"개인정보보호 딜레마에 빠졌다" 

우리는 생활을 하면서 "무슨 딜레마에 빠졌다."라는 표현을 가끔씩 사용한다. 딜레마(Dilemma]란 사전적인 의미로 선택해야 할 길은 두 가지 중 하나로 정해져 있는데, 그 어느 쪽을 선택해도 바람직하지 못한 결과가 나오게 되는 곤란한 상황을 뜻한다.

요즘 계속적으로 매스컴을 통하여 자주 보도되는 개인정보 유출 문제를 접할 때 마다 생각나는 단어이다. 개인정보가 유출 되거나 오 남용되는 것은 개인정보를 공유 및 활용하면 경제적인 부가가치를 창출하거나 효율적인 업무 처리를 할 수 있기 때문이다. 그러므로 개인정보의 가치가 줄어 들지 않는 한 이러한 개인정보를 얻고자 하는 유혹(?)은 줄어 들지 않게 될 것이다.

특히 향후 IT서비스는 개인화된 맞춤형 서비스를 지향하게 될 것이다. 이러한 맞춤형 서비스를 지원하기 위해서는 사용자가 무엇을 원하는지, 어떤 상태인지, 어떤 습관을 가지고 있는지 등을 알아야 한다. 이러한 것은 모두 개인정보이고, 이 정보를 알고자 하는 욕구는 늘어날 것이다. 그렇지만, 이러한 정보를 아는 과정은 개인정보를 침해할 소지가 다분히 있다.  그렇다고 개인화된 맞춤형 서비스를 포기할 것인가? 그렇지 않을 것이다. 이러한 정보를 기반으로 하는 고 부가의 산업 기반을 포기하는 것은 경제적인 큰 손실일 수 있기 때문이다.

그렇다면 개인정보보호를 소홀히 할 것인가? 그것도 맞지 않을 것이다. 개인정보보호는 단순히 경제적인 피해뿐 만 아니라 요즘 프라이버시에 대한 사용자들의 인식이 높아지면서 "정보인권"으로서 포기하거나 타협할 수 없는 기본 권리로서 인식이 높아지고 있다.

이러한 딜레마에서 벗어나가 위해서는 "균형"이라는 시각을 가지고 접근하는 것이 필요하다. 즉 개인정보를 적극적으로 공유하고 활용하되 그 과정에서 사용자의 개인정보보호를 소홀히 하지 않는 방법을 찾는 것이다.

그것은 사용자 "자기정보 통제권"의 확보이다. 자기 정보통제권은 사용자가 서비스 목적에 따라 자신의 정보의 제공에 대한 상황을 명료하게 인식하고 가부를 직접 결정할 수 있는 권리로서 제도적, 기술적 뒷받침에 의해서만 행사될 수 있다.

제도적인 측면에서는 현재 입법 중인 "개인정보보호법"를 통하여 무분별한 개인정보 수집과 유통, 목적 외 이용 및 제공을 엄격히 통제하고, 기술적으로는 사용자 중심의 ID 관리 기술의 적용 등이 예가 될 수 있을 것이다. 사용자 중심의 ID관리 기술은 사용자가 자신의 개인정보의 제공과 이용 여부에 대해 직접 제어할 수 있도록 해주는 기술로 "자기정보 통제권"을 실효적으로 행사할 수 있도록 해준다.  OECD는 이러한 개인정보보호 법제와 사용자 중심 ID관리 기술의 적용을 적극 권고하고 있다.

ETRI에서는 이러한 사용자 중심의 ID관리 기술로 "자기통제 강화형 전자ID지갑"을 개발하고 있다. 전자ID지갑은 신분증과 신용카드를 넣고 다니는 실세계의 지갑처럼 사이버 세계의 신분확인을 위한 정보와 지불정보, 그리고 개인 신상 정보 등 ID정보를 저장 관리 및 사용할 수 있는 소프트웨어이다.

전자ID지갑에 저장된 정보는 사용자의 통제 하에 필요한 웹사이트 제출되고, 제출된 후에는 전자ID 지갑을 통해 관리된다. 사용자는 개인정보가 사용되는 목적, 보유 기간 등 사용 조건을 검토하고 제공되는 정보의 범위와 사용상 제약을 결정하여 정보를 제공할 수 있게 된다. 또한 전자ID지갑은 웹사이트에서 생성된 개인정보가 타 웹사이트와 공유될 수 있는 채널을 제공한다. 사용자는 정보 공유 채널 중간에 위치한 전자ID 지갑을 통해 개인 정보의 흐름을 직접 제어할 수 있게 된다. 공유되는 정보의 범위와 사용상의 제약을 사용자가 직접 통제할 수 있게 되는 것이다.

