[비즈니스포스트] 이미 해커 손에 넘어간 SK텔레콤 가입자 개인정보는?
 
'사상 최악'으로 꼽히는 SK텔레콤 통신망 서버(컴퓨터) 해킹 및 가입자 개인정보 유출 사태에 대한 정부·정치권과 회사 쪽 대응을 지켜보면서 드는 의문 가운데 하나이다.

과학기술정보통신부 민관합동조사반·비상대응반과 개인정보보호위원회는 물론이고 국회 과학기술정보방송통신위원회와 SK텔레콤 쪽 모두 어디를 얼마나 뚫렸고(악성코드가 얼마나 광범위하게 심겨졌고), 이를 통해 가입자들의 개인정보가 얼마나 털렸으며, 기술적 안전조치가 얼마나 소홀했고, 재발 방지를 위해서는 어떻게 해야 하는지 등에는 관심을 가지면서 이미 해커 손에 들어간 SK텔레콤 가입자 개인정보를 어떻게 할 것인지에 대해서는 눈길조차 주지 않고 있다.

개인정보 유출 피해를 당한 당사자(SK텔레콤 가입자)들 역시 사업자 쪽의 '성의 없는' 사후 대책 남발과 '바닥 수준' 위기 대처 능력을 질타하고, 번호이동 중도해지 위약금 면제와 정신적 피해에 대한 손해배상 등 '눈 앞의 것'에만 관심을 나타낸다.

해커 손에 들어간 자신의 개인정보가 어떤 목적으로 오용될지, 정부는 왜 유출된 정보를 못쓰게 하는 방안을 마련하지 않는지 등에 대해서는 아무런 관심과 요구도 하지 않고 있다.

이전에 KT·LG유플러스 등 다른 통신사와 플랫폼 사업자들이 뚫렸을 때도 마찬가지였다. 

개인정보는 정보 주체의 정체성과 사생활 정보까지 담고 있다. SK텔레콤 해킹 및 개인정보 유출 사태를 정보 주체인 가입자 쪽에서 보면, 자신의 정체성과 사생활 정보가 해커 손에 들어간 꼴이다. 당연히 해커 손에 들어간 정보를 무력화하는 조처가 있어야 한다.

개인정보는 정보 주체의 본인 여부 확인 수단으로도 쓰인다. 최근에는 외국 해커 집단이 해킹을 통해 빼낸 우리나라 국민 개인정보를 그 나라 정부기관에 판다는 의혹도 제기된 바 있다.

하지만 어찌 된 연유인지 정부와 정치권은 물론이고 해당 사업자까지도 빠져나간 개인정보의 오용 가능성에 대해서는 눈을 감고 있다. 유독 개인정보 유출 대목을 설명할 때만 '가능성' 내지 '추정'이란 전제를 달기도 한다.

왜 그럴까.

9일 학계 전문가들의 말을 종합하면, 우선 해킹 및 개인정보 유출 사태 뒷수습을 하는 민관합동조사단과 비상대응반 등에 '정보보호 전문가'들만 참여할 뿐 '데이터 전문가'는 들이지 않아서다.

이 때문에 해킹 및 개인정보 유출 사고 발생 때마다 개인정보가 어떤 경로로 얼마나 빠져나갔고, 어떻게 하면 추가 유출을 막을 수 있을지 등에만 관심을 둘 뿐, 이미 빠져나간 개인정보를 어떻게 못쓰게 조처할 것인지는 '관할' 밖으로 여긴다.

문송천 한국과학기술원(카이스트) 명예교수는 "주민번호와 연계정보(CI)를 바꿀 수 있게 해, 유출된 개인정보가 정보 주체와 연결되지 못하도록 끊는 조처가 필요한데 아무도 이 지점을 보려고 하지 않고 있다"고 짚었다.

