음쩜셋을 기다리며...

전자주민등록증. 이거 참 피곤한데...

 

정말 간만에 토론회에 참석했는데, 조금은 맥빠진 느낌. 애당초 이렇게 될 거라는 것을 예상못한 것은 아니다. 어차피 10년 묵은 이야기를 재론하는데 뭔 신선한 맛이 있겠는가?

 

그럼에도 맥빠지는 느낌을 가질 수밖에 없는 것은 상대 패널이 주민법 관련 정책을 담당하는 사람이 아니라 "전산총괄팀장"이었기 때문. 이야기는 겉돌 수밖에 없는 것인데, 이쪽에서 아무리 제도의 문제점을 지적해봐야 저쪽은 보안문제만 이야기한다는 거. 충돌의 접점 자체가 발생하지 않으니 논쟁이 붙을 꺼리가 없다.

 

전자주민증은 물론이려니와 주민등록법이라는 제도 자체가 가지고 있는 개인정보유출위험성이라는 것은 단순히 장치기술의 보안성 문제로 국한되는 것이 아니다. 워낙 옥션사태나 리니지사태, GS칼텍스 사태 같은 대량 개인정보 유출사건이라는 것은 주민등록증에 칩이 박혀있지 않았기 때문에 발생한 것이 아닌 거.

 

토론회를 좀 상세하게 다룬 언론 보도가 달랑 두 편이라는 것이 좀 아쉽긴 한데 일단 링크.

 

DJ가 폐기한 전자주민증, MB 2400억 들여 부활? - 프레시안

"전자주민증, 주민번호 확인만? 그럴 거면 왜 7천억 들이나?" - 오마이뉴스

 

기사와 관련하여 기사작성과정에서 빠짐으로써 약간의 논란이 될 수 있는 소지를 없애기 위해 부연이 필요하다.

 

오마이뉴스 기사 중에 "주민등록번호를 부여하는 나라는 우리나라밖에 없다"고 되어 있는데 이건 앞 뒤가 생략된 거다. 국민에게 식별번호를 부여하는 나라는 꽤 된다. 예를 들면 미국의 사회보장번호나 캐나다의 사회보험번호, 일본의 국민 배번호제, 스웨덴 등 북구유럽은 우리 주민번호체계와 거의 유사한 번호를 부여하고 있다.

 

다만, 미국과 캐나다의 경우 의무부여도 아니고 언제든 필요에 따라 번호를 변경할 수 있다. 일본의 경우에도 유사한데, 본인의 의사에 따라 사용여부가 결정된다. 스웨덴 등의 번호는 체계도 우리와 비슷하고 발급도 우리와 유사하지만 민간영역에서는 원칙적으로 사용 불가능이다. 보호체계가 무시무시할 정도다.

 

따라서 전 국민에게 출생과 동시에 종신불변의 번호를 부여하면서 영구히 바꾸지도 못하게 막고 공공영역과 민간영역을 막론하고 사회 전 영역에서 이 번호를 사용하도록 보장하고 있는 나라는 한국밖에 없다는 것이 정확한 표현이다.

 

각설하고, 진짜 문제는 정보유출이 일어날 가능성을 제거하는 방향으로 정책이 만들어지는 것이 아니라 정보유출을 보다 광범위하고 다양한 방식으로 발생할 수 있는 가능성을 열어주는 방향으로 정책이 만들어진다는 것이다. 전자주민증을 도입했을 때 발생할 수 있는 가장 큰 문제점은 민간영역에서 리더기를 사용하게 된다는 것.

 

정부는 극구 부인하고 있지만, 신원확인용도의 본래 목적을 위해서라면 주민증이 가장 많이 사용되는 영역인 민간영역에서 그 활용도를 높여야할 터인데, 그렇다면 은행 같은 곳은 물론이려니와 술 담배를 판매하는 편의점에서조차 앞으로는 전자주민증을 긁어 신원확인을 한 후에 물건 판매가 이루어져야 한다.

 

온라인에서는 더 심각한 문제가 발생할 것인데, 앞으로 판매될 컴퓨터에는 모두 카드 인식기 장착 의무화하려나? 그렇지 않고서야 전자주민증을 이용하여 온라인에서의 신원도용을 막겠다는 취지는 무색해지는 거.

