개인정보 만능키 주민번호 유출의 위험 - 현장 21

 한국의 경우 모든 개인 정보의 마스터키가 존재한다. 이름 하야 '주민등록번호', 주민번호만 있으면 개인의 신상정보, 금융정보, 의료정보까지 알 수 있다. 정보는 굉장한 부가가치가 뒤따른다. 그래서 항상 관련 범죄는 생겨날 수밖에 없다. 그렇다면 그 범죄를 어떻게 방지하고, 정보를 다루는 측에서는 어떻게 보호를 해야 하는지 철저한 대책을 세워야 함은 물론이다. 이런 개인정보와 그 만능키인 주민번호 유출에 대해 현장21에서 조명했다.

 사실 한국의 개인정보유출은 오래전부터 계속되었다고 볼 수 있다. 수많은 보이스피싱 사례가 그 증거임에도 그간 아무런 제스쳐가 없었던 것이 염증이 되어 곪아 터진 게 이번 국민은행사태라고 볼 수도 있다. 경제활동을 하는 거의 모든 성인의 기본 개인정보 몇 가지가 유출되었다. 하지만 그 후의 대처는 미흡 했다. 여전히 개인정보유출의 위험은 존재하며, 그 피해자는 은행이 아닌 고객 즉 국민임은 변하지 않았다.

 때늦은 수법인 복제사이트 이야기도 나왔다. 진짜와 똑같은 인터페이스에 URL 주소의 한 글자만 바꾸는 식의 교묘한 복제사이트는 사용자가 친절하게 직접 걸려주는 덫과 같다. 이 또한 개인정보나 금융정보를 직접 취하는 방법이다. 방지 대책으로는 일단 개인이 조심하는 게 무엇보다 중요하고, 나 같은 경우 중요한 사이트는 반드시 URL을 정확히 확인하며, 즐겨찾기로 구성하여 방문한다.

 알고 있으면서 당하는 사기는 정신적인 손해까지 입기에 아주 좋다. 금전적인 손해는 당연하고 정신적인 자괴감과 박탈감도 크다. 알면서 당할 수밖에 없는 사기의 경우, 금융기관이나 공공기관, 법제기관 같은 힘이 있고 통제가 가능한 곳으로 사칭하는 것이 대부분이기에 사람이 혹하기 쉽기도 하다. 피싱이나 우편으로 이런 류의 사이트를 방문 요청하면 절대로 거기에서 지시한 사이트 URL을 타이핑해서는 안 되겠다. 귀찮더라도 기관의 이름을 포털에서 검색 후 들어가는 것이 안전하다. 

 보이스피싱은 이제 개그 코너에 나올 만큼 만연한 범죄이다. 오래된 범죄임에도 그에 대한 완벽한 대책이나 예방책은 아직도 없다고 할 수 있다. 2013년 보이스피싱 피해 건수는 4천7백여 건, 피해액은 5백50억 원이라고 한다. 결코, 쉽게 볼 범죄가 아니다.

 보이스피싱의 단초는 아마 개인정보 유출일 것이다. 보이스피싱이라는 것이 시도된다는 자체가 이미 자신의 전화번호가 유출되었으며, 피싱할 때 자신의 이름이나 나이 생활의 부분을 미끼로 사용되면 그것 또한 유출되었다는 것이다. 어디서 유출되었을까? 생각해보면 아무리 작은 사이트라도 일단 이름과 주소 주민번호를 입력해야 회원 가입이 되는 사이트들이 있다. 공공기관의 사이트도 마찬가지이다. 아마 그런 사이트에서 해커의 공격을 받았든, 직접 정보를 팔았든 그곳에서 유출되었다는 것은 쉽게 짐작할 수 있다.

 보험사에서 좋아할 만한 정보도 따로 모으고 있었다. 의료정보만 따로 수집하는 좀비 PC를 운영할 정도로 이미 한국의 개인 정보는 철저하게 유린당하고 있었다. 내가 아파서 어떤 약을 받고 어떤 진료를 받았는지 유출되는 게 별 피해가 아닐 수도 있다. 하지만 그 정보를 가진 회사는 그에 맞는 상품의 마케팅을 하는 데 쓸 수 있을 것이다. 그리고 그 마케팅은 소비자에게 절대적으로 좋은 방향으로만 구현되지는 않을 것이다.

