주민등록번호 개선방안 시급하다

[시론] 주민등록번호 개선방안 시급하다

 

주민등록번호 유출되면 피해 복구 방법 없어

폐지하거나 변경한다고 정보보호 문제 해결 못해

관리 관점에서 해법 모색 중장기 대책 마련 시급

최근 개인정보 침해사고가 지속적으로 발생됨에 따라 개인정보 보호정책에 관한 국민적 관심이 높아지고 있다. 이에 따라 정부차원에서 개인정보보호에 관한 종합대책이 마련되고, 관계부처가 협력하여 개선과제를 추진하고 있다. 그러나 개인정보 침해사고가 지속적으로 발생하고 있고, 그 중 50%이상이 주민등록번호의 오남용으로 인한 유출사고다. 따라서 주민등록번호의 원천적 개선방안이 필요하다. 안전행정부는 지난해 9월29일 대한상공회의소에서 '주민등록번호 개선방안' 공청회를 갖고 주민등록번호 개선방안을 발표하고 이에 대한 토론을 진행했다. 주민등록번호 개선방안을 놓고 정부, 민간, 학계에서는 현행 주민등록번호 체계를 보완하는 개선책을 주장하는 반면 시민단체들은 현행 체계의 보완은 미봉책에 그칠 수 있으므로 신규 주민등록번호 발급이 반드시 필요하다고 주장했다. 개선방안은 개인정보보호의 강화, 개편에 따른 비용 최소화, 국민 불편 최소화의 세 가지 원칙을 준수할 수 있도록 마련하고 기존 주민등록번호 체계를 유지하며 이를 보완하는 방법과 신규 주민등록번호를 발급하는 방법 등 모두 여섯 가지의 대안을 제안되었다. 토의에서는 기존 주민등록번호는 유지하되, 신규 번호체계를 개발해 사용하자는 의견이 제일 많이 나왔으나, 주민등록번호 체계 개편에 대해 크게 두 가지 의견으로 요약된다.

 

신규 주민등록번호 발급해야 한다는 측의 의견은 행정편의를 위해 만들어진 주민등록번호 체계를 근본적으로 개편할 시기가 왔으며 기존 주민등록번호를 계속해 사용하는 것은 미봉책에 불과하며 이번을 계기로 정부가 근본적인 대안을 마련해야 한다고 주장했다. 현행 주민등록번호 체계의 문제점은 크게 세 가지로 지적된다. 첫째, 생년월일, 성별, 출신지역 등이 포함돼 있어 주민등록번호만으로도 개인정보 침해를 받을 수 있다. 두 번째, 주민등록번호 변경이 사실상 불가능해 주민등록번호가 한번 유출되면 이에 대한 피해를 복구할 수 있는 방법이 없다. 세 번째, 주민등록번호가 다양한 시스템과 연계돼있기 때문에 유출시 피해가 광범위해질 수 있다는 점이다. 따라서 무작위의 일련번호를 새롭게 부여해 사용해야 하고 또한 피해가 발생했을 때는 변경이 가능해야 하며 유출에 대한 피해를 최소화하기 위해서는 특정 영역에서만 사용할 수 있도록 해야 한다고 주장한다.

 

신규 주민등록번호 발급을 반대 한다는 측의 의견은 신규 발급에는 회의적이나 주민등록번호의 변경은 가능해야 한다고 주장한다. 개인정보보호법 개정으로 인해 민간부문에서 주민등록번호 수집과 사용은 금지됐다. 하지만 이미 유출된 주민등록번호로 인한 피해가 예상되기 때문에 개인이 주민등록번호 교체를 요구할 경우 이를 손쉽게 교체할 수 있도록 하는 조치가 필요하다고 주장한다.

