주간동아 1092

2017.06.14

사회

변경하면 뭐해, 또 털릴텐데

주민등록번호, 관리도 안 되고 효과도 미흡…제도 완전 개정 목소리도

  • 박세준 기자 sejoonkr@donga.com

    입력2017-06-09 17:26:04

  • 글자크기 설정 닫기
    5월 30일부터 주민등록번호를 바꿀 수 있게 됐다. 행정자치부에 따르면 주민등록번호 유출로 피해를 본 경우 일정 요건을 갖추면 주민등록번호 13자리 중 생년월일 6자리와 성별 1자리를 제외한 나머지 6자리 숫자를 바꾸는 것이 가능하다. 보이스피싱, 금융사기 등 주민등록번호 도용 피해를 본 사람들의 2차 피해를 막으려는 조치다. 하지만 단순히 주민등록번호만 바꿔서는 개인정보 유출 피해를 막을 수 없다는 지적이 많다. 주민등록번호 유출 사고가 대부분 공공기관이나 기업의 부주의에서 기인한 데다, 현행 주민등록번호 제도가 보안상 취약한 면이 많다는 것이다. 이참에 아예 주민등록번호 제도를 뜯어고쳐야 한다는 주장까지 나오고 있다.



    주민번호 변경을 위한 지난한 싸움

    주민등록번호 변경은 14년 전부터 논의되던 사항이다. 2003년 정보인권 등 시민단체는 각종 인터넷 사이트에서 주민등록번호를 수집한 뒤 제대로 관리하지 않아 주민등록번호 도용과 유출 사고가 발생하고 있다며 주민등록번호 변경 캠페인을 펼쳤다. 하지만 2007년 7월부터 정부가 ‘인터넷 실명제’를 실시해 대형 인터넷 포털사이트 등은 가입자들의 주민등록번호를 모았다.  

    2006년 인기 온라인게임 ‘리니지’에서 1만3500여 건의 주민등록번호 도용 신고 사례가 있었다. 인터넷 실명제 시행 이듬해인 2008년에는 옥션과 하나로텔레콤(현 SK브로드밴드)에서 각각 1081만 명, 600만 명의 개인정보 유출 사고가 연이어 터졌다. 이어 2011년에는 네이트가 운영하던 싸이월드에서 3500만여 명의 개인정보가 유출됐고 2014년에는 KB국민카드, NH농협카드, 롯데카드에서 1억 건 넘는 개인정보가 유출되는 사고가 발생했다.

    보안전문가들은 국민 대부분의 개인정보가 이미 노출된 것으로 판단하고 있다. 시민단체 ‘함께하는시민행동’ 조사에 따르면 2014년 2월 기준 언론에 보도된 주민등록번호 유출 건수만 3억7400만 건에 이른다. 지난해 국내 인터넷 이용자 수가 4363만6000여 명인 점을 감안하면 국내 인터넷 이용자의 개인정보가 평균 8번가량 노출됐다고 볼 수 있다.



    개인정보 유출 문제가 심각해지자 피해자들은 국가에 주민등록번호 변경을 요청했다. 2008년 옥션과 하나로텔레콤 개인정보 유출 피해자들은 행정안전부(현 행정자치부)에 주민등록번호 변경을 청구했지만 각하됐다. 주민등록번호를 변경하지 못하게 규정한 주민등록법 제7조에 따른 것이었다. 2011년 네이트 해킹 피해자 일부가 2차 피해를 막고자 같은 청구를 했다 역시 각하되자 서울행정법원에 행정소송을 냈다. 1, 2심에서 패소한 피해자들은 서울고등법원에 위헌법률심판을 요청했으나 또 각하됐고, 결국 헌법소원을 제기했다.