 

이렇게 되면 온라인 공간에서 내 신분증 사용내역은 언제나 둥둥 떠다니게 되는 건데, 이 사용 내역이라는 것은 내 생활의 역사성이 그대로 드러나는 것 아닌가? 언제 어디서 뭘 어떻게 하고 다녔는지 일체 확인 가능한 여건이 조성될 수 있다.

 

당연히 정부는 그건 공상소설이라고 말한다. 전자주민증으로 확인하는 것은 이 사람이 본인인지 인증하는 데까지만 그치는 것이고 인증이 끝나면 다른 정보는 입력되지 않는단다. 마치 온라인을 통해 특정 사이트에 가입하거나 금융거래를 하기 위해 실명과 주민등록번호로 본인인증하는 것과 마찬가지라는 거.

 

재밌는 건 이게 현실에서는 그렇지 않다는 거다. 아닌 말로 대부업체에 신용확인 한 번 하면 그게 기록으로 남아 온갖 금융업체에 정보공유가 되고 있는 현실은 본인인증제도라는 거 자체가 사실은 개인정보공유체제라는 것을 암시하고 있다. 오죽하면 대부업체들이 신용확인 한 거 비밀로 해주는 걸 서비스랍시고 광고질을 하고 있나?

 

문제는 주변기기와 소프트웨어의 보안기술이 아니다. 정보유출은 첫째, 쓸데 없이 많은 정보를 요구하는 것에서부터 그 위험성을 가진다. 애초에 문제가 될 소지가 있는 정보를 만들지 않고 요구하지 않으면 정보유출의 위험성은 원천적으로 줄어든다. 예컨대 주민등록번호나 지문 같은 거, 그게 왜 일반적인 신분증에 필요한 것인가?

 

그럼에도 불구하고 행안부는 새로 만들 전자주민증 겉면에 "성별"을 집어넣겠다고 하는데, 그게 왜 필요할까? 아닌 말로 신원확인하는 과정에서 성별이 확인되지 않으면 안 되는 일이 뭐가 있을까? 은행 업무처리하는데 남녀 구분 해서 따로 해야 하는 일이 있나? 요샌 대출업무를 화장실에서 하냐? 주민증 확인해서 남성이면 남자 화장실에서, 여성이면 여자화장실에서 통장 만들어주고 대출서류 작성하나?

 

정보유출은 둘째로, 목적범위 이상의 용도로 정보를 사용할 때 유출위험성이 배가된다. 주민등록번호가 대표적인 예인데, 애초 이게 민간영역에서 사용되지 않도록 제대로 관리만이라도 했다면 개인정보유출로 인해 야기되는 사회적 문제점이 상당히 줄었을 거다. 그런데 기업의 이익보장에만 관심을 가진 정부는 지난 수십년 동안 이걸 그냥 방치했을 뿐만 아니라 오히려 조장했다.

 

세번째로 들 수 있는 것은 보안성인데, 이건 기술적 보안, 즉 장치나 네트워크의 보안성 뿐만 아니라 사회적 보안성이라는 것을 염두에 둬야 하는데, 정부는 언제나 기술보안의 측면만을 이야기하지 사회적 보안이라는 부분은 아예 염두에 두지도 않았다. 수시로 터져나오는 국민연금관리공단의 개인정보 부정열람이나 정보유출 같은 문제를 보자. 이게 개인정보 서버의 보안기술때문에 발생하는 문제일까?

 

다른 예를 들자면, 포털 사이트의 일부 까페가 매매되는 경우가 있는데, 온라인 상에 존재하는 까페가 현금으로 거래될 수 있는 이유는 당연히 그 까페에 가입해 있는 회원들의 개인정보와 컨텐츠 때문이다. 그리고 회원들의 개인정보는 원래 목적과는 다른 용도로 이용되는 거고. 이건 포털사이트의 보안시스템이 허술해서 발생하는 문제가 아니다. 제도적이고 체계적인 사회적 안전장치가 가동되지 않기 때문이다.

 

전자주민증 역시 마찬가지의 이유로 개인정보유출의 위험성을 극도로 높이게 된다. 행안부는 이걸 이야기하지 않는데, 그건 당연히 전자주민증을 도입하고자 하기 때문. 왜?

