나도, 또, 털렸다
부들부들 떨리는 손가락으로 구구절절이 또다시 개인정보를 타이핑하는 가운데 ‘공. 인. 인. 증. 서.’라는 저 다섯글자를 보는 순간 다시 한 번 깊숙이 빡침을 느끼면서도, 기도했다.
설마, 아니겠지…
그러나 여지없이 아래와 같이 나도 털렸다. 1700만 명(법인, 사망자, 탈퇴자, 일부 중복 포함)이 털렸다는 데 내 개인정보는 안 털리길 바랐던 건 지나친 욕심이었던 걸까. 대학교 신입생 때부터 계속 거래해왔던 주거래은행이 설마 내 발등에 도끼를 찍진 않겠지 하고 믿었던 건 무리한 기대였던 걸까.
예외 없이, 나는 또다시 호갱님이 됐다. 이미 우리 국민의 개인정보는 인터넷 실명제, 공인인증서 의무사용제 등을 통해서 오래전에 전 세계인의 공공재가 된 것 같지만, 다시 한 번 나의 소중한 ‘개인정보’가 털렸다는 것에 대해서 분노를 금하기는 어려웠다.
(아래 캡쳐를 잘 보면 ‘소중한 정보유출’이라고 되어 있다. 급한 건 알지만, 이런 사과문을 작성할 때는 중의적 해석이 될 수 있는 부분에 대해서는 좀 더 신중하게 작성했으면 좋았을 것이다.)
속죄의 대가가 무료 문자 서비스라고?
사건 수사 진행 결과에 따르면 카드 위변조 및 복제에 의한 부정 사용 여지는 없다고 하지만, 금융 범죄가 그것뿐이냐. 요즘 가장 빈번한 게 보이스피싱, 대출사기인데, 한동안 주변의 전화통에 불이 나게 생겼다.
더 거품을 물게 하는 건 참으로 훌륭한, 그래도 국내의 대표적 시중은행이라고 하는 업체들의 ‘위기 관리’(crisis management) 능력이다. 속죄의 차원에서 월 ’300원’하는 결제 내역 문자 서비스를 ‘무료’로 해주겠다니… 이게 그냥 기자 회견하고, 고개 숙이고, 월 300원씩만 주면 될 정도의 일인가.
개인정보가 털리면, 추가적으로 털릴 게 더 많다. 개인정보 그거 털려도 별 거 아니지 않나하는 사람도 있는데, 나만 해도 털린 개인정보가 이름, 이메일, 휴대전화, 직장전화, 자택전화, ‘주민번호’, 자택주소, 주거상황, 결제계좌, 결제일이 다 포함된다. 이 정도면, 다른 내 계정을 털어서 나의 더 소중한 정보들을 갈퀴로 긁어 담기에 충분하다. 나의 개인정보가 월 300원짜리였던가. 요즘엔 생수 한 병도 그것보단 비싸다.
고대 함무라비 법전에서는 건물이 무너져서 사람이 죽으면 그 건물을 지은 사람을 사형에 처했다. 그 건물을 사는 사람의 아들이 죽으면, 건축한 사람의 아들을 사형에 처했다. 로마에서는 다리를 지으면, 다리를 짓는 사람들은 그 다리가 완공될 때까지 그 밑에서 자야 했다. 눈에는 눈, 이에는 이. 자기가 한 일에는 책임을 지는 것이 정의고, 그렇게 해야만 일이 책임 있게 이뤄진다고 본 것이다.
월 300원짜리 서비스를 무료로 주는 게 그렇게 책임을 지는 것인가? 내가 보기엔 생색내기 그 이상도, 그 이하도 아니다. 무성의한 사과는 화만 더 돋울 뿐이다. (그리고 사실 이 서비스는 애초에 무료로 해야 했지 않나 싶다.)
잇다른 개인정보유출, 예고된 사고다.
그러나 사실 정말 깊이 화가 나는 건 이게 예고된 사고라는 것이다. 대량 개인정보 유출은 처음 있는 일도 아니고, 계속 반복됐다. 즉, 일이 이렇게 될 걸 많은 사람들이 알고, 경고했었다.
그렇게 생각하면, 이번 문제를 일으킨 은행들에만 그 책임이 있지 않다. 이들이 이렇게 무성의하게 금융 보안을 하고, 또한 무책임하게 대응할 수 있는 인센티브 구조를 만들어낸 정부도 책임을 져야 한다.
이는 한국 금융 보안의 핵심인 ‘공인인증서’ 의무 사용 문제를 짚지 않을 수 없게 만든다. 인터넷에서 사소한 결제 하나 하려 해도 정체를 알 수 없는 각종 플러그인을 설치해야 하고, 공인인증서가 특정 운영체제 아래서만 작동하기 때문에 이용자의 선택권도 제한하는 그 문제의 보안 시스템 말이다.
공인인증서가 대한민국 국민의 온라인 화병의 근원이 되고 있음에도, 정부와 업계가 이를 의무적으로 써야 한다고 한 이유는 단순하다. 그렇게 하면 안전하다는 것이다. 그러나 안전하긴, 뭐가 안전한가? 이렇게 계속 털리는데.
사실, 안전하지 않은 이유는 분명히 존재한다. 공인인증서 의무 사용은 ‘고객’보다는 ‘금융기관’을 위한 것이기 때문이다. 금융기관은 공인인증서 설치만 강제하면, 전자금융거래법, 전자서명법 등이 정한 보안 요건을 만족하는 것이기 때문에 추가적인 보안 투자를 할 필요가 없다.
