주민등록번호 수집 금지에 따른 인터넷 사업자의 과제
주민등록번호의 수집과 이용을 제한하는 「개인정보보호법」 개정안이 시행됨에 따라 지난 8월 7일부터 모든 공공기관과 민간사업자는 법적 근거 없이 주민등록번호를 수집할 수 없다. 시행으로부터 약 한 달이 지난 지금, 인터넷 사업자들의 주민등록번호 수집 금지 정책 대응 현황을 점검하고 극복해야할 과제는 무엇인지 생각해본다.
1. 인터넷에서의 주민등록번호 수집 금지
개인정보보호법 제 24조의 2(주민등록번호 처리의 제한) 신설로 인해 올 8월부터 주민등록번호의 수집이 금지되었다. 하지만 인터넷 서비스를 제공하는 정보통신서비스 제공자(이하 ‘통신사업자’)들에게 주민등록번호 수집 금지란 낯선 정책이 아니다. 통신사업자들은 일반법인 「개인정보보호법」에 우선하여 특별법인 「정보통신망 이용촉진 및 정보보호에 관한 법률(이하, 「정보통신망법」)」에 따라 서비스를 제공한다. 2012년 2월 개정된 동 법 23조 2(주민등록번호의 사용 제한)는 통신사업자로 하여금 이용자의 주민등록번호를 수집하거나 이용할 수 없도록 규정하고 있다.법 개정에 따라 통신사업자들은 기존의 주민등록번호 인증 정책을 미인증 정책(회원 가입 시 주민등록번호 등을 통한 본인인증절차를 거치지 않거나 회원가입 없이도 서비스를 이용할 수 있도록 하는 운영 정책)으로 전환하거나, 아이핀·핸드폰·공인인증서 등의 대체 수단을 활용한 인증절차를 도입하여 서비스를 운영하고 있다. SLRCLUB은 2012년부터 아이핀 인증을 도입하였고, 기 수집한 회원들의 주민등록번호 또한 개인식별코드로 전환 후 파기 완료하는 등 관련법 준수에 최선을 다하고 있다.
이처럼 통신사업자들은 2012년부터 이미 정보통신망법 개정에 대응하기 위하여 주민등록번호 수집 및 활용 금지 정책을 시행해왔다. 따라서 주민등록번호 수집 금지에 필요한 정책 개편이나 시스템의 확충을 통해 「개인정보보호법」 이행을 위한 기반이 비교적 안정적으로 마련되어있다.
2. 법 개정에 따른 어려움
가. 문의 업무 처리 제한
그럼에도 불구하고, 지난 2년간 실제 서비스 운영에서 통신사업자가 당면해온 어려움 중 하나는 이용자의 불편과 항의가 증가하였다는 점이다. SLRCLUB의 경우, 법령 개정 이전까지는 홈페이지 문의를 비롯, 전화, FAX, 메일 등 다양한 채널을 활용하여 이용자의 문의를 접수·처리해왔다. 주민등록번호가 모두 파기되면서 개인정보 변경, 게시물 삭제 등 본인확인이 선행되어야하는 문의는 부득이하게 홈페이지를 통해서만 처리 가능함을 안내하고 있다. 주민등록번호를 보관하고 있지 않으므로, 전화나 메일 등으로는 본인확인이 어렵기 때문이다. 문의 채널의 제한과 본인확인절차 변경으로 인해 이용자들이 겪게 되는 불편이 적지 않다.
