인터넷에서 주민등록번호를 수집해 이용하는 행위를 금지한 개정 정보통신망법이 18일부터 본격 시행됐다. 지난해 8월 헌법재판소가 인터넷실명제를 위헌이라고 결정한 이후 일어난 변화지만 온라인상의 개인정보 보호를 위한 길은 여전히 멀다는 지적이다.
방송통신위원회는 지난해 8월 법 시행 이후 6개월간의 계도기간이 끝난 이날부터 인터넷상의 주민번호 수집 및 이용 실태를 점검하겠다고 밝힌 바 있다. 민간 웹 사이트 80~90%가 올해 상반기 안에 주민번호 수집을 하지 않을 것이라고 방통위는 기대하고 있으며, 모바일에서도 주민번호가 사용되지 않도록 점검에 나설 계획이다.
의무적으로 본인확인제를 유지할 필요가 없어진 사이트 중 네이버나 다음 같은 거대 포털은 일부 서비스에서 생년월일만 입력해도 이용할 수 있도록 개선에 나섰다. 본인확인제를 유지하려는 사이트는 대체 인증수단으로 아이핀(i-PIN)이나 휴대전화, 신용카드 정보, 공인인증서 등을 이용해야 한다.
'악플' 막자고 도입했다가 '유출' 불렀던 인터넷실명제
인터넷에서 글을 쓰는 이의 실명과 주민번호를 확인하는 인터넷실명제는 2004년 인터넷 공간에서 이뤄지는 불법 선거운동을 금지하기 위해 공직선거법에서 처음 등장했다. 2007년 하루 평균 이용자 수가 30만 명 이상인 사이트에 인터넷실명제가 적용됐고, 2008년 탤런트 최진실의 자살 이후 인터넷 '악플'에 대한 규제 목소리가 커지면서 2009년 10만 명 이상의 사이트로 적용 범위가 확장됐다.
하지만 민간 사이트들이 인터넷실명제를 위해 개인의 주민번호를 광범위하게 수집하기 시작하면서 문제가 터졌다. 2008년 옥션에서 1800만 명의 주민번호가 유출됐고, 2011년에는 네이트와 싸이월드에서 3500만 명이, 넥슨의 게임사이트 '메이플스토리'에서 1300만 명의 주민번호가 유출됐다. 인터넷상의 만연한 주민번호 수집 때문에 이미 타인에게 넘어가지 않은 주민번호는 없을 것이라는 우스갯소리마저 나왔다.
옥션 개인정보 유출 이후 한국시민단체의 진정을 받은 유엔 인권이사회(UNHCR)도 공공서비스를 위해 만든 주민번호를 민간 기업이 수집해 사용하는 것을 제한하라고 한국 정부에 권고한 바 있다. 유출된 개인정보가 누군가에게 넘어갔다는 '찜찜함'을 넘어 보이스피싱 등 2차 피해 사례도 등장하기 시작했다. 결국 헌법재판소가 지난해 8월 위헌 결정을 내리면서 인터넷실명제는 폐지돼 민간 사업자들의 자율 결정사항으로 바뀌었다.
'리틀 시스터'에서 '빅 브라더' 손으로 넘어가는 주민번호?
하지만 인터넷실명제 폐지는 처음부터 불협화음을 낳고 있다. 계도기간 종료시점이 다가오면서 IT업계에서는 주민번호 수집 금지에 따른 어려움이 크다는 볼멘소리부터 나왔다. 영세 사이트는 주민번호 인증에서 다른 인증수단으로 바꾸는 작업이 쉽지 않다고 하소연했고, 청소년유해매체물 제공 사이트나 셧다운제가 적용되는 게임 사이트 등에서는 청소년을 가려낼 수단으로 다른 대체 인증수단은 한계가 있다고 항변했다. 방통위는 이미 6개월이라는 시한을 준 만큼 이제 와서 불평하는 것은 받아들일 수 없다는 입장이다.
이보다 근본적인 문제가 있다. 방통위의 조치는 온라인상의 주민번호 수집 주체를 바꿀 뿐으로 헌재 결정의 취지를 살리지 못했다는 지적이다.
