옥션, 현대캐피탈, SK커뮤니케이션즈, 넥슨, EBS, KT…
해킹으로 인한 개인정보 유출이 끊이지 않는다. 지난해부터는 곳곳에서 터지는 개인정보 유출 사고로 “이제 전 국민의 개인정보는 ‘공개정보’가 됐다”는 자조까지 나온다. 최근에는 유출된 주민등록번호가 기존 중국 포털사이트에서 거래되는 것을 넘어 베트남, 캄보디아 등 동남아시아, 동유럽 지역에서까지 거래되는 실정이다.
이런 가운데 18일부터 온라인에서의 주민등록번호 수집, 이용이 금지된다. 주민등록번호 유출에 따른 2차, 3차 피해를 막기 위해서다. ‘소를 잃더라도 외양간을 고쳐야 하는 상황’인 셈이다.
방송통신위원회는 이 같은 내용을 골자로 하는 개정된 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정통망법)을 오는 18일부터 시행한다. 계도기간은 6개월, 기존에 수집한 주민번호를 삭제, 폐기할 유예기간은 2년이다.
구체적으로는 인터넷 상에서의 주민번호 수집 및 이용 제한, 개인정보가 누출 통지 및 신고제, 개인정보 이용내역 통지제, 개인정보 유효기간제, 기술적․관리적 보호조치 미이행에 대한 행정처분 강화 등이다.
적용대상은 포털, 게임사 등 거의 모든 인터넷 사업자를 포함한 정보통신서비스제공자다. 여기에 정보통신서비스제공자로부터 개인정보를 제공받은 제3자 및 업무위탁을 받은 수탁자, 방송사업자 등도 포함된다.
이에 따라 사업자는 주민번호를 수집, 이용하지 못할 뿐만 아니라, 기존 보관중인 정보가 유출, 도난당했을 경우 즉시 방통위에 신고하고 이용자 개개인에게 이메일, 문자메시지 등으로 통보해야 한다.
아울러 1년에 한 번 개인정보의 이용 내역을 고지해야 하며, 3년 동안 로그인 기록이 없는 휴면계정 이용자의 정보는 삭제하거나 별도의 장치에 보관해야 한다. 사업자가 개인정보보호조치를 이행하지 않은 경우에 3천만원 이하의 과태료가 부과될 수 있다.
개정된 정통망법의 구체적인 내용을 질의응답 형태로 정리해봤다. 질문에는 김광수 방통위 개인정보보호윤리과장이 답했다. (참고 : [전문]개인정보보호 신규제도 안내서)
■주민번호를 수집하지 않는다면, 어떤 수단으로 본인 확인이 가능한가?
현재 운영 중인 본인확인 방법은 주민번호를 제외하면 총 4가지다. 이동통신사의 가입자 정보 확인을 통한 휴대폰 인증, 공인인증서를 통한 본인확인, 신용카드, 아이핀이다.
방통위는 특히 휴대폰 인증이 주민번호를 대체하는 본인확인 수단이 될 것으로 내다봤다. 지난해 기준 이동전화 가입자수가 전체 인구(5천73만4천명)를 넘어서는 5천250만6천명을 기록했기 때문이다. 또 공인인증서의 경우 우리나라 전체 인터넷 이용자의 절반(54.7%)이 사용 중이며, 금융실명거래에 의해 신용카드 역시 본인확인 수단으로 사용 가능하다.
다만 청소년의 경우 신용카드, 공인인증서 발급 등에 어려움이 있다. 때문에 방통위는 청소년의 아이핀 발급 절차를 대폭 간소화하고 단체발급 등을 추진한다.
■셧다운제, 인터넷 실명제(제한적 본인확인제)에서는 주민번호를 수집, 이용할 수 있나?
불가하다. 법령에 주민번호를 명시적으로 요구하지 않았기 때문이다. 이 경우에는 공인인증서, 아이핀 등 대체수단을 이용해 본인 확인을 해야 한다.
■주민번호를 수집, 이용할 수 있는 경우는?
