오피니언 단독

19일 발급 '개인 안심번호', 고교생 해커가 재능기부

중앙일보

입력

업데이트

지면보기

장세정 기자 중앙일보 논설위원

윤종인 개인정보보호위원장은 3일 인터뷰에서 코로나19 방역 와중에 개인정보 유출을 막기 위해 19일부터는 모든 국민에게 휴대전화 번호 대신 '개인 안심번호'를 발급한다고 밝혔다. 김상선 기자

코로나19 방역을 위해 공공기관·식당·학교 등 각종 시설에 출입할 때 의무적으로 남겨야 했던 전화번호 수기(手記) 제도가 오는 19일부터 특정인의 개인정보가 드러나지 않는 '개인 안심번호'로 대체된다. 숫자 네 개와 한글 두 글자를 조합한 6자리 안심번호가 모든 국민에게 하나씩 발급된다.
지난해 6월부터 카카오톡·네이버·패스 등 3사가 전자출입명부(QR코드)를 발급했지만, QR코드를 사용하지 않고 전화번호를 여전히 손으로 적는 경우 개인정보 유출과 악용 우려가 제기된 데 따른 개선 대책이다.
윤종인(57) 개인정보보호 위원장은 3일 중앙일보 인터뷰에서 "기존 QR코드에다 전화번호를 코드로 전환한 안심번호를 병행 사용하면 코로나 방역 와중에 개인정보 유출 우려는 대부분 잠재울 수 있을 것"이라고 말했다. 2011년 대통령 소속 합의제 기구로 출범한 위원회는 지난해 8월 총리 소속 장관급 중앙 행정기관으로 격상됐다. 독자적인 법령 제정과 개정권, 예산 및 인사권을 확보해 위상이 크게 높아졌다. 그만큼 전 국민의 관심사인 개인 정보 보호와 산업적 활용이라는 두 마리 토끼를 잡는 숙제도 커진 셈이다. 취임 6개월을 맞은 윤 위원장은 "명실상부한 개인정보 컨트롤 타워로서 국민의 개인정보를 확실히 보호하면서도 기업의 안전한 데이터 활용을 지원하겠다"고 말했다.
-코로나 방역에 협조한 국민이 개인정보 유출에 대한 우려를 많이 한다.
"위원회는 코로나 대응 과정에서 필요 최소한으로 정보를 수집하고 수집 목적을 달성하면 폐기돼야 한다는 기본 원칙에 따라 방역 당국과 협의하고 있다. 전체적인 점검이 끝나면 결과를 발표할 것이다."
-요즘 난데없이 홍보 전화나 판촉 문자가 날아온다.
"질병관리청이 주도해 코로나 1차 대유행이 한창이던 지난해 3월 22일부터 위험시설 출입자 명단을 작성하도록 했다. 처음엔 손으로 적는 수기 방식이었으나 6월 1일부터 QR코드가 도입돼 수기와 병행 사용해왔다. 지난해 8월 위원회 출범 이후 이름 표기에 따른 개인정보 유출 우려가 제기돼 9월 11일부터 이름을 빼고 거주지를 시·군·구 단위로 표시하도록 했다. 그런데 여전히 휴대전화를 기록하는 데 따른 불안감을 없애기 위해 19일부터는 전화번호를 대체할 안심번호를 발급하는 것이다. 숫자 4개와 받침 없는 한글 2글자를 조합한 6자리 번호다. 예를 들어 '12가34나'나 12또34코'가 가능하다. 이렇게 조합하면 최대 1억 2000 만개 번호가 나온다. 코로나가 종식될 때까지 안심번호가 전화번호를 대체하게 된다. 수기 명부를 거짓으로 작성해 방역에 차질이 생기는 현상도 막을 수 있을 것이다."

정은경 질병관리청장이 코로나19 방역 상황을 브리핑 하고 있는 모습.

