농담 삼아 말하기를 한국인의 주민등록번호는 공공재라고들 얘기하지요. 그 정도로 수도 없이 털렸고 그에 대한 학습인지는 알 수 없으나 법으로 한정된 경우를 제외하면 수년 전 부터 웹사이트에서 주민등록번호를 취득하는 것이 금지되었습니다. 하지만 슬프게도 주민등록번호 수집을 중단했다해서 본인을 관리하는 번호가 없다고 생각하면 순진한 생각입니다. 실명 확인을 구실로 휴대폰이나 아이핀 등 민간 기관에 의존해서 암호화한 본인 식별자(CI)와 중복 구분 정보(DI)를 취득합니다. 유출 문제는 얼핏 보면 해소 되었으니 모든게 행복해 보입니다만 문제는 왜 그렇게 우리나라 인터넷 사이트들이 CI와 DI에 목을 매는지 알 수 없다는 점입니다. 우선 주민번호는 폐지하였고 해시된 값으로 보관한다고 하지만 모든 유저를 영구불멸(CI나 DI를 변경할 수 있다는 얘기를 들어본적은 없습니다)의 번호로 관리하는것이 상례인 국가가 한국 외에 또 어디 있나 싶습니다. 주민등록번호를 폐지할 것이면 그걸 대체할 것이 뻔한 수단도 금지 했어야 한다는 것이 제 생각입니다. 개인정보 보호 측면에서도 그렇고 사용성 측면에서도 그러합니다.
고유번호 개념의 위험성
우선 개인정보 보호 측면에서 머리에서 총을 맞지 않은 이상 실명과 연계된 고유번호라는 개념 자체가 아무리 난수든 암호화된 값이든 위험하다는 생각을 지울 수가 없습니다. 크로스 사이트 쿠키나 추적을 할 수 있는 여러가지 기술을 결합하면 그야말로 악몽의 시작일 것입니다. 본인의 ‘실체’와 연계가 되지 않는데도 지금 현재 해외에서 상용화된 트래킹 수단은 이미 충분히 위협적인 수준이라 Safari나 Firefox, 그리고 심지어 (비교적 소극적이지만) Chrome 마저 마치 취약점을 틀어 막듯이 막아대고 있는 실정입니다. 아무리 우리나라가 통제 국가 티를 벗어내지 못했다지만 현재의 제도는 기업이나 정부의 선의에 기댈 수 밖에 없어 매우 위험합니다. 게다가 이건 진짜 주민등록번호와는 달리 리셋도 불가능하고 구글이나 페이스북이 수집하는 데이터처럼 삭제를 요청할 수도 없습니다.
이동통신사 의존으로 인한 사용성 문제
또, 사용성 측면에서도 문제가 있습니다. 주민등록번호를 수집 못하니 간접적으로 인증하기 위한 수단으로 제일 보편적으로 사용되는 것이 휴대폰 인증입니다만 영리기업이 사용자의 신분을 보관하고 인증하고 보장하는 것에 아무런 석연찮음 없으십니까? 저는 한동안 동생 명의의 휴대폰을 사용했습니다. 이유는 SKT가 미성년자일 당시 저와 부모님 무단으로 개통시점에 이미 유효기간 만료된 아버지 여권과 3개월이 훨씬 지난 주민등록등본 사본을 가지고 개통을 해줬고 미납 요금을 저에게 독촉했던 것입니다. 그 문제는 (난항끝에) 결국 해결되었으나 문제가 해결될때까지 통신 개통이 전혀 불가능해서 저는 동생 명의를 사용했습니다. 그게 2000년대 중후반의 일이라 망정이지 지금 그랬다면 저는 아마 온라인에서 금치산자 신세였을 것입니다. 한편으로 제가 사정이 있어서 휴대폰 요금을 비롯해서 공과금을 제때 내지 못하던 시절이 있었습니다. 연체로 정지가 되기가 무섭게 “누구십니까? 저는 당신 몰라요”가 됩니다. 차라리 공인인증서나 아이핀은 이용료가 없이 누구나 사용할 수 있지 휴대폰은 그렇지가 않습니다. 게다가 휴대폰 하나로 모든 신원 확인이며 증명이며 다해버리다보니 대포폰 관련 산업이 생겨나고 휴대폰 문자를 탈취하려는 사회공학적 또는 기술적 해킹 수법도 진화하고 있습니다. 걱정스러울 지경입니다. 또 이 글을 보시는 분 중에서 해외에 계신분, 의외로 한국의 업무를 보기 위해서 한국 휴대폰을 살려두는 한심하기 짝이 없는 상황에 처하신 분 많이 계십니다. 저 또한 동생이 해외에 장기체류 하는 동안에 전화를 살려두도록 했으니까요. 휴대폰 인증 한건 처리 할때마다 수수료가 중간 업자와 이통사에 들어갑니다.
휴대폰 그 비용은 보통 사이트가 부담하지만 과연 그 비용이 소비자에게 전가되지 않으리라는 보장은 있나요? 게다가 휴대폰 본인인증은 가격조차 아이핀이나 공인인증에 비해 비쌉니다.
그래요, 이유는 이해 합니다. 하지만 그게 핑계가 되지 않습니다.
물론 CI/DI를 유지하려는 이유가 있다는 것은 알고 있습니다. 내 입장에서 보면 이유없는 무덤 없구나 싶지만 말이죠. 우리나라 업체들이 CI/DI를 유지하는 이유가 여러가지 있겠지만 왜 우리나라 기업만 그걸 유지하겠습니까? 미국 등의 여타 국가 기업들은 바보들이라서 그런가요? 저는 이것을 정보에 대한 당연한 습성 탓이라고 생각합니다. 누구나 (특히 고객 정보같이 돈이 되는 것이라면) 정보를 하나라도 더 모으려고 하고 싶어하겠죠. 그렇기 때문에 이것을 규제해야하는 것이기도 합니다. 고객에 대해서는 필요 최소한의 정보만을 수집하도록 하는 것이야 말로 사실 가장 궁극적인 개인정보 보호 대책이기 때문입니다.
추기: 우리나라에서는 법적으로 19세 이상의 컨텐츠를 제공하기 위해서는 반드시 연령확인을 해야한다는 사실을 떠올렸었습니다. 근데 어차피 그 법때문에 1년에 한번씩 다시 한번 연령확인을 해야하는데 왜 그 정보를 계속 보유해야 하는걸까요?