    2015년 12월 23일 헌법재판소(헌재)는 피해자들 손을 들어줬다. 헌재는 주민등록법 제7조에 대한 헌법소원 사건에서 재판관 6 대 3 의견으로 헌법불합치 결정을 내리고 2017년 12월 31일을 개정 시한으로 정했다. 헌재는 판결문에서 ‘주민등록번호 유출 또는 오·남용으로 인한 피해 등에 대한 아무런 고려 없이 번호 변경을 일률적으로 허용하지 않는 것은 그 자체로 개인정보 자기결정권에 대한 과도한 침해’라고 지적했다. 지난해 5월 주민등록법 시행령 개정안이 국회를 통과됐고, 행정자치부는 5월 30일 주민등록번호변경위원회(변경위)를 정식 출범해 주민등록번호 변경 심의를 담당하게 했다

    주민등록번호 변경 대상은 번호 유출로 생명이나 신체, 재산에 피해를 입거나 입을 우려가 있는 사람으로 보이스피싱, 전화대출 사기 피해자, 아동·청소년 성범죄 피해자, 성폭력 피해자, 성매매 피해자, 공익제보자 등이다.

    이들이 주민등록번호를 변경하려면 번호가 유출됐다는 입증자료를 첨부해야 한다. 재산 피해를 입었다면 금융거래 등 피해 내용 자료, 생명·신체에 피해를 입었다면 병원의 진료기록부나 진단서가 필요하다. 성범죄 등 차후 추가 피해가 우려되는 상황이라면 녹취록이나 진술서 등 피해를 증명할 수 있는 자료를 첨부해야 한다. 이러한 입증자료를 모두 갖춰 주민등록지의 자치단체장에게 주민등록번호 변경을 신청하면 변경위의 심의를 거쳐 6개월 내 허락 여부가 결정된다.  



    새로운 시스템의 개인번호 필요

    변경 대상이 제한적인 데다 변경에 필요한 증빙서류도 많아 5월 30, 31일 주민등록번호 변경을 신청한 사람은 전국에서 70명뿐이다. 게다가 주민등록번호를 변경하면 행정기관에선 자동 변경되지만 은행, 보험사 등 금융기관이나 이동통신사에는 당사자가 직접 연락해 바꿔야 한다.

    주민등록번호 유출로 보이스피싱 피해를 입었던 대학생 유모(22·여) 씨는 주민등록번호를 변경하지 않을 예정이다. 유씨는 “주민등록번호를 바꾼다 해도 각 기관이 제대로 관리하지 않으면 또 금방 알려질 것이 뻔한데 왜 시간과 노력을 들여가며 바꿔야 하는지 모르겠다”고 말했다.

    이에 각 공공기관과 기업은 사용자 주민등록번호 관리를 강화하고 있다. 2014년 3월 개정된 개인정보 보호법 제24조에 따르면 공공기관과 민간 사업자는 가입자의 주민등록번호를 암호화해 보관해야 하며 위반 시 2년 이하 징역, 2000만 원 이하 벌금형에 처한다. 행정자치부 관계자는 “2월부터 공공기관을 시작으로 민간 사업자까지 주민등록번호 암호화 적용 여부를 점검 중이다. 위반 사항이 적발된다면 엄격하게 행정처분을 할 것”이라고 밝혔다.

    근본적으론 현행 주민등록번호가 해킹에 취약한 것이 가장 큰 문제다. 이윤호 서울과학기술대 글로벌융합산업공학과 교수 연구팀은 2014년 실험을 통해 페이스북에 생일, 거주지, 출신학교 등을 공개한 11만5615명 중 5만2000여 명의 주민등록번호를 주민번호추측프로그램으로 정확히 알아냈다. 이 교수는 “주민등록번호의 보안성을 높이려면 생년월일이나 성별 같은 정보가 드러나지 않는 임의의 번호가 필요하다. 관리 목적으로 해당 정보를 주민등록번호에서 삭제할 수 없다면 적어도 암호화를 통해 개인정보가 전면에 드러나지 않도록 해야 한다”고 진단했다.

    실제로 미국, 영국, 일본 등 선진국에는 주민등록번호가 없거나 있다 해도 번호에 개인정보가 드러나지 않는다. 한국개발연구원은 2014년 ‘개인식별제도 개선방안 연구 : 주민등록번호를 중심으로’ 보고서를 통해 ‘현행 주민등록번호는 생년월일, 성별 등이 직접 노출되는 등 개인의 특성을 나타내는 민감 정보가 포함돼 있다. 게다가 조합이 단순해 생년월일과 성별을 안다면 조합을 통해 무작위 도용이 용이하다. 이 같은 주민등록번호의 단점을 극복하기 위해서는 개인정보를 암호화한 새로운 형태의 번호가 필요하다’고 주장했다. 




    댓글 0
    닫기