나. 정보통신망법에 따른 임시조치
「정보통신망법」 제 44조의 2(정보의 삭제요청 등)에 따라 통신사업자는 이용자의 정보삭제요청이 있는 경우 게시물에 임시조치 등의 조치를 할 수 있다. 임시조치란 정보통신망을 통해 제공된 정보에 의해 사생활 침해나 명예훼손 등 권리가 침해된 경우 해당 정보를 삭제(혹은 임시 차단) 요청할 수 있는 제도이다. 임시조치는 기본적으로 타인의 게시물에 대한 강제적 차단 요청이므로 통신사업자는 요청자의 신분과 해당 게시물과의 관계를 확인하여 권리침해 가능성이 있는지를 판단하여 조치하고 있다. 이 과정에서 요청자의 신분 확인 방법은 사업자마다 다양하지만 대개는 주민등록번호와 신분증 사본을 수집한다. 현재 법 개정에 따라 주민등록번호 수집이 금지된 만큼 통신사업자들은 이를 대체할 수 있는 수단을 고민하고 있는데, 요청자의 실명, 생년월일, 성별과 마스킹된 신분증(주민등록번호 뒤 7자리 중 성별을 나타내는 첫 자리를 제외한 6자리를 가리는 것) 접수를 요구하기도 한다. 하지만 마스킹된 신분증 사본은 정부에서 제공하는 진위여부 확인 서비스를 활용할 수 없을 뿐더러 위조의 가능성도 남아있어 통신사업자가 요청자의 신분을 정확히 확인하기 어렵다. 또한 타인 정보 도용에 의한 부정신고의 가능성도 배제하기 어렵다. 또한 「정보통신망법」에서는 임시조치시 본인확인 방법에 대한 구체적인 조항이 없어 마스킹된 신분증 사본을 접수하는 것이 본인확인 수단으로 유효한지도 명확하지 않다. 통신사업자는 여러 부담을 안고 임시조치를 시행해야 하는 실정이다.
다. 비용
주민등록번호 수집 금지로 인해 대체수단 인증을 선택한 통신사업자들이 안고 있는 또 다른 문제는 ‘비용’이다. 대체인증수단을 활용한 본인확인기관의 실명인증은 건당 비용이 발생하며 대개는 모두 사업자의 부담으로 이루어진다. 재정규모가 크지 않은 중소사업자에게 있어 지출 부담이 클 수밖에 없다. 또한 일부 대형 포털이나 카드사 등은 업무상의 불편을 해결하기 위해 홈페이지 상에서 활용할 수 있는 인증수단 외에도 전화 상담시 ‘통화중 ARS연결’이나, ‘통화중 핸드폰 인증’ 등 본인인증을 진행할 수 있는 방법을 도입하여 시행중이다. 하지만 규모와 인력이 제한적인 중소 통신사업자가 해당 기능을 추가 개발하고 서비스하기는 쉽지 않은 것이 사실이다. 이 때문에 많은 중소 통신사업자들은 두 가지 이상의 대체 인증수단을 도입하기 어려울 뿐만 아니라, 인증에 따르는 비용을 이용자에게 청구하기도 여의치 않아 대체 인증절차를 포기하고 미인증 정책으로의 전환을 고려하기도 한다.
라. 대체수단에 대한 이용자의 불신
대체수단에 대한 이용자들의 불신도 만만치 않다. 관련 문의를 처리하면서 이용자들로부터 많이 듣는 의견 중 하나가 “아이핀을 만들어봐야 또 유출될텐데, 만들기 싫어요”이다. 대규모 정보유출 사건을 계기로 이용자의 정보보호를 위해 도입한 대체수단 마저도 외면 받는 현실은 정부와 유관기관이 극복해야할 과제 중 하나일 것이다.
마. 이용자 대상 홍보/교육의 부재
2012년 정보통신망법 개정 이후 통신 사업자를 대상으로 주민등록번호 수집 금지에 관한 교육이나 점검, 실사 등이 꾸준히 진행되어왔지만 ‘이용자 대상’ 홍보나 안내 등은 미비한 실정이다. 관련 홍보/교육의 부재는 이용자의 불편과 미스커뮤니케이션을 초래한다. 예를 들면, 아이핀을 통해 본인인증을 하면 통신사업자는 본인인증기관을 통해 개인식별코드(DI값)를 전달받는다. 이는 숫자, 영문, 특수문자가 조합된 긴 코드로 이를 통해서는 회원 개인정보를 직관적으로 확인할 수가 없다. 문제는 이 사실을 잘 알지 못하는 이용자들과 상담을 진행할 때다. 이용자들은 주민등록번호 수집이 불가능한 상태에서 어떻게 본인 식별이 가능한지 의문을 갖거나 극단적으로는 통신사업자가 주민등록번호를 여전히 수집하고 있는 것은 아닌지 오해하기도 한다. 아이핀 ID와 각 인터넷 홈페이지의 ID가 별개로 운용된다든가, 아이핀 ID는 얼마든지 개설·파기가 자유롭다는 사실을 잘 알고 있는 이용자는 많지 않다. 통신사업자가 상담시 본래의 문의내용보다는 법 개정과 대체인증수단에 대해 일일이 내용을 설명하고 양해를 구하는 데에 더 오랜 시간을 보내는 경우도 많다. 통신사업자의 노력만으로 이를 극복하기는 쉽지 않다.
