[디지털투데이 박근모 기자] 행정자치부에 따르면 지난 30일부터 주민등록번호 유출로 피해를 본 경우 일정 요건을 갖추면 주민번호 13자리 가운데 생년월일 6자리와 성별 1자리를 제외한 지역 번호·등록순서·검증번호 등 6자리 숫자 변경이 가능해졌다. 이는 개인정보유출로 인해 보이스피싱, 금융사기 등 주민등록번호 도용 피해 사례가 빈번하게 발생했기 때문이다.

행정자치부와 보안업계에서는 이같은 조치가 일단의 개인정보유출로 인한 피해자를 구제하기 위한 수단일뿐 개인정보유출을 막기 위한 대비책이 아님에 인식을 같이 했다.

먼저, 행정자치부는 지난 2월부터 공공기관과 민간사업자를 대상으로 주민등록번호 암호화 여부를 집중 점검 중이다. 민간 보안업계에서는 기업내 개인정보 유출 방지를 위해서 웹방화벽 솔루션과 개인정보 암호화 솔루션을 통해 주민등록번호와 같은 민감 정보가 유출되더라도 악용될 수 없도록 연구·개발 중이다. 한국인터넷진흥원(KISA)와 방송통신위원회는 빈번한 주민등록번호 사용에 따른 유출 사고 방지를 위해 '민간 아이핀'을 활성화해 나갈 계획도 준비 중이다.

2차 피해 방지를 위한 유출된 주민등록번호 변경 가능

행정자치부는 30일부터 주민번호 유출 피해자에 한해 주민등록번호 뒷자리 6개를 바꿔주는 주민등록번호 변경 제도를 시행한다고 밝혔다. 주민등록번호 변경 제도는 지난해 5월 주민등록법 개정안 통과후 1년간 시행령 개정 등 절차가 마무리되면서 본격 시행됐다.

30일부터 시행된 유출된 주민등록번호 변경 절차 (자료=행정자치부)

주민등록번호 변경은 주민등록번호 유출로 생명과 신체, 재산, 금융사기, 성폭력 등의 피해를 입었거나 피해가 우려되는 사람에 한해서 가능하다. 주민등록번호 변경을 원하는 이는 주민번호가 유출됐다는 입증자료를 첨부해 주민등록지의 읍·면·동 주민센터에서 변경을 신청할 수 있다. 신청을 하게 되면 행정자치부가 운영하는 주민등록번호 변경위원회 심의를 거쳐 변경 여부가 결정되게 된다. 단, ▲범죄경력 은폐 ▲법령상 의무 회피 ▲수사나 재판 방해 목적 ▲선량한 풍속 위반 등의 목적일 경우 신청이 거부된다.

보안업계는 행정자치부의 이같은 제도는 개인정보유출로 인해 피해를 입은 개인을 추가 피해 가능성으로부터 구제할 수 있다는 점에서 긍정적이라고 평가했다. 다만, 변경한 주민등록번호 역시 개인정보보호 조치가 이뤄지지 않는다면 또다시 주민등록번호가 유출돼 같은 피해를 반복해서 입을 수 있다고 경고했다. 이는 주민등록번호와 같은 개인정보 유출 방지를 위한 대책 마련이 필요하다는 것을 의미한다.

정부의 개인정보보호 조치와 드러난 문제점

행정자치부는 지난 2014년 3월 개정된 개인정보보호법 제24조의2에 따라 올해 1월 1일부터 공공기관과 민간사업자를 대상으로 사용자 주민등록번호는 반드시 암호화해 보관해야 되며, 위반시 3000만원 이하의 과태료가 부과된다고 설명했다. 해당 법률에 따르면 주민등록번호 보관 규모가 100만명 미만의 경우는 올해 1월 1일부터, 100만명 이상의 경우는 내년 1월 1일부터 본격 적용돼 대다수 공공기관과 금융기관, 대다수 인터넷 쇼핑몰 등이 이에 적용받게 된다.

개인정보보호법 상 주민등록번호 등 민감정보 처리에 관한 규정 (자료=행정자치부)

정영수 행정자치부 개인정보보호정책과 사무관은 "지난 2월부터 공공기관을 시작으로 민간사업자까지 주민번호 암호화 적용 여부를 점검 중"이라며 "개인정보보호법 위반사항이 적발된다면 과태료를 부과하는 등 엄격한 행정처분을 실시할 것"이라고 강조했다.

