기업 14곳 평균 1600만명 주민번호 보유…4곳만 암호화

기업 개인정보 보유 실태 살펴보니
법적 근거 없이 기업 편의·마케팅 수단 활용
개인정보 수집에만 눈독…보안 투자는 소홀

주요 기업 고객 개인정보 보유 및 관리 현황

사상최대 규모의 지에스칼텍스 회원정보 유출 사건을 계기로 개인정보 보호에 대한 경각심이 높아지고 있지만, 국내 주요 기업들의 고객정보 보안관리는 매우 허술한 것으로 드러났다. <한겨레>가 고객정보를 많이 가진 기업 14곳을 상대로 관리실태를 조사해본 결과, 대부분 필요없는 정보까지 수집해놓고 있었으며, 특히 주민등록번호와 같은 민감한 정보를 암호화하지 않은 형태로 보유 중이어서 사고나 해킹으로 외부에 유출될 경우 큰 피해가 우려된다. 조사기업 14곳 중 주민번호를 암호화한 곳은 4곳에 불과했다.

행정용 식별번호인 주민번호가 민간에서 광범위하게 개인 식별용으로 수집되는 것은 업계의 업무 편의와 관행 탓이다. 자동차등록법·전기통신사업법·정보통신망법에 따라 주민번호를 확인해야 하는 기업들도 있지만, 정유·항공·유통업체 등은 고객의 주민번호를 보유할 법적 근거가 없다. 이들 기업은 주민번호를 보유하는 이유로 ‘중복가입 금지’와 ‘본인 확인’이라고 밝혔지만, 실제로는 기업 편의와 마케팅 수단으로 활용하는 게 주목적이다. 중복가입이나 본인 확인을 위해서라면 아이디와 이름·주소 등 일부 항목의 대조만으로 충분하기 때문이다. 한 정유사 직원은 “기업에 있어 고객 식별수단으로 주민번호만큼 좋은 수단이 없다”고 말했다.

암호화하지 않은 형태로 수천만명의 주민번호를 보유하고 있는 것도 문제다. 조사대상 가운데 주민번호를 암호화한 기업은 케이티, 에스케이커뮤니케이션즈, 현대자동차, 롯데카드 등 4곳뿐이었다. 주민번호와 같이 수정이 불가능한 민감한 개인정보는 암호화가 필수적이다. 암호화는 사고나 해킹으로 데이터베이스가 공개돼도 주민번호 유출 피해를 막을 수 있는 효과적인 보안대책이다.

지에스칼텍스 개인정보 유출사건으로 공개된 파일에 담긴 고객명단에 어청수 경찰청장(윗쪽 사진부터). 정동기 청와대 민정수석, 원세훈 행정안전부 장관의 개인정보가 담겨 있다.

여성구 안철수연구소 보안컨설턴트는 “기업들이 주민번호를 자체적으로 보유하는 것은 위험하다. 외부 인증기관에서 본인 인증 결과만을 통보받고 주민번호를 보유하지 않는 것이 더 비용을 줄이는 방법”이라고 말했다. 그는 “기업들이 보유한 개인정보 데이터가 워낙 방대하다보니 암호화에 따른 시스템 확충 비용이 계속 만만치 않은 것도 암호화 처리를 늦추는 한 요인”이라고 말했다. 기업이 개인정보를 활용하는 데만 눈독을 들여왔지, 보안 투자는 게을리해온 결과다. 한 보안업체 대표는 “기업들의 보안 책임자가 이사급으로 돼 있지만 실제 그 업무를 수행하는 사람들은 대부분 대리나 과장급”이라며 “선진국과 달리 국내 기업들은 아직까지 보안을 불필요한 비용으로 여겨왔다”고 말했다.

김일환 성균관대 교수(법학)은 “냉전시대의 유산인 주민등록번호는 명칭부터 문제이고, 특히 민간기업은 요구해서는 안되는 정보”라며 “기업이 기존에 보유하고 있는 주민번호가 포함된 개인정보는 암호화하거나, 불필요하게 갖고 있는 경우는 삭제·파기한 뒤 제 3의 기관에 의한 검증이 이뤄져야 한다”고 주장했다.

마이크로소프트나 벤츠 등 선진국 대기업들은 외부인사를 개인정보 보호 책임자로 임명해 자율규제를 철저히 하고 있다. 이들 나라에는 전국민 고유 식별번호도 없으며, 회원 가입 시에도 우리나라처럼 전화번호나 주소 등 민감한 정보를 필수항목으로 요구하지도 않는다. 김 교수는 “선진국에서는 개인정보를 잘못 다뤘다가는 기업이 망할 수도 있다는 걸 알기 때문”이라고 말했다.

구본권 김영희 이용인 기자 starry9@hani.co.kr