개인정보 유출이다 뭐다 말이 많다.
그래서 그것과 관련해서 경찰서에서 연락이 오기도 했었다.(잘 해결이 되었다.)

포털사이트를 비롯해 대형사이트들에서 보통 실명인증이라는 개인의 본인확인을 한다.
그런데, 이 실명인증, 본인확인이 개인정보보호를 더욱 어렵게 만든다.

그에 대해서 설명을 하고자 한다.
그 이유의 핵심을 말하자면, 바로 '개인정보를 개별사이트가 저장해야 한다' 는 것이다.

실명인증을 위해 이름과 주민번호를 입력하게 한다.
실명인증을 해주는 신용기관(?)에서 인증모듈을 구성을 보면 이렇다.

1) 개별사이트에서 이름과 주민번호를 받는다.
2) 그 주민번호를 인증모듈을 통해 실명인증기관에 보낸다.
3) 실명인증기관은 그 정보로 실명인지 아닌지 확인한다.
4) 그 결과값을 개별사이트에 보낸다.

크게 이런 절차로 진행이 된다.
그런데, 그 결과값이 문제가 된다.
보통 결과값은 이렇다.

1 : 본인 맞음
2 : 본인 아님
3 : 자료없음.
4 : 시스템 장애
5 : 주민번호 오류
6 : ...
....

그냥 보면 별 문제가 없어 보인다.

그런데, 저런식의 결과값은 개별사이트들이  실명인증을 하는 개인의 정보를 가지고 있을 수 밖에 없도록 만든다.

자! 한번 생각해 보자.
어떤 사고,문제가 발생하는 경우 사건담당자(경찰등..) 보통 게시물을 누가 작성했는지 알아보려 개별사이트에 문의가 가게 된다. 그러면 개별사이트에서는 해당 게시물을 누가 작성했는지 이름과 주민번호를 알려줘야 한다는 것이다. 당연히 개인정보를 저장하고 있어야 하는 것이다.
현재의 실명인증방식은  개별사이트로 개인정보를 분산저장시켜 개인정보 보호를 더욱 어렵게 만든다. 본인확인을 위해 어쩔 수 없지 않느냐 하겠지만, 방법이 있다.(물론 이 방법도 완전한 방법은 아니다.)

방법은 저 실명인증기관에서 보내는 결과값을 유일키/고유값(Primary Key)으로 보내주면 된다. 무슨말이냐. 저 고유값으로 실명인증기관에서는 어떤 사이트에서 누구의 요청이 있었는지 기록할 수 있다는 것이다.(이미 그런 기록을 하고 있다) 단지 결과값으로 그 고유값을 개별사이트에 보내주지 않는 것이다(실명인증 기관을 모두 확인한 것이 아니라 보내주는 곳도 있을지도 모르겠다)
그렇게 고유값을 결과값으로 보내주면, 개별사이트는 그 고유값만 저장하면 끝이다. 개인정보를 굳이 저장할 필요가 없다는 것이다. 수사기관에서 연락이 와도 해당 실명인증기관에 알아보라고 넘길 수 있게 되는 것이다.

작은 차이지만, 그나마 개인정보보호 측면에서는 조금이라도 이점이 있다고 본다.

지금의 실명인증은 개인정보보호를 더욱 어렵게 만든다.
충분히 바꿀 수 있으니 빨리 바꾸어주길 바란다.

이쪽 업계에 있다보니 이런일도 있군요.

그동안 개인정보유출은 뒤에서 쉬쉬했었다.
그런데, 대형사고들이 연달아 터지고 있다. 그로인해 피해자들이 법적소송을 벌이기도 한다. 옥션, 하나로텔레콤 관련 사건은 소송관련 카페가 만들어져, 현재 소송이 진행되고 있다. 이번 GS칼덱스 사건도 규모가 너무커서 소송이 진행될 듯 하다.

그동안 어떤 유출사례가 있었을까? 규모상 컸던 옥션해킹 사건부터 정리해본다.

# 옥션해킹사건
겉으로 드러난 사건중 가장 큰 사례일 듯 하다. 1000만명 넘는 사용자의 개인정보유출.
중국으로 추정되는 해커에 의한 정보유출, 유출된후 비교적 적극적인 방법으로 대처를 했다. 그러나 유출된 후 어떤 피해가 있을지 알 수 없다. 그 만큼 주민번호등은 너무나 많은 일을 할 수 있다.(모든 것을 할 수 있는 만능키가 된다)


# LGT CP사에 의한 유출
LGT가 CP 에게 정보열람권한을 너무 많이주었고, 허술하게 관리하여 발생하게 된 일.
그런데, LGT 는 사과보다는 유출사건을 발견하여, 실수로 외부에 노출시킨 개발자에게 모든 책임을 물으려는 모습을 보임. 유출건수는 적지만, 책임자의 책임회피를 볼 수 있었던 사건이다.


# 하나로텔레콤 운영진에 의한 텔레마케팅 무단 판매사건
가장 악질적이다. 개인정보를 자신들의 재산인듯 팔아버린 사건이다. 다른 사건이 의도적이지 않은 사고에 의한 것이라면 이것은 범죄에 해당한다.


# GS칼텍스 개인정보CD유출
1100만명. 옥션과 더불어 최대규모이다.
아직 정확히 밝혀지지는 않았지만, GS칼덱스 일 가능성이 많아 보인다.
(GS칼텍스 관계자의 인터뷰?도 있는 듯 하니, 거의 확실해 보인다.)
개인정보관리에 대해 얼마나 무개념인지 알 수 있다.


기타 자잘한 유출건은 언급하지 않았다.


지금까지 일어난 사건들로 인해, 온라인에서 활동하는 사람들의 대부분의 개인정보가 유출되었다고 봐도 무방할 듯 싶다. 유출을 기정사실화하고 그 유출된 정보로 인한 피해를 줄이기 위한 정책을 수립해야 한다.
지금에 와서 개인정보유출방지는 쌩뚱맞다. 소 다 잃어버리고, 아무것도 없는 외양간 고쳐봐야 뭐하겠느냐. 잃어버린 소를 찾던가, 잃어버린 내 소를 가져다 파는 일이 없도록 해야하지 않는가?
즉, 제 2의 피해가 없도록, 주민번호의 만능키같은 기능을 축소시켜야 한다. 심하게는 주민번호체계를 새로 정하는 방법이라도 써야 할 판이다. (개인적으로는 주민번호를 기본키로 하는 웹서비스는 새로 가입하지 않고 있다.)