아실 분들은 다 아실겁니다. 실제로 유출된 것으로 의심-이라고쓰고 확정이라고 읽어야겠죠- 된다고 밝혔던 2월 말여 부터 이미 1천만명 수준의 개인정보가 유출되었고, 최근에 발표된 경찰의 수사결과 총 1천 81만명의 개인정보가 유출되었음이 확인되었습니다.

이미 다양한 사이트들이 개인정보수집을 목적으로-컨텐츠의 질을 높이고 더 좋은 회원서비스를 제공하기 위해서라는 미명 하에 회원제를 도입하는 경우가 많이 있었고, 회원수가 정말로 대규모라고 할 수는 없는 수준의 사이트들에서는 이미 암암리에 '개당 얼마'라는 식으로 회원의 개인정보가 팔리고 있었습니다.

사실, 황당하고도 무섭기만 한 현 상황은 과거부터-정확히는 웹상에서 다양한 회원제 서비스를 제공하는 기업들이 불필요할 정도로 다양한 개인정보를 수집하기 시작한 시점부터 알만한 사람들은 암암리에, 아니 대놓고 걱정하고 있었던 최악의 시나리오였습니다.
일단, 현재 온라인마켓플레이스에서 I사 계열의 G사와 함께 절대적인 위치를 점하고 있는 옥션은 회원데이터베이스가 1천만명을 상회하는 초 거대 쇼핑포털이라는 점이죠. 게다가 '마켓플레이스'라는 특징상 거래가 일어나고 그에 수반하는 계좌정보, 주소, 연락처 등이 다양하게 저장된다는 점, 마지막으로 그것이 현재 활발하게 이용되는 정보들이라는 점 등을 더하면 최악의 경우로 회자되어왔던 시나리오로서 부족함이 전혀 없습니다.

이미 이렇게 된 상황에서 피해자인 옥션의 회원 들이 취할 수 있는 방법은 사측에 책임을 묻는 정도인 데, 그래봐야 몇십만원도 안되는 액수 수준의 보상-전례를 보았을 때-을 받는 것으로 끝나겠지요. 물론 DB의 관리를 외주를 주었다면, 그 외주 관리업체와의 문제가 옥션 측에는 있을 수도 있구요. 그렇지 않다면 옥션은 무지막지한 손해배상금을 물고 엎어지는 수 밖에 없겠지요.

그러나, 이 포스트에서는 옥션 측의 잘잘못은 일단 차치하고, 좀 더 큰 문제를 생각해 보자는 목적을 갖고 있습니다.

2005년 기준으로 15세~64세 사이의 인구를 뜻하는 생산가능인구는 총 3천453만명으로전 인구의 71.7%를 차지합니다(통계청「장래인구추계」2006). 실제로 옥션에 가입되어 있는 인구의 대부분은 이 나이대 일 것이고-실제로는 만 55세를 초과하는 가입자 역시 매우 미미할 것으로 생각됩니다). 이번에 공식 발표된 옥션 개인정보유출의 피해자 수는 대략 1천81만명이므로 전 생산가능인구의 30%를 상회합니다. 딱 잘라서 3천만명-수입이 거의 없는 만18세 미만과 실제 경제활동에서 빈도와 비율이 급격하게 떨어지는 만 60세 이상의 인구를 추가로 추렸다고 했을 때-이라고 가정하면 모든 실제 경제활동에서 중요한 위치를 차지하는 인구의 35%이상이 이미 자신의 개인정보 상당부분을 공개당했다고 볼 수 있습니다. 그것도 단순한 정보가 아닌, 개인 식별에 매우 중요한 의미를 가진 성명과 주민등록번호, 연락처 및 주소, 심지어 일부의 경우 계좌번호에 사업자등록번호까지 유출되어, 사업체 하나의 등록정보를 통째로 들어 넘겼다고 해도 틀리지 않습니다.