 

사실상 행안부가 전자주민증을 도입한다고 한들, 행안부 자체에 그닥 도움이 될 일이 없다. 행정효율이 높아진다고 하나 따지고 보면 그게 그거. 행안부 관계자가 이야기하기를, 그동안은 창구에서 민원인의 신원을 확인할 때 창구 직원이 주민번호를 직접 입력함으로써 시간이 낭비되고 개인정보유출 위험이 컸다고 한다.

 

웃기는 건 전자주민증 도입하면 이러한 비효율적 행정력 낭비가 사라지겠냐는 거다. 어차피 카드리더에 전자주민증을 긁을 때 창구직원이 컴퓨터에 직접 입력하는 시간이나 마찬가지의 시간이 흐른다. 직접 입력할 때 일어나는 개인정보유출이라는 것도 의미 없다. 도대체 그 과정에서 어떤 개인정보 유출이 일어났단 말인가? 다른 민원인이 창구직원 키보드 타이핑 하는 걸 넘겨보고 있다가 주민번호 확인한다는 건가?

 

더구나 달랑 이거 이외에 전자주민증 도입하는 이유가 없다는 건 행안부로서도 굉장히 난처한 상황. 다른 정보를 더 집어넣자니 정보유출문제는 더 심각해지고, 그렇다고 관계된 모든 분야, 즉 공공이고 민간이고 간에 전자주민증을 쓰도록 되어 있는 분야를 폐쇄망으로 재설계하자니 그건 어렵고, 이것 저것 다 빼자니 98년 감사원지적 사항을 다시 받게 되겠고.

 

이렇게 해봐야 그닥 효과도 없는 걸 정부가 죽자사자 달려들어 추진하려는 이유는 뭘까? 결국 그건 돈으로 귀착되는데, 이에 대해 의문을 제기하면 정부는 항상 순수한 마음을 이해해 달라는 청원이나 해쌓고... 그런데 왜 삼성의 용역보고서는 공개하지 않을까? 도대체 거기 뭐가 숨겨져 있길래 그러나?

 

정부가 발주하여 작성된 용역보고서는 그게 다 국민 세금으로 만들어진 거다. 따라서 국민은 그것을 볼 권리가 있다. 이게 무슨 국가안보에 직결되어 있어서 공개할 경우 북한괴뢰도당이 남침이라도 할 수 있는 거라면 몰라도, 국민인권과 직결되어 있는 사안인데다가 혈세로 만들어진 용역보고서를 굳이 안 보여주겠다는 건 결국 용역보고서를 작성한 기업체의 어떤 이익과 이 사업이 직결되어있기 때문이 아닌가?

 

칩의 수명과 프로그램 보완을 위해 5년마다 갱신을 해야 하는 전자주민증 사업은 결국 이 사업에 참가한 기업체들에게 5년마다 앉아서 돈 벌게 해주는 황금알을 낳는 사업이 될 거다. 그걸 위해서 국민들은 개인정보의 유출을 감수하고 그에 따른 각종 위험을 본인 부담으로 해야 한다. 이게 뭔 짓인지...

 

지금 중요한 건 전자주민증을 도입하느냐 마느냐의 문제가 아니다. 애초 국민통제를 위해 도입된 주민등록번호제도, 열손가락 지문날인제도, 주민증 강제발급 같은 제도의 당위를 다시 검토하고 충분한 국민적 합의를 통해 이 제도들을 바꾸어야 할 때다. 이게 선결이 된 후에야 전자주민증을 하던 생체칩을 몸에 박던 할 일이다.

 

25일에 행안부 주최로 대규모 공청회가 있다는데, 거기서 어떤 이야기들이 오갈지 모르겠으나 어차피 지난 십 몇 년 간 계속해왔던 논의가 재탕삼탕될 것이고. 국회 행안위에 회부되어 있는 개정안을 통과시키기 위해 또 한바탕 난리를 칠 것으로 보이는데 국회에서 어떻게 처리될지 그게 문제다.

 

잠수탄 행인을 다시 불러내는데 성공한 전자주민증 사업은 그래서 더더욱 용서를 할 수가 없다. 나 좀 그냥 내비두란 말이다.