월간참여사회 2014년 03월 2014-02-28   3237

[특집] 금융기관의 주민등록번호 수집을 금지해야

금융기관의 주민등록번호 수집을 금지해야

 

박경신 고려대학교 법학전문대학원 교수

 

2014년 1월 카드정보유출사태 때 엄청난 숫자의 주민등록번호들이 유출된 것으로 확인되면서 주민등록번호 무용론이 고개를 들고 있다. 나는 틀림없이 국가-국민 사이의 행정에서는 필요성이 존재하는 주민등록번호를 지금 당장 없애거나 전국민에게 새로운 번호를 부여해서 국민들의 불안감이나 불편을 증대시키기보다는 주민등록번호 수집이 이루어지고 있는 분야들을 조금씩 없애가는 것이 가장 현실적이라고 생각한다.

 

이미 개인정보보호법은 명시적으로 법률이 수집을 허용하거나 강제하는 분야 외에는 수집이 금지된다. 그런데 금융기관의 주민등록번호 수집은 금융실명거래법이 명시적으로 강제하고 있다. 인터넷 업체가 주민등록번호 유출을 많이 한다고 정보통신망법을 개정하여 2012년부터 주민등록번호 수집을 금지했는데, 그럼 이번에 더 큰 규모의 유출을 한 금융업계도 그렇게 하면 된다. 이번에는 법률을 고칠 필요도 없다. 금융실명거래법 시행령 제3조를 개정하여 ‘실지명의’의 구성요건에서 ‘주민등록번호’를 제외하면 간단하다.

 

고유 식별 기능을 잃은 주민등록번호

 

주민등록번호 수집은 왜 줄여가야 하는가? 주민등록번호는 다 알다시피 1970년대 방첩용으로 만들어졌다. 남한 주민들 모두에게 번호 하나씩을 주고 그 번호가 있는지를 확인함으로써 간첩을 걸러낼 수 있다는 논리였다. 즉 처음에는 일종의 패스워드로 기능할 목적으로 만들어졌다.

 

문제는 주민등록번호가 영구 불변한 덕분에 패스워드 기능 외에도 고유 식별 기능을 할 수 있게 되자, 수많은 정부기관들과 사기업들이 서비스 제공 및 거래의 조건으로서 주민등록번호를 요구하게 되었다. 이것이 수십 년 정도 지속되자 수많은 기관과 기업들이 주민등록번호를 보관하게 되었고, 보관하다 보니 유출도 되었고, 결국 선악을 불문하고 많은 사람들이 타인들의 주민등록번호를 가질 수 있게 되었다. (작년 겨울 한 보안 전문가로부터 들은 이야기에 따르면 우리나라 주민등록번호 1억 개를 담은 CD를 중국에서 100불에 살 수 있다고 한다) 이렇게 많은 사람들이 타인의 주민등록번호를 알고 있게 되면 주민등록번호는 패스워드의 기능도 고유 식별의 기능도 할 수 없다. 주민등록번호가 신뢰성 있는 패스워드나 식별자로 기능하자 너도나도 이를 요구하게 되어 결국은 식별자로도 패스워드로도 기능하지 못하게 되었다는 것이 바로 주민등록번호의 패러독스이고 신뢰성의 패러독스이다.

 

그럼에도 기관과 회사들은 계속해서 주민등록번호를 서비스 제공 및 거래의 조건으로 요구하고 있고 결국 해커들과 명의 도용자들은 이 주민등록번호 데이터베이스를 취득할 욕심을 갖게 되었다. 2014년 1월의 카드정보유출대란도 그런 욕심의 발현이었고, 주민등록번호가 포함되었기 때문에 훨씬 더 위험한 것이었다.

 

주민등록번호 활용 관행 바뀌어야

 

결국 문제는 주민등록번호 자체가 아니라 그것이 활용되는 방법이다. 우선 이미 수많은 사람들이 번호를 가지게 되었으니 대부분의 경우 패스워드나 식별자로서의 기능을 못한다는 것을 인정해야 한다. 그나마 주민등록번호가 국가-개인 간의 식별 기능을 하기 위해서는 수많은 업체와 기관들이 타인의 주민등록번호를 보관하고 있는 이 상황을 중단시켜야 한다. 그러려면 모든 기관과 회사들이 서비스 제공이나 거래의 조건으로 주민등록번호를 요구하는 행태를 중단해야 한다. 그렇게 주민등록번호에 의존하면 명의 도용으로 인한 피해는 더욱 커질 것이다. 또 그렇게 요구해서 받은 주민등록번호를 보관하고 있게 되면 유출의 가능성이 그만큼 높아지고, 이 때문에 다시 명의 도용의 위험이 높아지는 악순환이 계속된다.

