2월 18일 정부는 인터넷 상에서 주민등록번호를 수집하고 이용하는 것을 금지하는 ‘정보보호 등에 관한 법률 일부 개정안(이하 개정 정보통신망법)’을 시행했다. 개정 정보통신망법은 네티즌들이 인터넷 상에서 본인 확인을 할 때 주민등록번호 대신 공인인증서나 휴대폰인증번호, 아이핀 등을 이용할 수 있다. 여태껏 어쩔 수 없이 인터넷 사이트에 자신의 주민등록번호를 맘껏 제공해왔던 우리들은 드디어 인터넷 상에서 개인정보를 보호할 수 있는 방법이 생겼다.

인터넷 상 주민등록번호 수집 금지법 시행. 과연 법안의 효과는?

개정 통신망법이 완전히 정착된다면(현재 시스템 상 문제로 권고 중) 우리의 개인 정보는 더 안전하게 지켜질 수 있을까? 대답은 당연히 ‘노’이다. 개정된 법안은 인터넷 사이트에서 단지 ‘주민등록번호’ 수집만을 금지했을 뿐이기 때문이다. 본인 확인 시에는 주민등록번호 대신에 공인인증서나 휴대폰 인증번호, 아이핀과 같은 증명방법을 사용하고 있기 때문에 또 다른 개인정보 유출의 위험이 있다. 

현재 사용하는 공인인증서, 아이핀, 휴대폰 본인인증은 모두 개인정보가 제 3의 기관에 저장되어 있어야 가능한 서비스이다. 현재 정부가 발표한 새 본인 인증 수단의 정보 제공원들을 살펴보자. 공인인증서는 은행 등 금융기관에서, 아이핀은 한국인터넷 진흥원에서, 휴대폰 본인인증은 통신사에서 제공된다. 엄마 아빠도 못 외우는 나의 주민등록번호를 포함한 개인정보를 내가 직접 통제하는 것이 아닌 몇몇 거대 기관이 독점해서 보관하는 것이다. 이는 몇몇 기관을 소설가 조지 오웰의 <1984>에서 정보를 독점해서 사회를 통제하는 ‘빅브라더’로 만드는 셈이며, 이전에 개별적 웹사이트에서 주민등록번호를 수집하는 것 보다 더 부조리한 방식인 것이다.

위 사진은 변경된 본인절차 시스템을 보여주기 위한 것이며, 사진에 언급된 업체와는 일체 관련이 없습니다.


허술한 보안 시스템을 기반으로 한 본인인증 방식, 해킹의 위험만 더 높아져

그 뿐만 아니다. 기승을 부리는 좀비 PC, 트로이목마 바이러스 등 각종 바이러스의 위험이 높은 지금 공인인증서, 휴대폰인증번호, 아이핀 이용과 같은 본인 확인 방법은 ‘눈가리고 아웅’식의 보안 방법이 될 확률이 높다. 여기서 잠깐, 공인인증서, 휴대폰 인증번호, 아이핀 이용이 왜 위험한 인증방식이라는 말인가. 간단히 주민등록번호를 입력하는 것보다 더 많은 절차, 더 많은 프로그램을 필요로 하는 데 말이다. 실제로 공인인증서를 사이트에서 사용하려고 하면 설치해야하는 액티브 X 프로그램이 적어도 한 개 이상이고, 화면에는 왠지 모르게 신뢰를 주는 ‘보안프로그램을 실행 중’이라는 대화창이 화면에 뜬다. 하지만 이런 보안프로그램의 작동에도 불구하고, 공인인증서는 매우 헛점이 많은 방식이다. 