 불분명한 사이트의 불분명한 파일을 내려받으면 악성코드에 걸린다는 인식은 많이 확산하였다. 하지만 원래 웹사이트 방문 자체가 다운로드의 형태로 우리 피시에 저장되어 브라우저로 보여주는 것이기에 불분명한 다운 자체를 막을 수도는 없다. 사이트의 수많은 스크립트 중 해킹 스크립트를 다운 받을 수도 있다. 그에 대한 대책은 컴퓨터에 실시간 감시와 방화벽을 설치하는 것이 고작이다. 그것도 안전하다고 말할 수는 없다. 개인적으로 어베스트(AVAST) 무료 버전을 쓰는데 웹서핑 중 가끔 경고음을 울리며 아예 사이트에 안 들어가지도 한다. 물론 완벽하다고 말할 순 없지만, 국산 백신인 알약이나 V3보다는 믿음이 간다.

 웹 보안 전문가가 진단하는 한국의 보안은 마음만 먹으면 한 사람 신용불량 만들어서 지옥을 보내기 쉽다고 한다. 그렇게 지옥으로 간 사람만 지옥을 맛보는 게 아니라. 언제든 누구든 지옥에 이유 없이 갈 수 있는 이 상황이 지옥이 아닐까? 그리고 이런 지옥을 만든 건 개인의 정보를 수집하여 마케팅 목적으로는 잘 쓰면서 절대로 돈을 들여 보안을 해야 한다고 생각하지 않는 안이한 기업들의 보안의식 때문일 것이다. 하지만 실상은 개인정보를 마구 흘리고 다니는 사용자와 소비자들의 잘못으로 포장되는 경우가 많다. 준 사람이 잘못일까? 받아서 잘 못 챙긴 사람이 잘못일까? 굳이 양비론을 쓰지 않아도 누구의 잘못인지는 꽤 명확하다.

 인터뷰에 나온 김정숙 씨는 이런 개인정보유출로 큰 금융피해를 본 사람이다. 피해 당시는 아마 가짜 복제 사이트에 보안 알림이 떠서 보안카드의 번호를 순서대로 다 적은 모양이다. 아마 이 사례는 구제를 받기 어려울 것이다. 우리나라 기업은 기업이 그 피해에 직접적인 원인이 아니라 간접적인 원인이라면 고객이 그간 돈을 얼마 투자했든, 얼마나 신뢰를 주었든 상관없이 모두 속은 피해자가 나쁜 것으로 생각하기 때문이다. 

 "어서 오십시오 고객님, 사랑과 친절과 봉사로 고객님을 모시겠습니다. 단, 사기당하시면 우리도 모릅니다.^^ 사기당한 니가 나쁜 거지 우리하고 아무 상관 없습니다." 

 사기를 당한 사람이 아예 책임이 없다는 것이 아니다. 김정숙 씨의 경우도 스스로 보안카드의 모든 숫자를 입력하는 우를 범했다. 하지만 정말로 모든 잘못이 고객에게 있을까? 고객이 소송한다고 해도 딱히 승산이 있어 보이진 않는다. 우리나라 법리는 서민에게는 매우 엄정하고 기업에는 매우 친절하기 때문이다. 석연치 않다. 

 다른 나라는 아마 없는 것으로 알고 있는 주민번호라는 시스템은 기업의 입장에서 매우 편한 데이터일 것이다. 한번 부여된 값은 죽을 때까지 변할 일이 없을 것이다. 아예 변하지 않는다고는 못하겠지만, 99.9%의 사람들은 일생 한 가지 주민번호만 부여받고 그걸로 살 것이다.

 유출로 인한 피싱이나 사기피해가 빈번히 일어나지만, 그럼에도 기업이 주민번호 수집을 포기할 수 없는 이유는 개인 정보의 부가가치 때문이다. 고객이 사기를 당해 패가망신을 하든, 정신병에 걸리는 것보다는 일단 그걸로 마케팅에 쓸 수 있기에 기업은 웃으면서 말한다. "고객님에게 서비스를 제공하려면 고객님 주민번호가 필수입력 되어야 합니다.^^" 싫으나 좋으나 중요한 서비스이면 입력해야 한다. 유출될 때는 마음에도 없어 보이는 사과를 받을 수 있는 혜택이 있다. 