----------------------------------

여기 까지가 옥션 개인정보 유출사건이 공식적으로 확인된 직후인 2008/04/17에 써 두었던 글입니다. 그런데 오늘-2008/05/07 방영된 'SBS 뉴스추적'에 따르면 실제로는 옥션의 이용자 개인정보 DB는 통째로 털린 것이 사실상 틀림 없는 것으로 보입니다. 덕분에 제시한 수치의 상당부분을 변경해야 할 것으로 보이는데. 생산 가능인구의 30%선이 아니라 50%를 초과하는 인구의 상세 개인정보와 옥션의 구매내역까지 통째로 넘어가 있는 꼴로 보입니다.

옥션에 회원으로 가입한 사람이 어디 민중들 뿐이겠습니까. 정부기관에 다니고 차관/장관을 지내는 분들의 자녀/배우자 혹은 그 자신도 옥션에 가입해 있을 가능성이 농후하고 그들의 개인정보 역시 당연히 유출되어서 손의 손을 거쳐 상당히 돌아다니고 있을 것이 분명합니다.

'SBS 뉴스추적'에 나온대로라면 개당 300원씩 쳐서 단순 계산해 보면 1800만명의 개인정보는 단돈 54억원밖에 안된다는 뜻이 됩니다-54억원이 작은 돈이라는 뜻이 아닙니다. 54억원이면 한 나라를 움직여가고 있는 인구의 절반이 넘는 사람들의 개인정보를 구할 수 있다는 뜻입니다. 개인정보를 확보하고 있는 사람은 정부기관이나 다름이 없는 상황이 되어버렸습니다.

작금의 상황은 단순하게 해킹 용의자를 처벌하고 DB를 보유하고 있는 사람을 색출하여 엄벌하며 옥션의 보안담당자를 직무유기혐의로 고발하는 것으로 해결될 문제가 아닙니다. 나라를 움직여가는 전국민의 50%가 넘는 개인의 식별정보가 유출된 이 마당에 그러한 시스템을 그대로 유지하고 간다는 것 자체가 의미가 없는 상황입니다. 그대로 놔둘 것이라면 차라리 모든 주민등록번호를 만천하에 공개하고 개인의 정보를 유용하는 사람에게 무지막지한 엄벌을 내리며 개인정보의 유용을 감시하는 행정부서-개인정보관리부 따위의 총리산하의 기관급 되는-를 따로 마련하여 감시하는 것이 나을지도 모릅니다.

Likesoft가 바라보는 문제의 발단은 이렇습니다. 무분별한 개인정보-특히 주민등록번호-의 수집이 가장 큰 문제입니다. 대한민국에서 주민등록번호는 정말로 광범위하게 쓰입니다. 네트워크가 그다지 발달하지 않았던 때에도 학원에 등록하려해도 주민등록번호, 도서대여점에서 책을 빌릴 때에도 주민등록번호, 식료품상점 적립회원에 가입하려고 해도 주민등록번호. 어딜가도 주민등록번호를 요구했습니다.

이러한 관행이 온라인으로 넘어오면서 광고유치와 비지니스 확장을 위해 회원을 늘리고 관행적으로 그랬듯, 관리의 편리라는 명목하에 주민등록번호를 수집해왔습니다. 그런데 온/오프라인의 경계가 불명확해지고, 오프라인에서만 가능했던 일들이 온라인에서도 속속 가능해지기 시작하면서 '실물'이 더 중요했던 오프라인의 개인정보는 '자료 그 자체'가 더 의미있어지기 시작한 것입니다. 즉, 개인정보라는 자료 자체가 돈이 되기 시작했고, 무분별한 개인정보의 수집을 실시하게 된 원인이라고 할 수 있겠습니다.