 

공공기관, 금융업계, 학계 등 에서는 신규 주민등록번호 발급은 이에 따른 이득보다 손실이 더 크다고 주장한다.신규 주민등록번호 발급 시의 문제는 크게 네 가지다. 첫째, 신규 주민등록번호 발급하더라도 안전하다는 보장이 없다는 것이다. 현재 개인정보보호 문제는 불법유출에 대한 사고이기 때문에 주민등록번호 체계를 폐지하거나 변경한다고 불법유출 문제를 해결할 수 없다. 두 번째, 우리나라의 전자정부 시스템은 글로벌 시장에서도 인정받는 우수한 정보시스템이다. 이는 주민등록번호 체계를 기반으로 한 연계와 통합이 가능했기 때문이다. 예를 들면, 복지·의료 등 다른 기관들과의 연계성을 가지고 있다. 세 번째, 편의성 문제이다. 우리 국민 어느 누구도 주민등록번호가 바뀌는 것을 선호하지 않을 것이다. 현재 우리 사회는 주민등록번호에 종속된 시스템으로 이를 바꾼다는 것은 쉽지 않고 대 혼란만 준다. 예를 들면, 주민등록번호를 전면 폐지하면 65세 이상 노인이 지하철을 탈 때 신분 확인이 불편하고, 인터넷으로 병원을 예약하기 불편하고, 미성년자에게 담배 판매 금지와 술집 출입 제한 과정 등에서 본인 확인에 불편이 따를 것이다. 네 번째, 주민등록번호 체계를 개편했을 때 정부는 신분증 교체와 새 주민번호 도입을 위한 행정시스템 변경에만 최대 6700억원이 들 것으로 예상하고 있을 뿐 금융기관 등 민간에서 내야 할 시스템 비용이나 국민 불편 등을 고려한 경제·사회적 비용은 추산조차 못하고 있다. 전체 시스템 통합 등을 생각하면 한국지방행정연구원이 책정한 비용보다 훨씬 더 높아질 것이다.

 

특히 정부는 법령상 근거 없는 주민등록번호의 처리(수집·이용)를 금지하는 개정 '개인정보보호법'을 지난해 8월7일 시행했다. 또한 올해부터 주민등록번호를 변경할 수 있게 될 전망이다. 다만 주민번호 유출로 인한 생명, 신체, 재산에 대한 중대한 피해를 입을 우려가 있다고 인정될 경우에만 제한된다. 이 같은 내용을 담은 '주민등록법 개정안'을 지난해 12월30일 국무회의에서 의결했다. 현재는 가족관계 등록사항의 변동(출생일자, 성별 등)이나 번호오류인 경우 주민등록번호 정정이 가능했을 뿐 변경은 불가능했다.결론적으로 현행 주민등록번호 체계가 개인정보를 침해한다는 논의는 오래전부터 나왔다. 하지만 현시점에서 개선방안이 필요하다면 기존 주민등록번호는 공공부문에서만 사용하고, 새로운 발행번호는 민간분야에서 사용하며 기존 주민등록번호 사용을 제한하는 것이 타당하다. 현재 주민등록번호 체계를 폐지하거나 변경한다고 개인정보보호 문제를 해결할 수 있는지를 우선적으로 고민해야 하며, 이에 대한 막대한 비용도 무시할 수 없다. 신규 번호체계를 만들어도 대중이 사용한다면 유출은 될 수 밖에 없다. 정보유출과 정보보호는 창과 방패의 모순(矛盾) 관계라 번호체계가 바뀐다고 완벽하게 개인정보를 보호할 수 없다. 개인정보유출 문제는 주민등록번호 체계 자체의 문제가 아니라 금융회사들의 번호 수집 관리에서 문제가 생겼다. 따라서 지금까지의 정보 유출 사고는 인재(人災)였다. 번호체계 변화에 의지하는 것이 아닌 주민등록번호 관리 관점에서 접근하는 것이 바람직하다. 개인정보 유출시 이에 대한 책임을 엄중하게 금융기관, 공공기관 및 민간기업의 책임자 처벌을 할 수 있는 법적제도가 필요하다. 또한 이차 침해 피해를 막기 위하여 빠른 시일 내에 주민등록법 개정안을 시행하여야 한다. 지금 시점에서는 정부는 신규 주민등록번호 체계 구축이 아니라 개인정보 및 주민등록번호 관리체계 정비 및 종합 대책이 중장기적으로 수립되어야 한다.

