누가 내 주민 등록 번호를 훔쳤나?

국내 최대 게임 업체인 엔씨소프트의 리니지 명의 도용 사태가 10만 명을 넘어 서면서 사회적인 이슈가 되는 듯 하더니 그 이후 감감 무소식이다. 때마침 대형 ISP 업체에서 흘러나온 것 같은 700만 명 가량의 개인 정보 매매 사건도 별로 충격으로 받아 들여지지 않는 모양이다. 이제는 구글이나 중국 검색엔진에서도 대한민국민의 주민 등록 번호가 검색되고 누구나 마음만 먹으면 다른 사람의 온라인 신원을 가지는 것은 식은 죽 먹기가 되었다.

온라인에서만 벌어지는 이상한 현상
심지어 노출된 전직 대통령 주민 번호로 게임 사이트에 가입 하는 일도 생겨 났다. 정부에서는 주민 등록 번호 수집을 제한 하기 위해 몇 가지 종류의 대체 수단을 내 놓았지만 비용 투자를 꺼리는 인터넷 업계의 반응은 냉담할 뿐이다. 당신의 신분은 대한민국에서 누구나 쉽게 훔칠 수 있는 공공연한 물건이 돼 버린 것이다. 어떻게 이런 일이 가능하게 됐을까? 그것은 본인 확인을 통한 익명성 방지 및 고객 마케팅이라는 말도 안 되는 논리를 들어 주민 등록 번호를 수집해 온 대한민국 웹사이트들에게 책임이 있다.

우리가 길거리에서 아이스크림을 사먹거나 편의점에 들러 물건을 살 때 마다 회원 가입을 하고 주민 등록 번호 제출을 요구 받는 다면 어떨까? 황당할 것이다. 이유는 오프 라인에서 내 스스로 신원(Identity)을 증명할 수 있고, 다양한 신분 증명(Identifier) 방법이 존재하기 때문이다. 비디오 테이프를 빌리고 싶으면 전화 번호와 이름만으로도 가능하다. 마일리지를 적립 받으려면 적립 카드를 내면 되고, 결제를 하려면 신용카드를 낸다. 백화점에서 장본 것을 들고 가지 않고 택배로 요청하려면 점원에게 주소만 전달하면 된다. 즉, 우리는 오프라인에서는 꼭 필요한 부분에 해당되는 개인 정보만 제공 하면서 살고 있다.

온라인에서는 어떤가? 모든 웹사이트들이 실명과 주민번호, 아이디와 패스워드, 주소와 전화번호, 핸드폰 번호까지 거의 모든 종류의 개인 정보를 포함하는 정형화된 가입 양식(Registration Form)을 요구한다. 여기에 바로 오류가 있었다. 실명 고객 한 명이 돈이었던 닷컴 버블 시절 만들어진 이 병폐로 인해 모든 국민들이 피해를 보고 있다. 국민뿐 아니라 웹 사이트도 마찬가지다. 수집된 개인 정보를 매매할 수도 있는 감당하지 못할 유혹을 떠 안았다. 고양이에게 생선이 맡겨진 거다. 이런 일은 유독 우리 나라에서만 일어 나고 있다.

과도한 개인 정보 수집에 따른 사회적 비용
그러면 국내 모 외국계 포털 회사가 다시 주민 번호를 받기 시작한 이유로 든 다량의 아이디 생성으로 인한 남용(abuse) 및 익명성을 통한 명예 훼손, 아이디 분실에 대한 고객 응대 비용, 마케팅 효율 저하 및 자원 중복 배정으로 인한 낭비 요소는 어떻게 할 것인가? 그런 문제를 해결하는 비용은 국내 주민 등록 번호 70%이상이 공공연히 거래 될 수 있는 현재 상황을 해결해야 하는 노력과 비용에 비하면 아주 작다.