조금더 들여다보면 대한민국의 개인정보 수집행태는 조금씩 변해왔는데, 온라인 초창기에는 그냥 별 의미가 없었습니다. 실제로 그다지 쓰임새가 없었기 때문입니다. 그러다가 2000년대 들어서 닷컴광풍/벤처버블이 불어닥치면서 인터넷 기업들이 무지막지하게 커지게됩니다. 포털이라는 것들도 생기기 시작합니다.
이 때 부터 약간의 문제가 발생하기 시작하는데, 일부 악의적인 이용자들이 주민등록번호를 임의로 생성하여 범죄를 저지르기 시작했습니다-주민등록번호의 생성/확인매커니즘은 이미 널리 밝혀져있고/본 블로그에도 있습니다/ 이것의 배포와 안내는 자유롭습니다. 다만 매커니즘을 이용하여 생성한 결과를 이용하는 것은 불법입니다. 이후에 들어선 것이 '실명확인'입니다. 금융계의 굴지의 기업들이 모여서-그래봐야 은행/카드사 정도입니다만- '신용평가회사'를 만들고 공동으로 개인의 신용을 평가하게 되면서 개인정보가 집중되게 되고, 덕분에 주민등록번호와 이름이 실제로 맞는지 확인이 가능하게 되었습니다. 그 때부터 실명확인을 실질적으로 의무화 시키기 시작했습니다. 점점 더 개인정보는 정확하고 다양하게 수집되기 시작한 것입니다.

사실, 이 모든 사태는 그냥 '안 가지고 있었으면' 일어나지도 않았을 사태입니다. 온라인 회원가입시에 유저네임과 패스워드, 메일주소 3가지만 물어봐도 유저관리에는 그다지 부담 없습니다. 이것만 물어봤으면 기껏해야 오는 피해랄 것이라봤자 스팸메일이 좀 더 늘어나는 것 뿐입니다.

그래서 Likesoft가 이 시점에 제안하는 것은, 아니 요구하는 것은 두 가지입니다.

첫 번째,

온라인 상의 무분별한 개인정보 수집을 금하라

현재 온라인의 개인정보 수집 실태는 상당히 심각합니다. 대부분의 포털에서 이름/ 주민등록번호/이메일/거주지/유무선 전화번호를 요구하는 것은 기본이며, 실명확인을 요구하는 경우도 매우 많습니다. 이게 어째서 필요합니까. 유저의 관리에는 실제로 유저네임/이메일/닉네임 정도면 충분합니다. 실제로 해외의 대부분의 업체들-국내 굴지의 업체와 비슷하거나 더 큰 업체들은 이 정도의 정보로도 충분히 운영을 하고 있습니다.

개인정보관리를 가장 철저히 하는 방법은 처음부터 요구하지 않으면 됩니다.

두 번째,

주민등록번호 체계를 변경하라

현재의 주민등록번호는 온라인 상의 개인 식별장치로서의 의미를 상실했다고 봐도 무방합니다. 생산인구의 50%를 상회하는 개인정보가 돌아다니는 상황에서 전혀 의미가 없다고 봐야 하지 않겠습니까. 주민등록번호 자체를 알아야 할 필요성이 없도록 사회적인 시스템을 변경하고, 체계를 새롭게 만드는 것 뿐만 아니라 지금처럼 단순한 방법-생년월일-패리티를 가진 일련번호-을 탈피하여 복잡하게 만들어야 한다고 봅니다.

사실 지금의 사태는 실명확인을 요구하면서 더욱 더 커졌습니다. 실재하지 않는 개인정보의 비율이 훨씬 줄어들었고 정확한 개인정보만이 수집되었기 때문입니다. 이것은 포털등을 중심으로한 제한적본인확인제가 시행되면서 본격적으로 시행되기 시작했습니다. 제한적본인확인제는 허울은 좋게 명예훼손 및 모욕 등의 범죄를 예방하고 줄이자는 차원에서 시행한다고 밝혔지만 결국 행정의 편의-어차피 확인제를 시행하지 않아도 범죄수준의 행위는 충분히 잡아낼 수 있습니다- 및 개개인의 발언권을 억눌러보자는 발상에서 나왔다고 밖에 볼 수 없습니다.

온라인은 원래 익명을 기반으로 제공되는 서비스입니다. 그것이 본질이었고 본질이며 이어야합니다. 그리고 그 익명성, 제한된 구체성이 온라인 문화를 이끌어가고 발전시키며 변화시키는 원동력입니다. 이것을 관리의 편리-정부의 민중/개인에 대한 관리-라는 이름으로 실명성을 요구하면서부터 모든 것이 틀어지기 시작했다고 봅니다. 국민의 개인정보가 떠돌아다니는 현 세태가 과연 바람직한 온라인의 형태인지 돌아봐야 할 필요가 있을 시점입니다.