사실 근래에 해킹과 관련된 불미스러운 일들이 많이 발생하고 있다. 여러 포탈에서 IP보안과 같은 다양한 방법으로 해킹으로부터 예방할 수 있는 보안을 제시하고 있으나, 아직 미숙한 단계이다. 개인정보의 중요성은 점차 퇴색되어가고 있으며, 해킹에 대한 사회적 파장은 하반기가 되어 더욱 시끄러워졌다.
우리나라를 포함한 많은 곳에서 IT를 보면 보안은 IT의 발전 속도를 따라오지 못함을 알 수 있다. 해킹에 대비하여 보안의 중요성과 그에 대한 근본적인 개혁안을 하루 빨리 마련해야하는 것도 당연하지만, 해킹으로 더 이상 무의미한 것들을 버려야 할 필요가 있다. 대표적인 예로 개인정보가 아닐까 싶다.
국내에서 해킹으로 개인정보가 유출되어 그와 관련 된 핵심 사건들을 살펴보자면 집단소송은 빠지려야 빠질 수 없다. 언제부터 개인정보가 하나의 금전적인 수단으로 변하였는지는 모르나, 보상이라는 명목으로 금전적인 위자료부터 먼저 청구하는 모습은 제한적 본인 확인제의 변화에 큰 영향을 끼칠 수 없다고 본다.
물론 집단소송을 함으로서 시민운동을 펼친다는 명분에는 어떠한 모순도 없다. 대기업을 상대로 개개인이 뭉쳐 운동을 펼치고 있기 때문이다. 그러나 과거에서 집단소송과 그에 대한 결과를 보자면? 법원에서는 해킹의 신기술로 인해 법적 보상을 안 해도 된다는 무죄판결을 내렸으며, 집단소송으로 단체 시민운동을 펼친 그들의 뜻대로 법이 개정되지는 않았다. 법은 언제나 대기업의 편을 들어주었다. 멀리 있는 예로 보자면 옥션을, 가까운 예로 보자면 애플이 그러할 것이다.
그런데 법이 국민의 편을 들어준다고 하여 개인정보 유출에 대한 사태의 심각성이 변할까? 주민등록번호를 저장하고 있는 포탈에서는 다소 불안한 마음을 가질 수 있으나 유출 된 개인정보가 다시 회수되는 것은 아니다. 즉, 다시 말해 국내에서는 개인정보 유출 건과 관련하여 지나치게 금전적인 보상을 받으려는 경향이 있다. 개인정보 유출에 대한 보상보다, 먼저 유출에 대한 피해를 막는 게 옳은 순번이 아닐까? 이는 마치 앞뒤가 바뀐 모습과도 같다.
그런 점을 미루어 보아 현행법상 온라인에서 적용되는 제한적 본인 확인제에 대한 한계점을 알아야 하고, 대안책을 제시해야 할 필요가 있다. 주민등록번호를 수정할 수도 없는 한국에서 금전적인 보상으로 모든 게 해결되지는 않는다. 이번 네이트 집단소송에 승소여부 보다는 제한적 본인 확인제의 변화가 더욱 중요함을 깨달아야 한다. 우선 제한적 본인 확인제의 한계점을 보기로 하자.
그렇다면 제한적 본인 확인제는 어느 방향으로 변화해야 할까? 대표적으로 두 가지 방안을 생각해 볼 수 있는데, 이들 모두의 장단점이 존재한다.
ⅰ. 모든 포탈의 아이핀 인증 제도를 의무화 하는 방안이 있다. 기존 주민등록번호 대신 주민등록번호를 가상화하여 주민등록번호의 유출을 최소화하자는 목적이 있다. 즉, 아이핀으로 인증을 하였을 경우 포탈에서 해킹을 당하여도 최소한 주민등록번호의 유출은 막을 수 있다는 장점이 있다.