 더 지니어스 시즌2에 출연하여 화제가 됐던 이두회 씨가 나와서 작은 웹사이트의 개인정보가 유출 위험에 있는 것을 말했다. 아이디 비밀번호 휴대전화번호까지 유출될 수 있음을 제보했지만 1년이 지나도록 변화가 없다고 한다. 회사의 경우 아마 "SO WHAT?" 이라고 생각했을 것이다. 

 국민은행사태와 농협의 잦은 개인정보 유출은 물론 자사의 손해이며, 피해이다. 그래서 농협카드 사장이 자신들도 피해자라고 한 것을 이해한다. 그런데 문제는 그 피해에 따른 책임자는 고객이라는 것이다. 자신들이 수집했다고 과연 정보유출로 어떤 피해를 받을까? 지탄? 욕? 기업브랜드 하락? 유출된 정보로 개인 고객들은 몇 년이나 몇십 년 모든 전 재산을 잃기도 한다. 과연 누가 피해자일까? 

 서민은 항상 죄가 크다. 이런 개인 정보 유출 건에 대해서도 죄가 있다. '은행을 선택하여 서비스를 받은 죄', '은행에 개인정보를 제공한 죄' 현오석 부총리님도 그렇게 생각하셨나 보다. 서민 주제에 어디 감히 은행 재벌들에게 피해를 운운하느냐는 생각을 했을까? '정보유출은 고객 탓이다.' 라고 했던 배경에는 결국 "니들이 제공해서 빠져나간 거니 니들 책임 아니냐"는 원론적 원인제공과 무시가 곁들어진 멋진 개소리였다. 그렇게 따지면 최초 사람이 된 원숭이도 잘못이고, 종교적으로는 태초에 사람을 만든 하나님 잘못이다. 왜 하필 사람을 만들어서 개인정보유출을 하게 만들었는지 큰 죄가 있겠다.

 처음 들어보는 미국 회사인 타켓팅이라는 회사도 해킹을 당해 정보유출을 당했다. 회사는 그 후 바로 모든 카드를 재발급했다. 그리고 현재는 손해배상 3조 8천억 규모의 소송을 하고 있다고 한다. 

 우리나라의 경우는 어떤가? 일단 일이 커지면 회사의 높은 분들 정수리 탈모 상태를 알 수 있다. 이른바 깊은 사죄를 받은 다음에는 하고 싶은 사람만 카드 재발급을 해준다고 한다. 그것마저 유료라는 이야기가 있었었다. 그리고 사죄 이후에 이렇다 할 법적인 처벌은 벌금 600만 원이었다. 

 카드사 개인정보유출사건으로 실제 유출이 된 피해자는 어림잡아 천만 명이라고 한다. 거기에 600만 원이면 1인당 1.6원 정도의 피해에 대한 처벌을 가한 것이다. 나라부터 국민을 한 명당 1.6원짜리로 본다는 방증이다. 

 어느 고등학생은 생년월일만 알아도 주민번호를 유추할 수 있다고 한다. 생년월일이나 출생지의 노출로 주민번호를 알 수 있다고 하면 흔히 하는 SNS나 웹 커뮤니티의 활동들도 충분히 주민번호라는 궁극적인 정보에 다가갈 수 있는 여지를 주는 것이다. 개인정보유출로 실제로 피해 본 사람이 많이 있다. 그리고 그 중심에는 주민번호가 있다. 그렇다면 이에 대한 대책이 필요하다. 정부에는 어떤 대책을 세우고 있을까? 사람들에게 조심하라고 하기? 액티브 엑스 더 깔게 하기? 주민번호 칠 때 번호 안 나오게 하기? 

 미국의 사회보장번호는 몇 번인가 바꿀 수 있다고 한다. 우리나라 주민번호도 유출 여부가 확인되었을 때는 변경이 가능한 식으로 변하는 것도 방송에서 나온 한 가지 방법이다. 개인적으로 주민번호 같은 국민 한 사람을 아예 각인시킬 수 있으면서 언제라도 유출이 가능한 데이터는 아예 처음부터 있을 필요가 없다고 생각한다. 폐지를 주장하지만, 어차피 이미 주민등록번호 위주의 정보 생활에 익숙한 한국 사람들에게는 무리일 것이다. 그냥 스스로 조심하는 수밖에 없다.