전체메뉴

donga.com

줄줄 새는 개인 정보… 못믿을 ‘본인확인 업체’
더보기

줄줄 새는 개인 정보… 못믿을 ‘본인확인 업체’

동아일보입력 2014-06-27 03:00수정 2014-06-27 08:35
뉴스듣기프린트
트랜드뉴스 보기
8월 ‘주민번호 수집 제한’ 앞두고 아이핀 등 제공기관 신뢰 도마에 공인인증서 발급 업체인 한국정보인증은 최근 자사 공인인증서 사용자 13명의 주민등록번호 등 개인 정보가 포털사이트에 수개월간 노출돼 있는 것을 뒤늦게 발견했다. 조사 결과 포털 노출을 막기 위한 명령어인 ‘hidden’을 ‘hideen’으로 잘못 입력해 벌어진 일이었다. 공인인증서 서비스 제공을 위해 주민번호를 수집할 수 있도록 정부가 지정한 업체가 초보적인 실수로 개인 정보를 노출하는 허점을 드러낸 것이다.

주민번호 수집을 엄격히 제한한 개인정보보호법 개정안이 8월부터 시행되면서 주민번호를 대신하는 ‘본인 확인 대체수단’ 사용이 급증할 것으로 전망된다. 하지만 개정안 시행을 앞두고 대체수단을 제공하는 기업들이 연이어 정보 유출사고를 내면서 여전히 안심할 수 없다는 지적이 나온다.

○ 정부 지정 기관에서 잇따라 주민번호 유출사고

아이핀(I-PIN), 공인인증서, 휴대전화 인증 등 본인 확인 대체수단은 주민번호와 달리 교체나 폐기가 가능하고 출생지와 같은 개인 식별 정보를 담고 있지 않다. 하지만 발급 시 사용하는 개인 식별 기반은 여전히 주민번호이기 때문에 발급 기관의 보안 신뢰성이 무엇보다 중요하다. 시장에 맡기지 않고 정부가 발급 기관을 지정하는 이유도 이 때문이다.

관련기사

‘최악의 개인 정보 유출사고’로 기록된 올해 초 카드사의 개인 정보 1억여 건 유출은 2009년과 2011년 연이어 아이핀 발급 업체로 지정된 신용평가사 코리아크레딧뷰로(KCB) 직원이 저질렀다. KCB는 금전적인 목적으로 악의를 품은 직원의 일탈을 검찰 조사 전까지 알아채지 못했다.

방송통신위원회는 아이핀과 관련한 사고가 아니라는 이유로 아무런 조치를 하지 않고 있다. 엄열 방통위 개인정보보호윤리과장은 “본인 확인 대체수단 업무와 관련된 정보 유출이 아니어서 별다른 조치를 내리지 않았다”고 말했다.

KCB와 한국정보인증은 모두 개인정보보호법 개정안이 시행되는 8월 이후에도 주민번호를 합법적으로 수집할 수 있다. KCB의 경우 오히려 안전행정부가 아이핀을 오프라인에서도 본인 확인을 위해 사용할 수 있도록 하면서 수혜를 입을 것으로 보인다. 정보기술(IT) 분야 시민단체인 오픈넷의 전응휘 이사장은 “주민번호 체계 자체를 바꾸지 않는 이상 어디서든 유출사고가 발생할 수 있다”고 지적했다.

○ 본인 확인 기관 ‘그들만의 리그’

현재 정부는 총 11개의 민간 본인 확인 기관을 지정하고 있다. 아이핀은 나이스평가정보 서울신용평가정보 KCB 등 신용평가 3사(社)가 발급한다. 공인인증서는 금융결제원과 한국정보인증 한국전자인증 코스콤 한국무역정보통신(KTNET)에서 제공한다. 휴대전화 인증은 SK텔레콤 KT LG유플러스 등 이동통신 3사의 몫이다.

이 중 일부는 순수 민간 기업이지만 정부 출신 인사들이 이사진에 대거 포진해 있다. 나이스평가정보의 CEO는 금융감독원 국장을 지냈던 심의영 씨다. 옛 재정경제부 국장과 산업은행 총재를 역임한 정건용 씨가 회장을 맡고 있기도 하다. 모기업인 나이스홀딩스에도 박봉규 전 산업단지공단 이사장(산업자원부 출신), 이장훈 전 금감원 증권검사2국장 등이 사외이사진에 포진해 있다.

“인증기관 독점이 다양한 기술 발전 막아” ▼

한국정보인증은 정보통신부 출신의 김인식 전 사장에 이어 김형오 전 국회의장의 수석비서관 출신인 고성학 씨가 CEO를 맡고 있다. 무역협회 자회사인 한국무역정보통신의 서광현 대표는 정통부와 산업자원부를 거쳤다. 한국전자인증에는 양승택 전 정통부 장관이 사외이사로 있다. 이 업체들은 “전직과 상관없이 전문성을 보고 이사회가 결정한 인사”라고 해명한다. 하지만 한 업체 관계자는 “정부 지정이라는 특수성 때문에 관 출신 인사들이 많은 것”이라고 말했다.

지금까지 정부가 보안을 이유로 본인 확인 기관 지정을 취소한 사례는 단 한 건도 없다. 김기창 고려대 법학전문대학원 교수는 “해외에서는 본인 인증 방식과 관련해 요구조건을 명시하고, 누구든 이에 부합하는 새로운 방식을 제시할 수 있도록 하는 등 자율적으로 운영하는 반면 국내는 정부가 정한 방식을 따르는 지정업체만 독점하고 있다”며 “다양한 기술 발전을 저해시킨다”고 말했다.

황태호 기자 taeho@donga.com


#개인 정보 유출#주민번호 수집 제한#아이핀

당신이 좋아할 만한 콘텐츠


기사 의견

주요뉴스

1/3이전다음

포토·동영상

동영상
동영상
동영상
동영상
동영상
동영상
동영상
동영상
동영상
동영상
동영상
동영상