 되는데 은행거래에서 쓰이는 보안카드나 일회용비빌번호생성기 또는 문자메시지 인증 같은 수단들을 이용해야할 것이다. 온라인 인증서는 방법이 아니다. 인증서 문제만 해도 매우 큰 덩어리이니 이 글에서는 다루지 않겠다.

시급한 것은 일반 웹사이트들에서 주민등록번호를 입력 받지 못하도록 하는것이 아닐까 한다. 우리나라는 사생활 보장이라는 개념이 너무 없다. 외국 사이트 어딜 봐도 주민등록번호 비슷한걸 입력해야 가입되는 사이트는 없다. 주민등록번호가 있으면 마케팅에 쓸모가 있다는 이유로 필수로 입력을 받고 있는데, 이런것이야 말로 국가가 나서서 규제해줘야하는 것이다. 실명제를 실시하는게 아니라 익명제를 실시해야 하는 것이란 말이다. 왜 나라가 나서서 개인의 사생활을 팔아 돈벌이를 하도록 부추기느냐 말이다.

그리고 정부의 공공사이트나 행정제도에서도 하루빨리 주민등록번호를 비밀번호로 간주하는 방식을 없애야 한다.  그리고 나서 고쳐야 할 것이 등기부등본이나 사업자 등록증 같은 것에 표기된 주민등록번호를 별표로 하지 말고 제대로 표시하도록해야한다. 부동산거래 하려고 뽑은 등기부등본에 집주인 주민등록번호가 가려져 있으면 집주인 주민등록증하고 어떻게 대조를 해보란 말인가? 이 모든게 주민등록번호의 오용으로 인해 생긴 결과 이다. 

포탈들에서 개인정보가 하도 유출되다보니 주민등록번호를 아예 없애버리자는 주장도 있다. 그러나 국가 행정이 돌아가려면 등기부같은 개인재산 등록시에나 특허의 소유주 구별 각종 세금 발부 및 징수 국민 건강 보험업무등 개인을 식별해야만 하는 필요성은 당연히 존재한다. 주민등록번호는 정부의 편의를 위해서 존재하는게 아니라 인간이 고유한 이름을 가지지 않고 동명이인이 다수 존재하기 때문에 필연적으로 생긴 것이다. 당신의 집이 당신과 이름이 같은 사람들의 공유하는게 아니라 당신만이 그 소유주라는걸 주민등록번호 없이 어떻게 구분을 하겠는가?

국가라면 주민등록번호 같은 식의 번호는 다 가지고 있을 수 밖에 없다. 다만 그것이 우리나라 처럼 민간에 까발려지느냐 아니면 행정부문에서만 쓰이느냐, 또는 그 명칭이 등록번호라는 비호감적인 이름이냐의 차이 같은 것은 있겠지만, 뭔가 개인을 식별할 것이 필요한건 당연하다. 사실 행정부문에서만 쓰인다고 해서 주민등록번호가 비밀로 유지되어야 하는건 아니다. 앞서 말했듯이  부동산거래시 계약을 하려면 등기부등본의 주민등록번호와 주민등록증 그리고 실물의 얼굴을 다 대조해보고 하지 않는가? 다만 많은 국민의 주민등록번호 목록이 지금처럼 온라인을 통해 해커들의 손에 들어가는것은 불필요한 사생활 침해의 여지가 있는것이고, 알려져봤자 그것으로 돈벌이를 할 것이 없도록 제도를 바꿔야 하는것이다.

워낙 주민등록번호가 비밀번호처럼 인증수단으로 쓰이는 경우가 많아서 다 고치려면 많은 시간과 돈이 들겠지만, 이 문제를 제대로 해결하는 근본적인 방법은 딱 하나뿐이다. 주민등록번호를 개인인증수단으로 쓰지 말아야 한다.







 

<예전에 올렸던 글인데 개인인증수단으로 온라인 인증서를 쓰라는 망발을 해놔서 --;; 그 부분 다 지워버리고 제목도 바꿔서, 네이트 개인정보유출 사태를 맞이하여 다시 올린다.>