헌법재판소가 인터넷실명제를 위헌이라고 판단한 이유는 온라인에서 본인확인 없이 익명으로 이뤄지는 표현이 헌법이 보장하는 표현의 자유에 포함된다고 봤기 때문이다. 명예훼손 등의 불법 게시물을 처벌하기 위해 만들어진 본인확인제가 목적으로서 정당성과 수단의 적합성은 인정되지만, 기존 법 조항으로도 가해자를 처벌할 수 있는 점을 볼 때 과도한 제한에 해당한다는 판단이다.
하지만 당시 방통위는 헌재 결정에 대해 '헌법재판소는 정부가 민간 사업자에 본인확인제를 의무화한 것이 위헌이라고 한 것이지, 포털 등 민간 사업자가 본인확인을 요구하는 행위 자체를 금지한 것은 아니다'라고 밝혔다.
그동안 주민번호 수집 폐지 등을 요구해온 진보네트워크 등은 방통위가 익명 표현의 자유를 인정한 헌재 결정의 의미를 폭넓게 해석할 것을 요구했다. 하지만 방통위는 아이핀 인증을 위해 주민번호를 수집하던 신용정보업체에 더해 지난해 말 이동통신 3사를 본인확인기관으로 추가 지정했다. 사실상 개별 사이트들의 주민번호 수집만 금지시켰을 뿐, 아이핀이나 휴대전화 등 대체 인증에 필요한 주민번호는 특정 업체 몇 곳이 고스란히 수집하게 된 것이다.
장여경 진보네트워크 활동가는 "결국 인터넷 이용자들은 개인정보를 포털에 주는 대신 이동통신사와 신용정보업체에 넘겨주는 것"이라며 "과거에는 영세 사이트들이 주민번호를 마구잡이로 수집하다가 유출하는 '리틀 시스터'(Little Sister) 문제를 일으켰다면 앞으로는 소수의 이통사와 신용정보기관이 수집하는 개인정보가 '빅 브라더'(Big Brother) 문제를 부를 것"이라고 경고했다. KT는 이미 지난해 870만의 개인정보가 유출되는 사고를 겪었다.
▲ 지난해 8월 서울 종로구 세종로 광화문 KT사옥에서 열린 기자회견에서 KT 표현명(오른쪽) 사장과 송정희 부사장이 개인정보 유출 사건 재발 방지 대책을 발표한 뒤 고개를 숙여 사과하는 모습. ⓒ연합뉴스
신용정보기관·이통사는 믿을 수 있나
방통위도 할 말이 없는 것은 아니다. 아이핀은 인터넷실명제가 확대 시행된 2007년에 앞서 2005년 공식 제공된 서비스여서 본인확인제도와는 별개로 추진된 사업이라는 것이다. 이 때문에 아이핀을 위해 본인확인기관을 지정하는 것은 헌재의 결정에 반하는 조치가 아니라는 설명이다.
또 '셧다운제', 청소년유해매체물, 선거법상으로 건재한 인터넷실명제, 인터넷 결제에 필요한 본인확인 등 타 부처 소관의 인터넷 규제를 실행하는 수단으로서 본인확인제가 근본적으로는 사라질 수 있는 환경이 아니라는 주장도 나온다.
하지만 당장 거의 모든 국민이 사용하는 인터넷에서 입력되는 주민번호가 소수 업체 몇 곳에 흘러가는 것은 위험할 수 있다는 지적이 나오고 있다. 이들 업체들이 수집하는 정보에는 주민번호뿐만 아니라, 인증을 요청한 사이트가 어디인지까지 들어가 있어 추가적인 개인정보로 활용될 수 있는 위험도 있다. '오픈웹' 운영자인 김기창 고려대 교수는 지난 2011년 <안암법학> 35호에 실은 글에서 '신용정보업체가 이용자의 명시적 동의 없이 이름과 주민번호를 수집한 후 이를 본인확인용으로 사용할 경우 신용정보법과 주민등록법 위반으로 평가될 여지가 있다'고 지적한 바 있다.
장여경 활동가는 "신용정보업체들이 수집한 개인정보를 본인확인 서비스만을 위해 쓰고 있다는 보장도 없고, 방통위도 이들이 아이핀 인증기관이 된 후 얼마나 개인정보를 확보했는지 밝히지 않는다"며 "이동통신사가 본인확인기관이 된 것 역시 방통위의 보장 아래 본인확인서비스라는 다른 사업을 창출한 꼴"이라고 지적했다.