다량 아이디가 생성되는 이유는 그것이 경제적 이익을 제공해 주기 때문이다. 스팸을 보내기 위해 한메일 아이디가 다량 생성되고, 블로그에 광고 댓글을 달기 위해 네이버 아이디가 생성된다. 리니지에서도 아이템 거래라는 경제적 이득이 있기 때문에 밥벌이 수단으로 아이디를 만들게 된다. 이런 경제적 이익이 담보되는 큰 규모의 웹 사이트는 이미 남용에 대한 적절한 제거 비용을 부담하고 있으며 필터링 및 모니터링 같은 다양한 대응 방법을 마련한다. 또한, 개인 정보를 보호하는 인프라 비용 투자도 가능하다.

그러나, 주민 번호 도용에 따른 사회적 비용은 그들이 감당하기에는 너무 크다. 이제 주민 번호는 이제 신분 확인 수단으로 의미가 없어졌다. 비디오 가게처럼 전화만으로도 신분 확인이 가능한데, 웹 사이트는 주민등록증을 팩스로 받아야 하는 고객 센터를 운영하는 웃지 못할 일이 벌어지고 있다.

이제 적절하고 다양한 아이덴티티를 수집하라
문제 해결을 위한 빠른 방법은 정부가 과감히 주민 번호 수집을 제한할 필요가 있다. 웹 사이트들도 자신들이 수집하는 정보에 대한 책임을 지고, 적절하고 다양한 신분 확인 수단을 선택적으로 이용해야 한다. 제2의 주민 번호인 공인 인증서, 금융 정보, 신용 카드 같은 몇 개의 대체 수단만을 제시하는 것은 한계가 있다. 아무리 보안이 뛰어나도 한정되고 집중된 아이덴티티 수단은 또 다른 공격에 취약해질 가능성이 높아 진다.

가장 필요한 것은 사용자와 웹 사이트간에 신뢰 관계에 따라 정보를 제공할 수 있는 플랫폼이다. 제공 가능한 신분 확인 방법은 많다. 휴대폰도 있고, 적립 카드도 있다. 가장 손쉽게 전화 번호와 이메일 주소도 있다. 우리가 오프라인에서 하는 것처럼 다양한 그 웹 사이트에 맞는 적절한 아이덴티티를 제공하고 제공 받을 수 있는 여건이 마련 되어야 한다. 이메일 서비스를 가입하는데 굳이 주민 번호를 받거나 공인 인증서로 로그인 하게 할 필요는 없다.

한바탕 홍역을 치른 엔씨소프트는 린OTP(Onetime Password)서비스 라는 것을 시작했다. 사용자는 회원 가입 후 휴대폰에 작은 프로그램을 다운로드 한다. 로그인 할 때마다 휴대폰 프로그램에서 만들어진 동적인 난수 암호를 실제 암호로 사용한다. 개인이 스스로 제어 가능한 이런 신분 확인 방법을 도입하면 회원 가입이라는 것이 필요 없을 지도 모른다.

Identity 2.0, 사용자에게 통제권을 넘겨라
최근 들어 사용자의 참여와 오픈 플랫폼을 중요시 하는 웹2.0의 개념을 기초로 새로운 아이덴티티 서비스 개념이 생겼다. 그것은 바로 사용자 자신이 개인 정보와 웹 사이트에 주는 정보를 제어하는 플랫폼을 만들자는 생각이다. (http://www.identity20.com) 모든 웹사이트 마다 일일이 가입하고 개인 정보를 기재하는 사용자의 불편을 덜어주고자 각자가 만들어 둔 공개된 주소에 저장된 개인 정보를 웹 서비스가 빌려 쓸 수 있도록 하는 오픈 표준 플랫폼이다. 어떤 사이트에게 어느 정도 수준의 개인 정보를 제공할 것인지 사용자가 직접 결정할 수 있고 변경된 정보를 각 웹사이트에 전달해서 갱신 여부를 알려 줄 수도 있다.