 

참여사회 2014-03월호

 

이 위험은 점점 커져서 이제 우리는 주민등록번호를 서비스 제공의 조건으로 요구하는 행태를 분야별로 조금씩 금지해나가야 할 시점에 와 있다는 것이 필자의 생각이다. 이미 우리는 그런 경험을 가지고 있다. 2011년 싸이월드가 3천 7백만 개의 주민등록번호 유출을 겪은 후 곧바로 법이 만들어져 2013년부터 모든 인터넷 업체들의 주민등록번호 수집이 금지되었다. 그렇다면 2013년 국민은행, 농협은행, 롯데카드가 1억개 넘는 주민등록번호를 유출시켰다면 ‘모든 금융업체들의 주민등록번호 수집 금지’는 당연한 수순 아니겠는가? (언론보도에 혼선이 있는데, 2014년 8월부터 시행되는 개정 개인정보보호법으로는 금융업체의 주민등록번호 수집을 막을 수 없다. 금융실명거래법이 명시적으로 주민등록번호 수집을 허용하고 있기 때문이다.)

 

주민등록번호, 유일한 식별 방식 아니다

 

주민등록번호 수집이 금지된다고 해서 엄청난 혼란이 일어날 것처럼 이야기하지만 모두 과장되었다. 지금 당장 은행에 가서 계좌 개설을 해보라. 여러분들에게 주민등록번호만 받아가지 않는다. 성명, 생년월일, 주소, 본적, 직업, 휴대폰 전화번호, 집 전화번호 등등 몇 개만 조합하면 고유 식별 기능을 할 수 있는 정보들을 은행들은 이미 충분히 가지고 있다. 그걸로 부족하다면 운전면허번호, 학생증 번호 등을 요구하면 된다.

 

바로 주민등록번호같은 것이 존재하지 않는 외국에서도 은행들이 잘만 운영되고 있는 이유이고, 심지어 국내의 은행들이 주민등록번호가 없는 외국인들에게도 은행 계좌를 만들어 줄 수 있는 이유이다. 미국에서는 외국인도 2가지 사진이 붙어 있는 신분증과 주소만 있으면 계좌 개설을 할 수 있고, 내국인의 경우 보통 계좌 개설의 요건으로 사회보장번호나 세금식별번호를 요구받지만 은행이 그렇게 요구할 “합리적인 노력”의 의무만 있을 뿐이지 반드시 그것이 있어야 계좌를 열 수 있는 것은 아니다. 도리어 “미국법을 위반하여 사회보장번호의 공개를 강제”하는 사람은 최고 징역5년까지 처해질 수 있다.

 

미국에서는 은행들이 사회보장번호를 요구하는 것을 금지하지는 않고 있지만 그것은 우리나라처럼 사회보장번호의 대량유출사태를 겪지 않았었기 때문에 단순 비교해서는 안된다. 호주에서는 거의 전국민이 국세청에 세금 보고할 때 사용하는 번호(Tax File Number)를 가지고 있지만 이 번호를 다른 기관이나 업체가 수집하면 프라이버시 보호 법령에 따라 형사 처벌을 받게 된다.

 

생각해보라. 은행들 입장에서도 주민등록번호를 더 요구할 이유가 없다. 주민등록번호에 뭐가 들어있나. 생년월일, 성별, 출생등록지 그리고 이 세 가지 정보를 이미 널리 알려진 간단한 산식으로 곱하고 더해서 얻게 되는 숫자 하나가 포함되어 있을 뿐이다. 즉 주민등록번호는 어차피 은행들이 요구하는 다른 정보들에서 도출할 수 있는 것이다. 혼란은 기우일 뿐이다.

 

주민등록번호 수집이 금지되면 진짜 혼란은 해커와 명의 도용자들이 겪을 것이다. 은행마다 기업마다 요구하는 식별정보의 조합이 다르니 이제 무슨 정보를 가져가야 할지 모를 것이다. 지금? 인증시스템이 주민등록번호를 중심으로 일원화되어 있으니 적들은 너무나 좋다. 공격 방법도 일원화하여 자원을 집중할 수 있기 때문이다. 은행들이 어차피 수집하는 개인정보와 별도로 주민등록번호까지 수집함으로 말미암아 혜택을 받는 자들은 해커들이나 명의도용을 하고자 하는 사람들 뿐이다.

 

물론 최소한 최근 유출에 대한 불안감 때문에 새로운 주민등록번호를 요구하는 사람에게는 새로운 번호를 부여해야 할 것이지만 대체번호를 모든 국민들에게 새로이 부과하는 것은 국민 불편을 가중시킨다. 주민등록번호의 유출이 왜 문제인지를 파악하고 증상에 맞는 처방을 하자는 것이다. 

 

박경신 


고려대학교 법학전문대학원 교수. 
참여연대 공익법센터 소장.

 

2014. 3월호 특집 – 정보인권

10 특집 아무나 당신이 한 일을 알 수 있다 황지희

12 특집 그리 멋지지 않은 신세계 문강형준

15 특집 정보는 인권이다 김영홍

18 특집 금융기관의 주민등록번호 수집을 금지해야 박경신

정부지원금 0%, 회원의 회비로 운영됩니다

참여연대 후원/회원가입


참여연대 NOW

실시간 활동 SNS

텔레그램 채널에 가장 빠르게 게시되고,

더 많은 채널로 소통합니다. 지금 팔로우하세요!