한편, 전자ID지갑을 사용하게 되면 인터넷 상의 ID관리에 있어 불편한 점이나 보안적 취약성을 크게 줄일 수 있게 된다. 몇 번의 클릭만으로 편리하게 웹사이트에 가입할 수 있고 id, 패스워드를 기억해 입력할 필요 없이 한 번의 클릭만으로 편리하게 웹사이트에 로그인할 수 있게 된다.

자신의 개인정보 변경 시, 변경된 정보가 제출되었던 웹사이트에 자동으로 반영할 수 있는 기능도 갖고 있다. 인터넷 전자상거래 시 입력해야 하는 지불 정보를 안전하고 편리하게 사용할 수 있도록 해주며, 공인인증서 또한 전자ID지갑 내에 저장하여 편리하게 사용할 수 있다.

또한, 현재 정부에서 추진 중인 인터넷 상의 주민번호대체 수단인 아이핀 서비스의 사용자 편의성을 높이고 서비스를 고도화할 수 있는 기능을 제공하며, 최근 크게 저변을 넓혀가는 오픈 아이디의 사용 편의성도 제공한다. 보안성 측면에서 보면, 패스워드 대신 암호 알고리즘에 기반한 강한 인증을 제공하며, 최근 크게 문제가 되고 있는 피싱과 파밍을 방지하는 기능도 갖고 있다. 따라서 ID도용 가능성을 크게 줄일 수 있게 해준다.

이러한 전자ID지갑은 USB등 외장 메모리에 탑재하여 휴대할 수도 있고, 로밍 서비스를 통해 필요한 곳에서 데이터를 온라인으로 다운로드 받아서 사용할 수도 있으며, 휴대폰에 탑재하여 휴대폰 상에서 이용할 수도 있다. 물론 전자ID지갑에 보관된 개인정보는 암호화와 생체인증을 통해 안전하게 보호된다.

또한, 전자ID지갑은 사용자의 중요 정보를 웹사이트 간에 안전하게 공유할 수 있는 기능을 제공한다. 이를 이용하면 한 사이트의 정보를 다른 사이트에서 사용할 수 있게 되는데, 이 때 발생할 수 있는 개인정보 노출 문제 및 프라이버시 문제를 사용자 중심의 공유 방식을 사용함으로 해결하여 준다. 이러한 공유 기능을 활용하면 다양한 부가 서비스를 창출할 수 있다.

예를 들어, 사용자의 토익 점수와 학력 정보를 활용한 취업 정보 사이트, 사용자의 건강 정보를 바탕으로 의료 정보를 제공하여 주는 사이트, 사용자의 금융 정보, 부동산 정보, 증권 정보 등을 바탕으로 사용자의 자산을 관리하여 주는 사이트 등이 가능해질 수 있다.

우리나라는 초고속인터넷과 이를 기반으로 한 다양한 인터넷 서비스, 그리고 이를 적극적으로 이용하는 사용자라는 절대 우위의 인프라를 가지고 있다. 그러나 다양한 종류의 개인정보보호 문제가 발생하고 있으며 그만큼 개인정보를 이용한 서비스의 발전은 더딘 형편이다.

하지만 이러한 딜레마를 극복할 수 있도록 관련 법제화를 이루고 개발된 기술을 적절히 적용한다면 관련 서비스를 활성화하면서도 개인정보를 보호할 수 있을 것이다. 지금 우리나라는 인터넷 인프라 강국으로 머물 것인가? 아니면 진정한 인터넷 강국으로 거듭 태어날 것인가를 가르는 중요한 기로에 서있다. 

 

□ 전자ID지갑이란?

- 일상생활에서 사용하는 지갑처럼 인터넷 상에서 사용되는 사이버 지갑

- 사용자의 개인정보(주소, 전화번호 등), 인증정보(로그인 아이디, 비밀번호 등), 지불정보(신용카드 등) 같은 Identity 정보를 보관하는 저장소

- Identity 정보를 USB 메모리, 휴대폰과 같은 이동저장매체에 안전하게 저장하거나 프라이버시 보호서버에 정보 관리를 위탁할 수 있는 시스템

- 개인정보의 제공 여부를 사용자가 직접 제어하여 개인정보의 유출 또는 오남용을 방지할 수 있는 시스템

[글 / 진승헌 한국전자통신연구원 디지털ID보안연구팀장 (jinsh@etri.re.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>