-코로나 사태 1년이 지났는데 안심번호 대책이 왜 이렇게 늦게 나왔나.
"늦은 것이 아니다. QR코드 사용을 기피하는 분들이 전화번호를 손으로 적었는데 그에 따른 마지막 불안감을 없애기 위해 추가 대책을 낸 것이다. 지난해 11월부터 대안 연구에 착수했고, 보안전문업체가 안심번호 개발에 참여했다. 그 과정에서 민간 화이트 해커 모임('코드 포 코리아')을 해온 한 고교생이 휴대전화를 안심번호로 바꾸는 코드 전환 아이디어를 재능 기부했다. 휴대전화는 통신사들이, 안심번호는 QR코드 발급 3사가, 출입 정보는 정부(보건복지부 산하 사회보장정보원)가 분산 관리한다. 데이터는 분산될수록 안전성이 강화된다."
-QR코드는 개인정보 유출 우려가 전혀 없나.
"이용자 정보(QR코드 발급기관)와 시설 출입 정보(사회보장정보원)가 시스템적으로 분리돼 있다. 확진자가 나와서 역학조사의 필요성이 있을 때만 두 기관이 개인정보를 결합해 쓰고 4주 후에는 자동 파기되기 때문에 유출되거나 악용될 우려가 없다. 코로나 사태 장기화에 따라 비대면 서비스를 많이 이용하는데 통신대리점, 오픈마켓, 배달 앱, 택배, 인터넷 광고 등 5대 민생 분야에 대해 개인정보 보호 실태를 집중 점검 중이다."
-개인정보를 보호하면서 동시에 활용한다는 것은 모순 아닌가.
"세상이 디지털 경제 시대로 전환하면서 상당수의 부가가치가 데이터로부터 생겨난다. 데이터의 75%는 개인정보다. 활용이 불가피한데 개인정보가 어떻게 보호되면서 활용될 것인지에 관해서 아직 국내외에서 정확한 솔루션이 없다. 활용할 수밖에 없지만 보호하지 않을 수도 없다. 보호와 활용을 상충하는 것으로 보는 것이 문제다. 자동차가 빨리 달릴 수 있는 이유는 브레이크가 있기 때문이다. 브레이크 없이 자동차는 빨리 못 달린다. 우리가 개인정보를 잘 보호하지 못하면 활용도 잘할 수 없다. 기업들은 아주 뼈저리게 느끼고 있다. "
-기업의 생생한 사례를 든다면.
"미국의 애플이 아이폰을 팔면서 프라이버시 보호를 마케팅 전략으로 사용하기 시작했다. 애플 생태계인 앱스토어에 들어오는 앱 개발자들은 그 앱이 어떠한 개인정보를 추적하는지를 밝히고 사용자의 동의를 받아야 한다. 애플이 개인정보 보호를 마케팅 우위 전략으로 쓰면서 그동안 개인정보를 이용해서 광고에 활용해온 페이스북의 매출 구조가 타격을 받자 두 회사가 전쟁하고 있다."

애플 팀 쿡 CEO는 이용자 개인정보 보호를 기업의 마케팅 전략으로 활용하고 있다. [애플TV+]