입력: 2015-01-08 19:09 / 유승화 아주대 명예교수 

[시론] `제2의 사이버 연평해전` 대비하자

 

세계 각국은 사이버전쟁

우위 점하기 위해서는 사이버안보 관련 법 필수

국가차원 컨트롤 타워도 법적 근거 마련해야

 

최근 사이버공간은 냉전체제의 새로운 전쟁터로 급부상하고 있고 사이버전은 외부로 드러나지 않는다는 특징이 있기 때문에 이를 자제하자는 합의나 협정이 쉽지 않다. 사이버전 1호는 2007년 발생한 러시아 소행으로 추정되는 에스토니아 기간전산망 마비 사건이었다. 각 국가별 사이버군의 규모는 극비이지만 중국이 세계 최대인 약 40만 명의 사이버 병력을 보유하고 있는 것으로 추정되고 있다. 또한 미국은 2010년 매년 사이버작전 장교 400명을 양성하기로 결정했다. 세계에서 강대국 행세를 하려면 실제 전쟁뿐 아니라, 사이버전 능력 강화를 위해 엄청난 투자를 하고 있다. 또한 북한은 최근에 소니픽쳐스 해킹 사건을 통해 자신들의 사이버전 능력을 세계에 과시한 적이 있으며, 사이버 테러 3.20 대란, 7.7 DDoS 사건, 1.25 대란 등을 여러 차례 저질렀다. 사이버전 전문가 리처드 클라크는 북한의 사이버전 수행 능력을 세계 최고 수준으로 평가했다. 북한은 정찰총국 등을 중심으로 7000여 명의 사이버 공격 전문조직과 인력을 운용하고 있다. 전 세계 사이버공간은 지금 이 시간에도 해킹 등을 통해 주요 군사 및 산업 정보를 빼내고 전력, 통신 및 교통 인프라를 마비시키는 사이버전이 진행되고 있다.

 

사이버전에서 가장 중요한 부분은 사이버 병력의 질이다. 사이버전은 그 특성상 최고 수준의 해커 한 명이 수백 명의 사이버 부대와 맞서 전쟁을 치를 수 있기 때문이다. 현재 사이버전의 최전선인 사이버사령부와 국가정보원은 최고 수준의 화이트 해커를 확보하지 못하고 있다. 사이버사령부에 소속된 해커 부대 500여명은 만들어진 해킹 도구를 활용해 공격하는 수준으로 해커 입장에서 보면 최고의 질의 사이버 병력으로 볼 수 없다. 그러나 최고 수준의 해커들이 사이버사령부나 국정원과 같은 부처에 입사하면 정식 직원과 차별 대우를 받고, 기업에서 제시하는 대우와 워낙 차등이 되기 때문에 가지 않는다. 따라서 최근 사이버보안 인력육성계획에 의해서 실력이 뛰어난 해커 영재의 경우 수능 성적과 상관없이 고대 사이버국방학과 등 3개 주요 대학에 입학할 수 있게 되어 우수 인력을 양성할 수 있다. 사이버국방대학을 졸업하면 장교로 임관, 7년간 의무 복무토록 해 사이버 전력의 중추 역할을 맡긴다는 것이다.

 

그러나 군에 복무할 때 단순 반복 업무만 시킬 것이 아니라 이들을 충분히 활용하여 창조적 역량을 발휘할 수 있는 여건과 동기를 부여하여 사이버 병력의 질을 향상시켜야 한다.

 

최근 국정원이 이탈리아 보안 업체에서 해킹 프로그램을 비밀리에 구입 논란이 확산되고 있다. 2013년에는 미국이 각국 정상과 대사관, 유엔본부까지 도청했다는 에드워드 스노든 전 미국 국가안전보장국 직원의 폭로로 발칵 뒤집힌 적이 있다. 도·감청 문제는 국제정보기관의 중요 속성 중 하나이기 때문에 적절한 권한 부여와 권한을 넘어선 행위에 대한 통제가 필요하다. 그러나 더 중요한 것은 수행할 기술 확보다. 최첨단 전자통신장비와 소프트웨어 기술을 바탕으로 한 정보보안 능력은 오늘날 사이버전의 핵심 역량이다. 최근 전방위적인 사이버전을 불사하는 북한을 상대하고 있는 우리 정보기관이 사이버전과 안보 위협에 대응할 최신 사이버보안 기술을 개발하고 적법한 대응 전략을 세우지 않는다면 오히려 직무유기일 것이다. 그러나 안랩을 포함한 국내 정보보안업체들은 국제경쟁 기술면에서 취약하여 사이버전의 공격을 막을 수 있는 솔루션을 현재 제공하지 못하고 있기 때문에 국가차원에서 경쟁력있는 사이버보안 기술 개발이 추진될 수 있는 대책이 수립돼야 한다.