다행히도 이번 「개인정보보호법」 개정으로 인한 주민등록번호 수집 제한은 온·오프라인을 망라한다. 적용 범위가 넓다보니 출근길에, 골목에서, 법 개정을 홍보하는 현수막이나 광고지를 심심치 않게 목격할 수 있다. 정부 및 유관기관의 주도 하에 홍보/교육을 진행하여 이용자들의 인식 개선이 있기를 기대한다.
3. 제도 정착을 위한 제언
가. 인터넷사업자의 과제
미인증 정책을 시행하고 있거나 이번 법 개정을 계기로 미인증정책으로의 전환을 고려하고 있는 통신사업자들은 일부 이용자가 익명성에 기대 다량의 ID를 생성하여 여론을 조작하거나 분란을 유도하는 등 커뮤니티의 근간을 해하는 일이 없도록 노력해야 한다. 운영 정책의 세분화, 관리 정책 강화 등 통신사업자가 중심이 되거나 이용자의 참여를 통한 자율규제 시스템을 마련하는 것이 해결책 중 하나가 될 수 있다.
대체수단을 통한 인증정책을 선택한 통신사업자는 대체수단을 활용하기 위한 편리한 시스템 구축, 이용자에 대한 적극적 홍보를 통해 법 개정으로 인한 이용자의 불편을 최소화하도록 노력해야 할 것이다. 또한 대체수단을 도입했다 하더라도 보안서버 구축, 고도의 암호화 등 개인정보 보호를 위한 노력을 게을리 해서는 안 된다.
나. 정부와 유관기관
「개인정보보호법」 및 「정보통신망법」 개정안이 무리 없이 시행되도록 하기 위해서는, 정부와 유관기관의 적극적 노력이 필요하다. 먼저, 본인인증 대체수단 도입으로 인한 통신사업자의 부담을 덜고 이용자의 권리를 보호하기 위한 다양한 재정적, 정책적 지원을 도입하여야한다.
현재 방송통신위원회와 한국인터넷진흥원(이하 ‘KISA’)에서는 중소사업자를 위한 ‘주민번호 미수집 전환 기술지원’을 진행하고 있다. 다만 이는 적용 대상이 제한적인데다 주민등록번호 수집창 삭제 및 기 수집된 주민번호 파기 등의 1차적 영역만을 지원하고 있는 실정이다. 대체인증수단 도입, 정책 마련, 법령 해설 등 통신 사업자에게 실질적 도움이 될 수 있는 추가적 지원책 마련이 시급하다.
또한 대체인증수단을 기반으로 한 통합 센터의 운영도 고려할 만 하다. 현재 KISA는 ‘한국인터넷진흥원 아이핀’ 홈페이지를 운영하고 있으나 본인 명의로 발급된 아이핀을 조회하는 제한적인 기능만을 수행하고 있다. 대체수단을 통한 인증이력의 통합 관리, 주민등록번호 변경·말소 등으로 인한 대체수단 정보변경 등을 종합적으로 관리할 수 있는 센터를 도입한다면 이용자가 더욱 편리하게 개인정보를 관리할 수 있을 것이다.
4. 주민등록번호 수집 금지로 인한 정보보호
주민등록번호 수집·이용 불가로 인한 불편과 개선해야할 부분이 남아있지만, 개인정보보호를 위한 법령이 강화된 점은 고무적이다. 이용자들에게 있어 이번 법 개정은 개인정보 자기결정권이 강화되는 중요한 기회가 될 것이다. 통신사업자는 정책 개편과 시스템 마련을 통해 이용자의 불편을 최소화하고, 실제 인터넷 환경에서 제도를 정착시키기 위한 노력을 게을리 하지 말아야 할 것이다. 또한 정부와 관련 기관은 통신사업자와 이용자의 목소리에 귀 기울여, 실제 법 적용의 현장에서 마주치는 다양한 문제를 해결하기 위해 최선을 다해주기 바란다. 이용자, 통신사업자, 정부의 노력으로 인터넷 환경의 발전에 부합하는 최고의 정보보호 환경이 마련되기를 기대한다.