-국내 기업들에 주는 시사점은.
"위원회가 조사하고 있는 인공지능(AI) 챗봇 '이루다' 논란도 마찬가지다. 제2의 이루다 사태를 막으려면 AI든 신기술 개발 단계에서 개인정보 보호 절차를 반드시 거쳐야 한다. 기업이 보호와 활용이 상충한다고 여기면 앞으로 한 발짝도 나아갈 수 없다. 어떻게 개인정보를 더 잘 보호해서 더 많은 사용자의 신뢰를 얻고 더 많은 데이터를 쓸 수 있도록 허락받을 수 있을지를 고민해야 한다. 그런 기업이 더 많은 데이터를 가지고 더 많은 서비스를 만들 수 있는 세상이 왔다."
-위반 기업에 대한 처벌이 약하다는 지적이 있다.
"누구든 수집한 정보를 다른 목적으로 이용할 경우 개인정보보호법에 따라 최고 징역 5년, 벌금 5000만원에 처할 수 있다. 페이스북의 경우, 로그인하면 내 정보뿐 아니라 친구의 동의도 없이 친구 정보까지 앱으로 넘어가서 67억원(약 600만 달러)의 과징금으로 부과했다. 위원회가 확인한 피해자만 300만명이다. 우리는 관련 매출액의 3%가 과징금 상한인데, 외국은 전체 매출액의 4%를 물린다. 개인정보보호법 2차 개정할 때 손질할 방침이다."
-개인정보 유출로 피해를 봐도 구제받기가 힘들다.
"피해자들은 집단소송을 하거나 개인정보보호법에 따르면 분쟁 조정 절차를 밟을 수도 있다. 다만 피해자에게 분쟁조정을 신청하면 공공기관은 의무적으로 따라야 하는데 민간기업은 예외여서 법을 개정할 방침이다."

2018년 4월 마크 저커버그 페이스북 CEO가 미국 CNN방송 인터뷰에서 페이스북 이용자 정보유출 사태에 대해 사과하며 "의회 증언도 기꺼이 하겠다"고 말하고 있다. [CNN 캡처]

-신기술의 진보 속도보다 정책이 한 박자 늦다.
"신기술이 빠르게 발달하는 분야에서 늦지 않게 각종 기준이나 준칙을 조속히 마련해 제공하려 한다. 그래야 기업들의 불확실성을 제거해 줄 수 있다. 사실 신기술 분야에 대응한 개인정보보호 기술의 연구개발(R&D)이 아직 부족해 대책을 고민 중이다."
-고 박원순 전 서울시장의 성범죄 피해자의 실명을 공개한 사건은 위원회가 다루지 않나.
"노출 또는 유출한 사람이 법이 정한 개인정보 처리자인지가 중요한 판단 기준이다. 다만 우연히 알게 된 개인정보를 일회성으로 유출한 경우라면 개인정보보호법의 소관 범위를 벗어난다. 민·형사상 명예훼손을 다툴 문제다."
-디지털 공간에서의 잊힐 권리를 호소하는 목소리도 크다.
"한국인터넷진흥원(KISA)이 개인들의 계정 정보가 '다크 웹'에 유출돼 거래에 이용되는지를 확인할 수 있는 서비스를 11월부터 제공할 예정이다. 다만 표현의 자유에 상충하는 경우 개인정보를 위원회가 임의로 지우기에 한계가 있을 수 있다."
-국민의 개인정보 보호 욕구는 커지는데 헌법에는 개인정보보호권 명문 규정이 없다.
"헌법재판소가 2005년 헌법 제10조(존엄과 행복 추구권)와 제17조(사생활의 비밀과 자유권)에 근거해 개인정보 보호를 '개인정보 자기결정권'이란 이름의 헌법상 권리로 인정했다. 헌재 판례는 적극적 의미의 개인정보 보호로 봐야 한다."
-위원회의 정치적 중립성과 독립성 장치는 충분한가.
"9명의 위원 중 위원장과 부위원장이 상임위원이고 7명은 비상임 위원이다. 임기 3년을 법으로 보장해 정치적 독립성을 확보하고 있다. 정당 추천 위원 5명 중 3명이 야당 몫이다. 개인 정보 침해 사건에 대한 조사 처분 등에 대해 총리의 행정 감독권을 배제해 독립적인 일 처리가 가능하다. "
-조지 오웰의 『1984』가 현실이 될 거란 우려도 있다.
"데이터가 쉽게 수집 및 처리되고, '네트워크 효과'에 의해 더 많이 모여 오·남용됐을 때 민주주의가 파괴되거나 감시사회가 올 거라는 우려가 있다. 개인의 사생활을 충분히 보호하면서 발전할 수 있는 새로운 경로를 발견하는 것이 빅데이터 시대에 큰 과제다."