우리나라는 세계가 인정하는 정보기술(IT) 강국으로서 이제는 인공지능(AI) 3대 강국이 되기 위한 국가전략과 비전을 제시하고 있다. 특히 AI는 모든 공공 및 민간분야에 확산되면서, 빅데이터, 클라우드, 사물인터넷(IoT) 등 여러 신기술과 연결돼 융·복합기술로 적용되고 있으며, AI서비스 확대를 위해서는 개인정보를 가명처리해 데이터셋으로 활용할 수 밖에 없다.
그러나 다양한 신기술이 적용되는 만큼 개인정보를 활용하기 때문에 개인정보 침해사고가 우려되고 있는 상황이다. 특히, 개인정보가 개인을 식별하거나 식별가능한 정보로 이름, 주소, 전화번호가 아닌 생체인식정보, 쿠키정보, 연계정보(CI) 등으로 다양한 개인정보가 유출되고 있거나, 정보 유출 가능성을 안고 있다. 그 중에서 최근 연계정보(CI)가 온라인 주민번호로 오해돼 침해사고 발생시 포함된 개인정보 중 CI에 대한 피해우려가 깊어지는 상황이다.
예전 개인정보 침해사고 기사 중 우리나라 국민의 주민등록번호가 중국 웹사이트에 둥둥 떠다닌다는 글을 읽은 적이 있다. 그만큼 개인정보 보호법이 제정될 당시만 하더라도 개인정보 침해사고 중 50%이상 유출된 정보가 주민등록번호를 포함하고 있었다. 이에 정부가 주민번호 대체수단을 지정해 주민번호를 대신해 사용하도록 했으며, 법률상 근거없이 주민번호를 수집하지 못하도록 했다. 이 대체수단은 본인확인기관에서 주민번호 대신 CI/DI값을 통한 본인여부를 확인해 주는 서비스로 제공되게 됐다.
주민번호와 CI와의 차이를 비교해 보면, 주민번호는 대한민국 국민 모두에게 발급하는 13자리 고유번호인 반면, CI는 주민번호를 안전하게 암호화(일방향 해쉬)해 만든 88바이트값이다. 따라서, CI값은 같은 사람에 대한 식별용으로, CI 자체로 주민번호를 역산하는 것은 계산적으로 불가능에 가깝다. 일례로, 사과를 갈아 사과주스를 만들었다가 다시 사과로 되돌릴 수 없는 것처럼, 주민번호를 대체하는 CI값이 온라인 주민번호가 될 수 없다. 이에 대해 생성형 AI서비스인 Grok.com을 통해 주민번호와 CI를 비교한 결과, 안전한 개인정보로의 전환임을 알 수 있다.
좀 더 CI에 대해 이해를 돕자면, CI는 '그 사람이 맞아'라는 식별(Identification)의 수단으로, '그 사람의 행위가 맞아'라는 인증(Authentication) 수단은 아니다. 식별은 특정 개인을 판별하는 기능을 지칭하는 반면, 인증은 해당 개인이 정당한 권한자인지 여부를 판별하는 기능을 가진다.
따라서 CI만으로 추가 정보 없이 카드결제를 하거나 회원 계정에 무단 로그인할 수 없다. 따라서 CI로 인해 금전적인 손해를 입거나 개인사생활이 침해될 것이라는 걱정은 하지 않아도 된다.
또, 연계정보라고 불리다보니 모든 정보를 연결하는 킷값으로 오해돼 '연계'를 무제한의 연결가능성으로 오해할 수 있다. 단지 CI는 특정 개인의 '식별'하기 위한 기능일 뿐, 모든 정보와 연결하는 정보는 아니다. 따라서, CI가 각종 개인정보들을 임의로 조합하여 2차 피해로 무제한 연결될 것이라는 우려를 가질 필요가 없다.
물론 CI도 개인정보이며 본인확인수단을 위해 생성된 정보다. 그러나 본인확인수단보다는 통신사, 금융기관, 네이버, 카카오 등에서 제공하는 본인인증수단이 더 보편적이고 편리한 상황이다. 또 다양하고 편리한 서비스를 제공하기 위해 신기술을 개발하고 적용하기 정보주체가 제공한 정보 외에 정보주체의 행동, 습관, 생활 등과 같은 정보들이 수집·이용될 것이다.
따라서, 온라인상에서의 전자신원 및 신뢰서비스(Electronic IDentification, Authentication and Trust Services:eIDAS)로 개선될 필요가 있으며, 실제 디지털 신원 체계의 구조를 엄격히 설계할 필요가 있다. 개인정보 침해사고의 발생은 기업이 '잘 못해서'라는 프레임에 규제와 처벌을 강화하기보다는 기업이 '잘 할 수 있게' 정부와 보안업계가 개인정보보호위해 나가야할 방향과 방법을 함께 제시해 나가야 한다.
신영진 배재대 소프트웨어공학부 정보보안전공 교수 jinsyj@naver.com