좀비PC : 바이러스에 감염 됐지만 스스로 인지하지 못한 채 스팸을 보내는 등 원격조종당하는 PC 

트로이 목마 바이러스 : 사용자의 정보를 빼내갈 악의적인 목적으로 PC에 몰래 설치해놓은 해킹 툴

공인인증서의 가장 큰 문제는 우리가 컴퓨터와 휴대용 저장기기에 저장해 놓은 공인인증서의 파일 형식이다. 공인인증서 파일은 PC에 보안파일이 아닌 일반 파일로 보관되어있다. 쉽게 말해 우리가 임의로 만드는 “뜸부기”, “가마우지”와 같은 파일처럼 보관되어 있다는 것이다. 따라서 공인인증서의 원리를 조금이라도 알고 있는 사람이라면, 다른 사람의 컴퓨터에서 해당 파일을 그저 Ctrl + C, Ctrl + V로 자신의 컴퓨터로 훔쳐갈 수 있으며, 해커의 경우도 바이러스 등을 이용하여 타인 공인인증서 정보를 빼올 수 있다. 겉으로는 철옹성같아 보이지만 정작 보안성은 허술한 공인인증서를 인터넷 사이트에서 자주 사용하게 되면 어떤 문제가 일어나게 될 것인가? 당연히 자주 사용하는 공인인증서의 해킹가치가 해커들 사이에서 올라가 해커들은 공인인증서 해킹에 열을 올리게 될 것이다. 그렇게 되면 결과는? 더 많은 피싱사이트의 출연. 더 많은 좀비 PC 감염. 더 많은 금융기관 해킹이 일어 날 것은 불 보듯 뻔한 일이다.   

휴대폰 본인 인증과 아이핀을 이용한 본인인증은 방식도 마찬가지이다. 공인인증서처럼 컴퓨터에 직접 저장되지는 않지만, 두 방법의 가장 큰 결함은 우리의 개인정보를 우리가 통제하지 못한다는 것이다. 휴대폰 본인 인증은 KT, SK, LG와 같은 통신사 서버에 저장되어 있고, 아이핀은 한국인터넷 진흥원이 그 관리를 맡고 있다. 국민의 개인 정보를 위와 같은 특정 기관이 모두 관리하고 있다면 그 결과는 뻔하다. 해커들이 통신사 서버를 해킹하거나 한국인터넷진흥원을 해킹할 위험이 더욱 더 높아질 것이며, 불의의 사태 – 직원들이 무심코 버린 이면지에 인쇄된 개인정보가 누출된다거나, 직원들이 외부 조직의 로비로 개인정보를 유출시키거나 – 가 일어 날 수도 있는 일이다. 

해커들의 해킹수법은 점점 정교해지고 있고, 전세계 수많은 사이트들이 그들의 표적이 되고 있다. 페이스북, 구글, 심지어는 FBI까지…. IT보안 전문가들이 새로 보안 프로그램을 개발해도 해커들이 그 프로그램을 ‘뚫는데’ 성공하는 시간은 점점 짧아지고 있다. 따라서 정부와 인터넷 사이트들이 어떤 정책을 펴도 우리의 개인정보를 100% 보호할 수 있는 방법은 없다. 개인정보를 막는답시고 개인확인절차를 아이핀, 공인인증서 등으로 복잡하게 만들어도 안심할 수 없는 것이다. 

인터넷 상의 부조리한 문제, 국민이 의문을 던질 차례

그렇다면 이제 국민이 나설 차례인 것이다. 왜 우리나라가 공인인증서, 아이핀에 열을 올리는지 적극적으로 IT 전문가들과 정부에게 의문을 던져야 된다. 왜 해킹 위험이 많은 공인인증서를 본인확인 수단으로 쓰는지, 애초부터 왜 금융거래를 위해 사용하는 공인인증서가 본인인증에 사용되는지, 나의 개인정보를 왜 몇몇 기관이 독점해서 타 기관에게 제공하는지. “왜?”라고 딴지를 걸어야 되는 것이다. 어쩌면 우리는 빠르고 편리한 인터넷 환경을 가진 “IT 강국”이라는 캐치프레이즈에 기만당하고 있는지도 모른다. 인터넷 개인정보문제 뿐만 아니라 액티브 X에 대한 논의도 시작되고 있는 지금, 우리가 앞장서서 한국 인터넷 환경의 부조리에 대해 적극적인 의의를 제기해야 한다.