그러나 아이핀을 발급하는 업체가 해킹을 당한다면, 제한적 본인 확인제의 개선은 무용지물이 되고 만다. 다시 말해 아이핀 인증제를 전면 도입한다면 아이핀의 해킹으로 인한 개인정보 유출의 위험을 감수해야 한다. 소니와 SK컴즈와 같은 대기업에서도 해킹을 당하는 시대에, 아이핀을 발급하는 업체 또한 해킹을 당하지 않는다는 보장은 없다.
무엇보다 아이핀 인증을 할 때 키보드 보안을 설치하려면 액티브X의 관문을 지나쳐야 한다. 유독 우리나라에서만 자주 쓰는 액티브X가 글로벌 표준화를 위해 그 사용을 줄여야 하는 판국에, 아이핀 인증제를 사용함으로써 불가피하게 액티브X를 사용하게 된다. 아이핀 인증제는 포탈에서의 1차적인 피해를 막아줄 뿐, 아이핀 서비스를 제공하는 업체에서 해킹에 대한 피해는 막을 수 없으며, 아이핀 인증제를 시행함으로써 국내에서는 액티브X의 사용을 적극 조장하게 되고 만다.
ⅱ. 제한적 본인 확인제의 요구사항을 대폭 감소하는 방안이 있다. 현행법상 의무적으로 인터넷에 입력해야하였던 주민등록번호와 같은 사적인 항목들의 입력을 외국처럼 축소하는 법안을 채택하면 개인정보의 유출을 극소화 할 수 있다. 개인정보의 유출의 위험부담이 없어질 수 있는 방안이 분명하다.
그러나 이 방안 또한 국내에서는 단점이 될 수밖에 없다. 사적으로 운영되는 사이트부터 국가기관과 같은 공적으로 운영되는 사이트까지 모두 주민등록번호를 요구하고 있는 판국에, 하루아침에 제한적 본인 확인제의 변화를 하기에는 어렵다는 지적을 할 수 있다. 외국과는 다르게 국내에서는 주민등록번호의 입력이 지나치게 관행화 된 탓이기도 하다.
개인적으로는 ⅰ 보다는 ⅱ 의 방향으로 흘러갔으면 한다. 무엇보다 아이핀 인증제가 도입됨으로서 안전성이 보장되지 않은 액티브X의 사용은 해킹의 위협으로 벗어난다는 제한적 본인 확인제의 개선방향과는 틀리기 때문이다. 그러나 국내 웹상에서 주민등록번호 없이 인터넷을 사용한다는 생각을 하기에는 너무 이른 모습이다. 셧다운제만 살펴보아도 우리나라의 웹에서 본인을 확인해야 한다는 강한의지가 있기 때문에 ⅱ 개선안이 쉽게 받아들여질지는 미지수이다.
따라서 나는 ⅱ 항목에 휴대폰 인증과 OTP 사용을 추가하고 싶다. 웹에서 본인을 확인할 때 주민등록번호와 아이핀 인증 대신 휴대폰 인증을 통하여 본인 인증을 하는 것이다. 주민등록번호가 수정이 되지 않는 단점이 있다면, 휴대폰 번호가 유출이 되어도 얼마든지 수정할 수 있다는 장점도 가지고 있다. 그리고 웹에서 개인정보를 수정하거나 로그인을 할 때는 반드시 OTP 인증을 거쳐야 한다. OTP 인증을 하지 못하면 개인정보에 어떠한 접근도 허용할 수 없다. 주민등록번호의 인증이 의무화 된 우리나라에서 휴대폰 인증으로 대체를 한다면 개인정보의 유출을 최소화 할 수 있는 방안이 아닌가 싶다.
IT의 발전에 있어 보안 또한 중요함을 다시 깨달아야 하고, 개인정보의 유출은 금전적인 문제가 아니라 유출 그 자체의 문제임을 깨달아야 한다. 주민등록번호를 사용함으로 웹에서 신원을 확인하였던 인증 시스템에 문제가 있었으며 거듭된 유출로 인해 인증 시스템은 하루 빨리 바뀔 필요가 있다. 아울러 개인정보는 물질과는 바뀔 수 없음을 알아야 한다.
댓글