행정자치부의 이같은 방침에 따라 국내 공공기관과 금융기관 등 기존에 주민등록번호를 수집했던 곳에서는 의무적으로 주민등록번호를 암호화해 관리하게 된다. 다만, 이같은 조치가 민감한 개인정보 중 주민등록번호, 여권번호, 개인의료정보 등에 국한됐다는 점에서 한계를 갖고 있다. 특히 최근 숙박업체 '여기어때'의 경우 개인정보보호법의 제한을 받는 민감한 개인정보 범주에 포함되지 않는 전화번호, 이메일주소, 신용카드 정보 등 99만건에 달하는 회원 개인정보가 해킹으로 유출돼 피해가 발생한바 있다.

또한 정부가 최소한의 정보보호 상태를 공인해주는 정보보호관리체계(ISMS) 인증과 동일하게 위반사항이 적발되더라도 과태료가 3000만원에 불과해 기업들이 개인정보보호에 대한 적극적인 움직임을 취하지 않는 점이 문제로 제기됐다.

민간 보안업계는 암호화 솔루션을 통해 개인정보보호 대책 마련 중

민간 보안업계에서는 개인정보를 모두 암호화 하는 방식으로 개인정보유출에 대한 대비를 하고 있는 것으로 나타났다. 한인수 펜타시큐리티 이사는 "개인정보유출 피해를 막기 위해서 공공기관과 민간기업들이 보유한 개인정보를 완벽히 암호화 처리·관리를 했다면 설사 개인정보가 외부로 유출되더라도 복호화키가 없다면 해당 개인정보를 절대 볼 수 없다"라며 "개인정보를 보유하고 있는 기업들은 기본적인 웹방화벽과 함께 개인정보 암호화 솔루션을 통해 외부 침입과 유출 방지 대책을 모두 마련해야 한다"고 강조했다.

펜타시큐리티의 개인정보 암호화 솔루션 '디아모' 의 구조 (자료=펜타시큐리티)

정보보안업체 펜타시큐리티는 데이터 암호화 솔루션 '디아모'를 통해 기업내 개인정보를 비롯한 기업의 중요 데이터를 클라우드, 온프레미스 등 기업의 운영환경에 최적화한 데이터베이스(DB) 암호화 처리가 가능하다. 또한 지란지교소프트의 'PC필터'는 PC내 개인정보가 포함된 문서를 검색·탐지해 개인정보보호법의 개인정보 암호화 기준을 만족한다. 이밖에도 파수닷컴의 'PII 매니저', 이지서티의 'U-프라이버시 세이퍼' 등 개인정보 암호화와 관련된 다양한 솔루션들이 존재한다.

한인수 펜타시큐리티 이사는 "현재 공공기관과 민간기업들이 정부가 요구하는 개인정보보호 수준을 만족하기 위해 암호화 솔루션 도입을 서두르고 있는 상황"이라고 전했다.

보이스피싱 등 개인정보 유출로 피해를 입었거나 그럴 가능성이 있는 국민에 대해 주민번호 변경이 가능해 졌다. 다만 주민번호 변경이 이러한 유출 피해의 근본적 대책이 아닌 만큼 정부와 업계가 나서 그 대응책을 마련 중이다. (사진=픽사베이)

개인정보 유출 방지를 위해 아이핀 활성화 대책도 나와

KISA와 한국방송통신위원회는 주민번호 사용을 줄여 개인정보 유출을 막기 위한 조치로 '민간 아이핀' 활성화에 적극 나설 계획이다. 특히 아이핀의 경우에도 부정도용 우려가 크다는 지적에 따라 아이핀 발급 후 매년 아이핀 유효 기간을 갱신하도록 내달부터 기준을 강화할 예정이다. 또한 안정성 강화를 위해 2차 인증을 의무화하는 방안도 고려 중으로 전해졌다.

KISA 관계자는 "개인정보보호를 위해 아이핀의 안정성 강화와 더불어 통신사와 연계한 모바일 앱을 통한 간편인증 도입을 통해 사용자 편의성도 높일 것"이라고 말했다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지

관련기사