빅데이타시대 개인정보 보안위험 더 심각…인권위도 주민번호 폐지 입장
사이트마다 똑같은 비밀번호를 설정하면 보안에 취약해진다. 비밀번호 한 개가 유출되면 다른 사이트 역시 해킹당할 수 있기 때문이다.
똑같은 일이 전국가적으로 일어나고 있다. 주민등록번호가 주인공이다. 주민등록번호 하나만 있으면 주소, 전화번호, 금융정보 등 광범위한 개인정보를 빼낼 수 있다. 방대한 정보가 유통되고 엮이는 빅데이터 시대에는 주민등록번호제도가 더욱 문제될 수 있다는 우려가 나온다.
19대 국회에 이어 20대 국회에서도 주민등록법 개정안을 발의한 진선미 의원실 관계자는 “주민등록번호는 전세계에서 일본과 한국에만 있는 국가통제수단”이라면서 “주민번호가 유출되면 속된 말로는 ‘다 털리는 것’과 다름없다. 병원진료시 의료보험만으로 되지 않고 주민번호를 재차 묻는다거나 도서관에서 대출증을 만들때도 주민번호를 요구하는 등 주민번호는 광범위하게 수집되고 있다”고 우려했다. 그러면서 “선진국처럼 한국도 용도별 임의번호를 따로 부여해야 개인정보유출 피해를 줄일 수 있다”고 말했다.
◇전문가들, "주민등록번호제도 폐지 않고 빅데이터 시대 맞이하면 안돼"
미래창조과학부는 지난해 비식별조치 가이드라인을 통해 비식별정보는 당사자의 동의를 받지 않고도 자유롭게 활용할 수 있도록 했다. 비식별조치란 개인정보를 가공해 특정인임을 나타내는 식별정보를 제거하는 작업을 말한다. 문제는 비식별정보가 주민등록번호나 휴대폰 번호 등 특정 정보를 통해 쉽게 재식별될 수 있다는 것이다.
박지환 오픈넷 자문변호사는 “한국의 경우 식별성이 가장 높은 주민등록번호가 여전히 이동통신사 등 사적 주체에 의해 행정 목적 외에도 널리 활용되고 있으며, 법령상 상존하는 각종 본인확인 의무로 인하여 비식별화를 거치더라도 결합을 통해 개인이 재식별될 위험성은 매우 크다”고 지적했다. 그는 “특히 주민등록번호를 수집할 수 있는 본인확인기관에 개인정보가 고도로 집중되어 있다는 점도 재식별화 위험성을 가중시키고 있다”고 밝혔다.
종합해보면 빅데이터 사회로 이행하는 과정에서 주민등록번호 유출로 인한 피해는 지금보다 심각해질 우려가 크다. 재식별 우려를 줄이지 못하면 시민들은 빅데이터 산업을 키우려는 정부를 신뢰하기 어렵다. 결국 개인정보보호 취약성이 빅데이터 산업을 가로막을 수 있다는 얘기다.
◇"주민등록번호 폐지만이 답 아냐“
주민등록번호를 폐지하더라도 같은 문제가 발생할 것이란 반론도 나온다. 안창원 전자정보통신연구원(ETRI) 박사는 “주민등록번호만 있으면 수많은 개인정보를 알아낼 수 있다는 건 맞는 말”이라면서도 “주민등록번호를 없애고 다른 번호로 이를 대체한다고 해도 문제가 해결되지는 않는다. 암호키가 풀리면 같은 문제가 다시 발생한다”고 말했다.
안창원 박사는 개인정보를 효과적으로 보호하기 위해선 개인정보보호를 담당할 정부 컨트롤타워를 설정하고 비식별화 방법을 근본적으로 고민해야 한다고 설명했다. 그는 “비식별화는 범주화다. 예컨대 내가 어떤 종류의 상품을 좋아하는지를 찾는 게 아니라 나와 유사한 사람들은 무엇을 좋아하는지 정보를 범주화시키는 것”이라면서 “그렇게 하려면 정부 컨트롤타워가 필요하다”고 조언했다.
실제로 영국에는 행정데이터연구센터가 있어서 분석과 통계목적의 비식별화 데이터 공유의 기반이 되고 있다. 개별 부처는 개인 데이터가 포함된 데이터세트의 식별화 요소를 분리해 식별화 요소를 “제3자 신탁기관”에 넘긴다. 제3자 신탁기관은 비식별화된 데이터세트 간 연계 요청에 대응하여 참조키 매핑 테이블을 행정데이터연구센터에 전달한다. 그러면 행정데이터연구센터는 참조키 매핑 테이블을 활용하여 연계한 데이터세트를 승인된 연구 목적에 한해 활용할 수 있도록 제공하는 방식으로 일한다.
◇ 국가인권위원회, 사실상 주민등록번호 폐지 입장 밝혀
카드사 정보유출 등 개인정보유출 사고가 지속적으로 발생하면서 국가인권위원회와 헌법재판소는 관련법을 강도높게 개정하라는 입장을 냈다. 특히 국가인권위원회는 임의번호를 포함한 주민등록번호를 도입하라고 해 사실상 현행 주민등록번호제도 폐지 입장을 밝혔다.
헌법재판소는 2015년 12월 23일 주민등록법 제7조 제3항 등 위헌확인소송에 대한 판결에서, 주민등록번호를 변경할 수 있는 규정을 두지 아니한 주민등록법 제7조는 헌법에 합치되지 않으며, 2017년 12월 31일을 개정 입법 시한으로 제시했다.
이에 19대 국회에선 주민등록번호 유출시 변경할 수 있도록 주민등록법을 개정했다. 하지만 국가인권위원회는 20대 국회를 향해 임의번호 도입 등 강도 높은 법개정을 촉구하면서 “그동안 인권위가 권고한 목적별 자기식별체계 도입, 임의번호로 구성된 새로운 주민등록번호 체계 등은 개정안에 반영되어 있지 않고, 단지 제한적으로 주민등록번호의 변경을 허용하는데 그쳐 아쉬움이 있다”고 밝혔다다. 인권위는 “지속적으로 문제제기 하는 바와 같이 주민등록번호는 그 자체로도 생년월일, 성별 등 개인정보를 포함하고 있어, 개인정보를 통합시키는 강력한 연결자(Key Data)로서 기능하고 있어 주민등록번호 유출 및 오남용 시 피해는 지속적이고 심각할 수밖에 없다”고 지적했다.
박지환 오픈넷 변호사는 “빅데이터는 책임있게 사용되는 경우 건강과 과학연구, 환경 및 다른 특정 분야에 관해 사회와 개인에게 지대한 편익과 효율성을 가져다 줄 수 있다"면서 "하지만 방대한 양의 개인정보처리로 인해 프라이버시권 등 개인의 권리와 자유에 미칠 실질적·잠재적 영향에 대한 우려가 깊다"고 말했다. 그는 "빅데이터의 문제와 위험성을 고려하면 보다 더 효과적인 개인정보보호가 필요하다”고 주문했다.
박 변호사는 “기술은 우리의 가치와 권리를 좌우할 수 없으며 혁신과 기본권 보장의 양립을 불가능하게 할 수도 없다"며 "방대한 양의 정보수집이나 즉각적인 정보전송, 예상치 못한 목적으로 개인정보를 조합하고 재사용하는 새로운 비즈니스 모델은 개인정보보호 원칙에 새로운 압박을 가하고 있다"고 밝혔다. 그는 "이 때문에 개인정보보호 원칙이 어떻게 적용되고 있는 지 철저히 고려해보아야 한다”고 강조했다.