정통망법이 아닌 다른 법에서 주민번호의 수집, 이용을 명시적으로 허용한 경우 가능하다. 예컨대, 전자상거래법에서는 전자 결제시 소비자 보호를 위해 5년간 ID, 생년월일, 주민번호 등 거래 기록 정보를 보관해야 한다. 이 경우 주민번호의 수집, 이용이 가능한 식이다.
다만 이때도 주민번호를 ‘의무적으로’ 수집하도록 한 것이 아니다. 현재 방통위는 아이핀, 공인인증서 등 주민번호 대체수단을 이용한 인증 결과값을 저장하는 방안을 권고 중이다. 공정거래위원회에서도 향후 전자상거래법을 개정해 주민번호 항목을 삭제하겠다는 계획이다.
이밖에도 금융부문 연계 서비스에서는 주민번호 수집, 이용이 가능하다. 결제서비스, 연체자관리 등을 위해서다. 공공기관이나 오프라인 사업장에서의 본인확인 시에도 마찬가지다. 방통위는 온라인에 개정 정통망법을 우선적으로 적용한 후 관련 법령을 일괄 정비해 오프라인에서도 주민번호 수집, 이용을 제한할 계획이다.
■주민번호를 저장하지 않고 본인확인에만 사용하고 폐기하는 것은 허용되나?
불가하다. 사업자가 주민번호를 저장하지 않는다고 해도, 이용자가 웹사이트에 주민번호를 입력하는 행위 자체가 수집, 이용 행위에 해당한다.
■계도기간과 유예기간을 주는 이유는?
현실적으로 20년 넘게 써 온 주민번호에 기반을 둔 시스템을 짧은 시간 내에 바꾸는 것은 쉽지 않다. 방통위는 180만개에 달하는 국내 웹사이트가 시스템을 바꾸는데 들어가는 비용이 대략 2조7천억원에 달할 것으로 예상했다.
정부가 사업자에게 큰 비용을 억지로 투입하라고 강제하기는 어렵다. 특히 기업 규모가 큰 사업자가 아닌 소규모 쇼핑몰 등 사이트의 경우 의도치 않은 범법자를 양산하게 될 가능성도 많다. 소규모 사업자들은 웹호스팅사에서 꾸며준 대로 사이트를 운영하기 때문에 자신이 주민번호를 수집하는지도 모르는 경우가 있어 신중히 접근할 필요가 있다.
■본인확인 기관을 지정하는 이유와 종류?
본인확인 기관을 지정하는 이유는 금융기관이나 다른 법에 의해 어쩔 수 없이 주민번호를 받아야하는 경우를 위한 것이다. 일반적인 게임회사나 포털이 이용하는 것과는 하등의 관계가 없다.
현재 아이핀 서비스의 본인확인 기관은 NICE신용평가정보, 서울신용평가정보, 코리아크레딧뷰 등 3개사다. 여기에 방통위는 이동통신사, 공인인증서 발급기관을 추가할 계획이다.
관련기사
- 18일부터 주민번호 수집 금지…‘과태료 3천만원’2012.08.17
- 2014년까지 '오프라인'도 주민번호 수집 금지2012.08.17
- 주민번호 수집·이용 금지…유출기업 처벌 강화2012.08.17
- 8月 주민번호 수집불가…‘셧다운제’도 예외아냐2012.08.17
만약 통신사를 인증기관으로 지정치 않을 경우 딜레마가 생긴다. 이미 휴대폰 인증은 널리 확산된 본인확인 수단 중 하나인데, 통신사가 주민번호를 수집하지 못할 경우 이것이 불가능해진다. 또 대포폰의 활성화 등 부작용이 우려되며, 법적으로는 정통망법에 명시된 대체수단을 제공해야하는 의무를 위한 것이다.
다만 통신사도 신청을 받은 후 보안시스템에 대한 고시를 통과하는지 심사한 이후에 지정할 계획이다. 해당 고시는 높은 수준의 보안시스템을 갖춰야만 통과할 수 있다.