나아가, 공인인증서는 설치한 사람, 즉 고객 혹은 이용자가 보안 책임을 갖게 된다. 구글, 아마존 등 해외 온라인 서비스에서 보통 사용하는 표준 보안 방식은 웹사이트와 인증 기관이 공조해 보안을 한다. 따라서 보안 책임은 개인정보를 갖고 있는 사이트, 기관에 있다. 그러나 공인인증서 혹은 전자인감의 한 종류는 보안이 개인이 사용하는 컴퓨터를 통해 이뤄진다. 그러니 키보드 보안 등등 위한 정체를 알 수 없는 각종 플러그인을 설치해 이 복제 가능, 도난 확인 불가능한 전자인감을 지켜야 하는 것인데, 그렇게 하고 있으면 뭔가 제대로 보안이 되는 것처럼 느끼겠지만, 실상은 금융기관이 보안 책임을 지지 않을 빌미를 주는 것이다.
즉, 공인인증서 의무 사용이란 룰만 따르면, 보안 투자를 하지 않아도 되고, 보안에 책임도 지지 않아도 된다. 그런데 왜 손익을 따지는 금융기관이 왜 굳이 이 게임의 룰을 바꾸겠는가. 소비자들이 아무리 불편하다고 짜증을 내도, 대량 개인정보 유출이 잇달아도, 정부는 혼내는 척하고, 문제의 원인은 그대로다. 금융기관은 사과하는 척만 하면 그만이다. 그런 일들이 지난 수 년 동안 계속 반복됐었고, 이번에 또 일어났다. 함무라비의 법전과는 정반대다. 우리의 온라인 금융 보안 관련 법률은 건물이 무너져도, 건축자가 책임을 지지 않도록 면제해주고, 보호해주고 있다.
또한, 개인정보 유출에 대한 피해보상의 수준이 미약한 것도 큰 원인이다. 동전 털어서 보상하겠단 얘기가 나오는 건, 이게 별문제가 안 된다고 생각하기 때문이다. 그럼, 왜 별문제가 안 된다고 생각하는가? 고객님의 소중한 개인정보는 ’300원’이라고 말할 수 있는 전례가 있기 때문이다.
기술문화연구소 류한석 소장이 주간경향 칼럼에 이전에 기고했던 것처럼, 국내의 대표적 온라인 상거래 회사인 옥션은 2008년 이번보다 규모가 큰 1,800만 개인정보를 유출했다. 그렇지만, 법원은 기업이 ‘보안에 충분한 주의를 기울였으므로’(앞서, 현행법이 이 말을 얼마나 모순되게 만들었는지에 대해 설명했다.) 배상 책임이 없다고 판결을 내렸다. 더 가까이, 지난 2011년 네이트, 싸이월드의 개인정보가 해킹돼, 3,500만 명의 개인정보가 유출됐지만, 역시 법원은 기업에 아무런 책임이 없다고 판결을 내렸다. 이번에 피해를 일으킨 기업들도 ‘피해’가 확인이 되면 ‘배상’을 한다고 말은 하지만, 300원 이상 어떤 배상을 더 할 지는 불명확하다.
그러니 이번 사건에 대한 기업 측의 미온한 대응에 화는 나도, 놀랄 건 없다. 대량 개인정보 유출 사태가 발생해도, 기업이 피해보상 책임을 져본 전적이 별로 없는데, 어느 누가 총대를 메고 금융 보안을 위해 투자를 하겠는가. 더구나, 현행법이 그렇지 않아도 되도록, 기꺼이 도와주고 있는데.
그것이 이번 사건에 대한 반응이 짜증과 분노만으로 부족한 이유다. 공인인증서의 운명이 결정되려면 2015년까지 기다려야 한다고 한다. 굳이, 또 한 번 더 털릴 이유가 있을까. 올해 당장 전면 검토가 필요하다. 2015년은 너무 멀다. 당장 올해 안에도, 내년에도 이와 비슷한 일이 터질 수 있다. 이것도 해결하지 못하면서 정부가 창조경제를 하겠다는 건 신뢰하기 어렵다.
공인인증서를 ‘폐지’해달라는 건 아니다. 공인인증서가 ‘절대악’임을 강조하기 위함이 아니라, 공인인증서를 강제하는 시스템의 모순과 비용을 지적하고자 한 것이다. 적어도 이제는 ‘의무’란 단어는 빼서 금융기관들이 스스로 ‘선택’할 수 있게 해주고, 경쟁을 통해 다양한 보안 서비스들이 등장해, 국내 금융 보안 시장이 활성화되기를 바라는 것이다.
함무라비 때만이 아니다. 도덕적 해이의 방지 측면에서 오늘날에도 건물을 무너지게 한 사람이 건물이 무너졌을 때 책임을 지게 해야 그 건물이 안전하다. 금융기관들이 지켜야 할 것은 ‘공인인증서’가 아니라 ‘개인정보’다. 그리고 그럴 수 있는 법적, 제도적 인센티브를 만드는 건 정부 당국자의 책임이다.
덧1. 이 주제에 대해 더 관심이 있는 사람들은 디지털 권리 단체인 오픈넷에서 공개한 다음 자료를 참조하길 바란다.
덧2. 공인인증서 발급 업체 중 하나인 한국정보인증은 올해 초 상장했다. 그 말 많은 샾메일도 여기서 만든다.
woolrich outletTrue Religion Apparel Q3 2009 Earnings Call Transcript
