[시론/임종인]주민번호도 재발급 가능하게 하자

임종인 고려대 정보보호대학원 원장

사상 최대 규모의 개인정보 유출 대란으로 대한민국의 2014년은 불안과 공포로 시작되었다. 피해 건수가 1억 건을 돌파했단다. 드러난 피해가 빙산의 일각이라는 이야기도 돈다. 이쯤 되면 전체 국민의 소중한 개인정보가 자신도 모르는 사이에 허락하지 않은 누군가의 손에 들어가 있다고 가정하는 것이 과장된 것만은 아니다. 금융당국이 2차 피해는 없을 것이라고 국민을 안심시키며 대책들을 쏟아내고 있지만 국민의 불신과 불안은 쉽게 가시지 않고 있다. 카드 해지와 재발급을 위해 길게 늘어선 줄이 단적인 증거다.

유출 사건이 발생할 때마다 정부와 금융 당국이 종합대책을 내놓고 기업들은 보안을 강화하고 있다지만 유출규모는 매번 신기록을 경신하고 있다. 도대체 왜 그럴까. 지금까지의 당국과 기업들의 대응 노력에 대한 근본적인 검토가 필요한 때이다.

일단 금융 당국이 일정 지침을 제공하고 기업들이 지침 수준의 보안을 갖추면 면책해주는 기존 보호 모델은 실패한 것으로 보인다. 기업들은 고객정보 보호를 위해 창조적인 보안 조치들을 개발하기보다는 당국의 요구 수준에 맞추는 데 급급했고, 보안수준은 하향 평준화되었다. 이 때문에 하나의 사건이 발생하면 여러 기업이 줄줄이 피해를 보는 일도 허다했다.

설상가상 금융당국과 기업들은 정보보호 전문 인력 부족으로 적시에 제대로 된 지침을 제시하기도, 그 지침을 완벽히 준수하기도, 준수 여부를 충실히 평가하기도 어려운 상황이었다. 금융 당국이 안전하다고 평가했던 기업들에서 유출사고가 반복된 이유가 바로 이 때문이다.

이번 사건으로 카드사들은 경영진 줄사퇴, 고액 과징금 부과, 대규모 집단소송의 위험에 직면했고, 정보보호는 기업 생존과 경쟁 우위를 위한 핵심 키워드로 자리 잡았다. 기업의 생존을 위해 이제는 수동적인 규제 준수 모델에서 능동적인 기업 간 정보보호경쟁 모델로 바뀌어야 한다. 그리하여 타 기업보다 상대적으로 높은 보안서비스 제공으로 소비자들의 신뢰를 획득하고, 고객들은 소중한 개인정보를 지켜주기 위해 더 많이 노력하는 기업을 선택할 수 있어야 한다. 이러한 경쟁을 통할 때 자연스럽게 모든 기업의 정보보호 수준이 동반 상승하는 선순환 구조가 형성될 것이다.

이런 점에서 보안공시제 도입은 기업 간 정보보호 경쟁시장을 만들 수 있는 효과적인 방안이 될 수 있다. 보안공시제는 기업의 보안수준을 투명하게 공시해 소비자들과 투자자들이 기업을 선택하는 데 필요한 객관적인 기준을 제공해 선의의 보안경쟁을 이끌어낼 수 있을 것이다.

또 하나 근본적인 검토가 필요한 부분은 주민등록번호 제도이다. 신용카드는 재발급받으면 된다지만 현재의 주민번호는 재발급도 안 된다. 주민번호가 일단 유출되면 국민들은 항상 맘 졸이며 불안 속에서 살아야 한다. 미국의 사회보장번호처럼 주민번호가 유출되었을 경우 새로운 번호를 발급받아 사용할 수 있도록 하는 재발급 가능한 주민번호 도입을 고려해야 한다. 번호만으로 나이 성별 출신지역 등을 식별할 수 있는 기존 주민번호와는 달리 매번 임의의 난수를 주민번호로 부여하면 추가적인 개인정보 노출도 막을 수 있을 것이다.

2014년 대한민국의 한 해는 우울하게 시작되었지만 아직 우리에게 희망은 있다. 위기를 기회 삼아 남은 기간 보안공시제도 도입, 재발급 가능 주민번호 제도로의 전환과 같은 혁신을 성공적으로 추진한다면 2014년은 우리에게 대한민국 개인정보 보호의 새 장을 연 해로 기억될 것이다.

임종인 고려대 정보보호대학원 원장