 

세계 각국이 사이버전이 날마다 치열하고 있지만 우리는 사이버안보에 관한 기본 법률조차 없는 상태다. 현재 국내 사이버안보 관련 법제는 대통령 훈령으로 만든 '국가사이버안전관리규정'이 전부이며 사이버 위기 시 상황 전파 등에 관한 내용 위주이다. '정보통신기반보호법' 등에 사이버 안전 관련 규정이 있지만 이는 일상적인 정보보호에 중점을 두고 있다. 국회에는 '사이버테러방지법'이 계류 중이지만 개인 사생활 침해 우려 등의 이유로 처리되지 못하고 있다. 사이버전에서 우위를 점하기 위해서는 통신 사업자에게 감청장비 설치를 의무화하는 '통신비밀보호법' 개정안도 반드시 통과돼야 한다. 현재 '통합방위법'에는 군이 영토, 영공, 영해를 수호한다고 돼있지만 사이버공간은 포함돼 있지 않다. 따라서 이에 관한 사이버전 교전수칙도 없다. 미국의 경우 '사이버안보보호법', '사이버안보강화법' 등 5개 관련 법률을 제정하여 시행하고 있다. 일본도 작년 11월 사이버전 시 정부, 기업 및 개인 등 주체별 책무를 규정한 '사이버시큐리티기본법'을 제정했다.

 

국가 차원의 컨트롤타워에 대한 법적 근거가 없는 것이 문제점이다. 우리의 사이버 테러 대응 체계는 '국가사이버안전관리규정'으로만 규정돼 있어 민관의 역량을 총동원해야 하는 사이버전 대응에 한계가 있다. 관련 법률이 전자정부법, 통신기반보호법, 정보통신망법 등에 산재돼 있어 대응 주체간 역할이 상충된다. 최근 청와대 국가안보실 산하에 사이버안보비서관이 신설되어 실질적인 사이버안보 컨트롤타워 역할을 수행할 수 있는 체계가 마련됐다. 따라서 사이버안보 컨트롤타워를 주축으로 정부 역량을 집중, 국가정보원, 경찰청, 국방부, 미래창조과학부, 행정자치부 등의 국가사이버안보 관련 각 부처와 기관이 실질적으로 협력하는 체계가 가동돼야 한다.

 

전 세계적으로 IT 강국으로 꼽히는 우리나라의 인터넷 환경은 훌륭하다. 그러나 발달된 인터넷 환경과 달리 사이버보안이 취약하고 사이버 공격의 위협을 받고 있다. 2010년부터 2014년까지 국가 공공기관을 대상으로 일어난 사이버 사고는 총 7만 6669건에 달했다. 북한은 최근 몇 년 간 다양한 방식으로 우리나라를 향해 사이버 상에서 도발을 펼쳐왔음에도 정부당국의 대응은 미흡했다. 공격 경유지를 차단한다거나 악성코드를 분석해 치료용 전용백신을 개발하여 보급하는 것이 전부였다. 그러다보니 북한이 마음먹고 공세를 취해도 매번 당할 수밖에 없었다. 현재 우리는 사이버전 능력을 갖추었는지 의문시된다. 그러나 현재 사이버전의 중요성 및 심각성을 정부나 국민이 절실히 인식하지 못하고 있는 것이 더욱 심각한 문제이다. 정부나 정치인들은 말로는 중요하다고 하지만 실질적인 우수인력 양성 및 활용, 경쟁력 있는 사이버보안 기술 개발, 법 제도 및 조직에 대한 대폭적인 전략적 대책이 시급하며 제2의 사이버 연평해전 또는 천암함 같은 사태를 미리 대비해야 한다.

 

입력: 2015-08-09 18:57 / 유승화 아주대 명예교수