20호 기획

주민등록번호 위험성, 공공기관의 무책임, 한계 넘었다

한편으로는 항상 우려됐지만, 다른 한편으로는 설마 했던 일들이 현실인 것으로 드러났다. 이번 조사를 통해서 밝혀진 주민등록번호의 노출 실태와 공공기관의 개인정보 관리 실태는 실로 충격적이다.

공공기관의 개인정보 보호 실태 참혹 그 자체

전체의 33%에서 주민등록번호가 발견되었다는 것, 그리고 그것 역시 일부분에 불과하다는 것은 국가 중앙 공공기관의 정보인권에 대한 무관심과 무책임의 심각성이 극에 달했음을 의미한다.

거대한 개인정보 데이터베이스를 통합 관리하는 전자정부 사업의 주무부처인 행정자치부는 산하의 전자정부지원센터 홈페이지조차 제대로 관리하고 있지 못한 것으로 드러났다. NEIS 사태 당시 철저한 보안장치와 관리감독을 내세우던 교육인적자원부는 수집한 개인정보를 그대로 노출하는 어처구니없는 일을 저질렀다. 국가인권위원회는 국민의 인권을 수호해야 할 기관이며, 향후 개인정보보호위원회를 산하에 설치할 것으로 논의되고 있지만, 실상은 자신의 홈페이지의 개인정보 보호 의무조차 제대로 지키고 있지 못했다. 다른 기관의 경우에도 상황은 크게 다르지 않다.

우선 일차적인 책임은 해당 기관의 개인정보보호책임자에게 있다. 그러나 실제 대부분의 경우는 책임자는 특별한 권한이나 전문성을 갖고 있지 못하다. 이번에 주민등록번호를 노출한 한 공공기관의 책임자는 “나름대로 관리한다고 하고 있지만, 다른 업무도 맡고 있는 상태에서 혼자서 별다른 지원도 없이 이 큰 사이트의 개인정보를 관리하는 것은 무리다.”라고 말했다.

결국 주민등록번호 노출 사건은 개인이 책임져야 하는 문제라기 보다는 해당 공공기관의 정책 상의 문제인 것이다. 한편 행정자치부는 공공영역의 개인정보 보호 관리 감독의 의무를 갖고 있다. 따라서 행정자치부는 이러한 현실을 불러일으킨 것에 대한 책임을 회피할 수 없을 것으로 보인다.

주민등록번호 위험성 한계 넘어서

현재 주민등록번호는 극소수의 예외를 제외하고 사실상 모든 웹사이트에서 수집하고 있다. 그런데 이렇게 수집된 주민등록번호는 악의적인 정보의 불법적 거래, 해킹 등의 경우가 아니더라도 단순한 관리 태만과 프로그램 상의 실수에 의해서도 이미 광범위하게 퍼져있음이 밝혀졌다. 또한 갈수록 성능과 기능이 발전하는 검색엔진과 각종 웹로봇은 이러한 정보들을 언제든지 수집할 수 있다는 사실은 사실상 인터넷 상에서 주민등록번호를 보호하는 것이 불가능하다는 것을 보여준다.

우리나라의 주민등록번호는 전국민에게 의무적으로 부여되며, 그 자체로 많은 개인정보를 담고 있고, 전 사회 영역 어디에서나 활용되는, 평생 불변 만인 부동의 개인 식별 번호로서 세계적으로도 유례를 찾기 어렵다. 이러한 주민등록번호의 특징은 오늘날의 이러한 주민등록번호의 유출 또는 도용이 광범위하게 일어나고 있는 원인이기도 하다.

한편 개인들의 경우 단지 자신의 실명을 증명하기 위해서, 자신의 주장에 신뢰성을 부여하기 위해서 굳이 필요하지 않은 주민등록번호를 아무런 거리낌없이 공개하고 있는 것으로 나타났다. 이에 대해서 정보인권활동가모임의 이은희 활동가는 “이러한 현상은 주민등록번호가 일상에서 너무 자주 활용되고, 지나치게 강력한 신분증명 능력을 갖고 있기 때문에 생기는 부작용이며 문제는 해당 공공기관이 이를 방치하고 있다는 것이다”라고 말했다.

주민등록번호 폐지! 독립적 개인정보 감독기관 설치!

따라서 근본적으로는 인터넷에서 주민등록번호를 비롯한 과다한 개인정보를 수집하는 일 자체가 제한되어야 할 것이다. 그리고 사적영역에서 주민등록번호 사용을 규제하고 공공기관에서도 꼭 필요한 부처가 아니면 그 사용하지 않도록 해야 한다. 그러나 이미 걷잡을 수 없이 퍼져있는 주민등록번호들은 어떻게 할 것인가? 지금부터 수집하지 않는다고 문제가 해결될 수 있을까? 주민등록번호의 폐지까지 포함한 전면적인 주민등록법 개정을 심각하게 고려해야 할 것으로 보인다.

한편 현재 개인정보보호를 위한 관리감독의 책임은 공공영역은 행정자치부가, 민간영역은 정보통신부가 갖고 있다. 그리고 현재 정부와 열린우리당이 제시한 개인정보보호기본법안에서는 개인정보보호위원회를 국가인권위원회 산하에 설치하고 행정자치부와 정보통신부의 권한은 대부분 유지하는 것으로 되어 있다.

그러나 이번 조사에서 나타났듯이, 행정자치부는 공공영역의 개인정보보호를 관리 감독할 책임이 있음에도 불구하고, 이와 같은 현실을 방치한 것에 대한 책임을 져야 할 것이다. 스스로 공공영역을 감독할 수 있는 능력과 의지가 없다는 것을 인정한다면, 해당 권한과 조직을 향후 설립할 독립적인 개인정보보호감독기구에 이양하는 것이 옳다.

국가인권위원회는 그 권한과 활동 영역의 측면에서 개인정보보호위원회를 포괄하기 어렵다. 또한 이번 조사 결과는 국가인권위원회가 개인정보보호를 위한 전문성을 갖고 있지 않다는 사실을 단적으로 보여준다. 따라서 개인정보보호기본법에 따른 개인정보보호 감독기구는 행정자치부와 정보통신부가 나눠 갖고 있는 권한과 조직을 통합, 확대하는 독립적이고 실효성있는 것이 되어야 한다고 주장하는 정보인권 단체들의 주장이 더 설득력있게 들린다.