몇몇 웹 사이트들 간의 개인 정보를 공유해서 한번에 로그인 가능한 싱글 사인 온(Single Sign-On)이라는 기존 방식 보다는 사용자에게 통제권과 자유도를 높여 준다. 웹 사이트는 개인 정보 수집에 대한 부담을 덜게 되고, 신뢰를 쌓은 고객에게는 더 양질의 개인 정보와 주목(attention)을 얻을 수 있게 된다. 자기에게 적절한 수준의 책임만을 요구 받게 되는 것이다.

아이덴티티2.0의 대표적인 기술이 윈도우 비스타에 탑재될 인포 카드(Infocard)이다. MS에서는 개인 PC에 전자 지갑과 같은 형태의 개인 정보 지갑 기능을 제공한다. 어떤 웹 사이트가 회원 가입을 요구하면, 이 중 적당한 개인 정보만을 추출하여 드래그 앤 드롭으로 정보 제공이 가능하다. (호환 가능한 표준 XML을 추출하여 전달하는 방식이다.) 이 정보는 제3의 아이덴티티 서비스 업체와도 표준 호환이 가능하다. 그 밖에 SXIP, OpenIP, Yadis 등 다양한 표준 스펙들이 경쟁 중이다.

아직 이 기술들이 범용화 되어 있지는 않지만 온라인 아이덴티티를 다루는 사회적 비용과 문제를 해결하는 데 적절한 해답이 될 수 있다. 가장 이상적인 보안은 개인 정보가 집중화 되어 있지 않고 파편화 될 때 형성된다. 파편화 된 개인 정보를 공략하거나 수집하는 비용은 막대하기 때문이다. 이제 발상의 전환이 필요하다. 무엇 보다 기술 흡수가 빠른 우리 나라가 앞장 서서 시도해 봐야 한다. 움켜쥐기 보다 놓아 주면 믿음을 쌓을 수 있다. 그리고 고객에게 사랑 받기 위한 서비스로 경쟁하는 것이다. 이미 생명을 다한 웹사이트에 제공한 나의 개인 정보가 팔리지 않을까 노심 초사하지 말아야 한다.@

원문 보기

- ;

Disclaimer- 본 글은 개인적인 의견일 뿐 제가 재직했거나 하고 있는 기업의 공식 입장을 대변하거나 그 의견을 반영하는 것이 아닙니다. 사실 확인 및 개인 투자의 판단에 대해서는 독자 개인의 책임에 있으며, 상업적 활용 및 뉴스 매체의 인용 역시 금지함을 양해해 주시기 바랍니다. 본 채널은 광고를 비롯 어떠한 수익도 창출하지 않습니다. (The opinions expressed here are my own and do not necessarily represent those of current or past employers. Please note that you are solely responsible for your judgment on checking facts for your investments and prohibit your citations as commercial content or news sources. This channel does not monetize via any advertising.)

여러분의 생각 (2개)

  1. ninthmay 댓글:

    정말 어떻게 보면 간단하게 법제화해서 추진할 수 있는 건데, 참 뜻대로 쉽게 되는게 없는거 같네여… 잘지내시죠?? ^^ 좋은 글 잘 읽고 갑니다~

  2. 한글이 댓글:

    문제는 개인정보를 너무 쉽게 생각하는게 문제인것 같습니다.

    예전에 참 황당한 경험을 했는데요.
    캐나다에 지인이 있어서 가끔 전화가 왔습니다. 핸드폰으로요. 제가 전화를 한 적은 단 한번도 없었습니다. 단지 받기만 했을 뿐이지요.
    그랬더니 얼마 안있어 국제전화 서비스 업체에서 전화가 오더군요.
    국제전화를 사용한다는것을 알고서 전화가 오는 것이었습니다.
    뭐 신청은 안하고 끊었지만 가만 생각 하니 어떻게 내가 캐나다에서 전화를 받는것을 알고 전화를 했는지 무지 궁금하더군요.

    우리나라 자체가 개인정보를 너무 쉽게 생각하는 것 같습니다.