문 교수는 이어 "유출된 개인정보와 정보 주체를 연결하는 '마스터 키' 구실을 하는 주민번호 제도를 손보자고 해야 하는데, 행정안전부 눈치를 보느라 입도 벙긋 못하고 있다. 해킹 사건 사후 대책을 논의하는 비상대책반 등에 데이터 전문가를 참여시켜 유출된 개인정보를 무력화하는 방안도 함께 논의되도록 해야 한다"고 덧붙였다.  

문 교수는 또 "2010년 이후 해킹으로 유출됐다고 언론에 보도된 것만 더해도 1억 건이 넘는다. 우리나라 국민 대다수의 개인정보가 털렸다고 봐야 한다"며 "그동안 정부 당국이 내놓은 대책은 모두 헛탕이다.

대표적인 게 암호화다. 소 잃고 외양간 고치는 격이다. 소 다 도둑맞은 뒤에 철책을 설치하고 빗장을 걸어 도둑놈이 침입하지 못하게 한들 무슨 소용이 있냐"고 꼬집었다.

해킹 사태 사후 대책에 이미 빠져나간 개인정보를 무력화하는 방안까지 포함시키면 '견적'이 너무 커진다는 이유도 달린다.
  사실 이미 빠져나간 개인정보의 가치를 무력화시키는 방안은 정보 주체와 연결되는 지점을 끊는 것이다. 아무리 가치가 높은 개인정보라도 정보 주체와 연결되지 못하면 통계 데이터에 불과하다.

우리나라에서 유출돼 돌아다니는 개인정보와 정보 주체의 관계를 끊는 방법은 국민 개인마다 부여된 주민번호와 연계정보(CI·주민번호를 기반으로 만들어진 새 식별번호)를 없애거나 정보 주체로 하여금 바꿀 수 있게 하는 것이다. 휴대전화번호 유출로 텔레마케팅에 시달릴 때 전화번호를 바꿔 벗어나게 하는 것과 같은 이치다.

인공지능(AI) 기술의 발전과 대중화로 유출된 개인정보를 무력화시켜야 할 필요성은 더욱 커졌다. 인공지능 기술을 이용하면, 불법으로 빼낸 정보를 거래하는 통로로 쓰이는 다크웹 등에 쓰레기처럼 굴러다니는 개인정보 덩어리에서 '금맥'을 찾아낼 수 있다. 사방에 흩어졌거나 버려져 있던 개인정보 조각을 주민번호나 연계정보 뒤에 줄세우고 조각 맞추기를 할 수 있다.

이 과정에서 익명 상태로 놓였던 정보가 정보 주체를 식별 가능한 상태로 바뀔 수도 있다.

문제는 통신사와 금융사들은 물론이고 네이버·카카오·쿠팡 같은 플랫폼 사업자들까지도 주민번호와 연계정보 이용의 편리성과 간편성에 길들여져 있다는 것이다.

주민번호와 연계정보는 전 국민에게 표준화된 형태로 부여돼 있고, 부여받은 쪽에서는 사실상 영구적으로 바꾸지 못한다. 정부는 물론이고 이를 사업자 쪽에서도 관리 비용 대비 효용성이 크다.

이를 쓰지 못하게 하면 사업자별로 별도로 새 가입자(고객) 식별 장치를 마련해야 해 추가 비용을 부담해야 한다. 기존 주민전호와 연계정보를 바꿀 수 있게 할 때도 마찬가지다.

하지만 정보인권을 잣대로 삼으면, 유출된 개인정보의 오용 피해 가능성 대비 품과 비용이 크지 않다는 지적도 나온다.

문송천 교수는 "정부와 사업자 등 주민번호를 지금처럼 계속 쓰려는 쪽은 비용을 엄청 높게 잡는데, 사실 그리 많이 들지 않고, 시간도 많이 걸리지 않는다"며 "이 문제에 관한 한은 정부와 사업자 쪽이 아닌 국민 정보인권 쪽에서 접근하고 방안이 마련돼야 한다"고 강조했다. 김재섭 선임기자