(충정로 칼럼) 개인정보관리, 새로운 접근이 필요한 시점

박광진 한국인터넷진흥원(KISA) 정보보호본부장

박광진 KISA 정보보호본부장

현대 시대를 살아가는 직장인의 하루는 컴퓨터를 부팅하고 자신의 아이디와 패스워드를 입력하는 것으로 시작한다고 해도 과언이 아니다. 이메일을 확인하기 위해, 회사 인트라넷에 접속하기 위해 우리는 하루에도 수차례 아이디와 패스워드를 웹사이트에 입력하고 있다.

인터넷이 우리 삶의 한 부분으로 자리 잡기 시작하면서 오프라인에서 자산을 보호하기 위해 안전한 도어락을 사용하듯 온라인상에서의 아이디와 패스워드는 개인정보를 보호하기 위한 최소한의 안전장치다. 그러나 온라인상에서의 실상은 오프라인과 매우 상이한 실정이다. 아파트 현관문의 비밀번호는 수시로 바꾸고 안전하게 관리하면서도 웹사이트 접속 정보는 타인이 쉽게 유추할 수 있는 기억하기 쉬운 정보를 사용하고 있다. 웹사이트마다 아이디를 기억하기 귀찮아 수첩이나 메모지에 자신의 아이디와 패스워드를 적어놓고 사용하지는 않는가? 아예 모든 웹사이트에서 동일한 아이디와 패스워드를 사용하지는 않는가?

온라인을 통해 수많은 개인정보가 오가고 홈페이지에 개인 사생활을 그대로 드러내며 많은 사람들이 이러한 정보에 손쉽게 접근할 수 있는 현대의 시대에 자신의 개인정보를 단속하기 위한 아이디 패스워드 관리에 대한 사용자 보안 의식은 어느 정도 인지 되돌아보지 않을 수 없다.

주요 포털·소셜 네트워크 서비스 등 가입자 수가 많고 관리하는 개인정보의 양이 방대한 웹사이트들은 사용자 인증 강화와 개인정보를 암호화해 저장하는 등 자사가 보유하고 있는 사용자 개인정보를 보호하기 위해 많은 인력과 비용을 투자하고 있다. 그러나 개인정보의 보호 책임이 비단 이를 관리하는 업체에만 있다고 볼 수는 없다. 실세계와 달리 온라인에서는 본인의 의도와 달리 다양한 경로를 통해 개인정보가 유출될 수 있어 사용자 스스로 자신의 개인정보를 지키고자 하는 노력이 함께 마련돼야 한다.

웹사이트에서도 변화가 일고 있다. 과거에는 일방적으로 사용자 정보를 수집하고 이를 필요로 하는 웹사이트끼리 공유하던 기업 중심의 개인정보 관리 방식이었다. 그러나 지금은 개인정보 유통 경로별로 사용자에게 이를 통보·확인하고 사용자 승인을 거쳐 개인정보를 전송하는 사용자 중심의 개인정보 관리 방식으로 변경하는 추세다. 그 대표적인 방식 중 하나가 오픈ID이다.

오픈ID는 기존처럼 웹사이트별로 아이디를 등록해 사용하지 않고 하나의 아이디만으로 다양한 웹사이트를 이용할 수 있는 개방형 사용자중심 아이디 관리 서비스다. 사용자는 자신이 신뢰하는 오픈ID 발급기관에만 개인정보를 등록하고 아이디를 발급받으면 다른 웹사이트에서는 별도의 회원가입 절차 없이 미리 발급받은 오픈ID 입력만으로 해당 웹사이트를 이용할 수 있다. 이 때 웹사이트에서 사용자 개인정보를 요구할 경우에는 사용자 승인 후 아이디 발급기관에서 웹사이트로 필요한 개인정보를 전송해 준다.

사용자 중심의 개인정보 관리에 대한 사회적 흐름에 맞춰 해외에서는 구글· 마이크로소프트· 마이스페이스 등 약 5만개의 웹사이트에 오픈ID가 적용된 상태다. 미국에서는 오바마 대통령이 자신의 웹사이트에 오픈ID를 지원한 이후 500개가 넘는 공공 웹사이트에도 오픈ID 적용 추진 방안을 마련중이다. 우리나라에서도 다음 등 3개의 업체에서 오픈ID를 발급하면서 서비스가 시작됐지만  개인정보를 직접 수집해 마케팅에 활용하려는 웹사이트의 요구와 사용자에게 낮은 친숙도 등의 이유로 국내에서 이를 도입한 웹사이트는 미비한 실정이다.

NHN· 다음· SK커뮤니케이션즈 등 일부 대형 포털업체에서 오픈ID와 유사한 개념으로 포털 회원은 연계된 웹사이트에 로그인할 수 있는 아이디 개방화가 진행되고 있다. 하지만 오픈ID 기술을 그대로 도입하고 있지는 않다. 이에 한국인터넷진흥원(KISA)에서는 사용자 스스로 개인정보의 보호 주체가 돼 사이버 공간에서 아이디를 편리하게 이용할 수 있도록 오픈ID기반의 사용자 중심형 아이디 관리 시스템을 개발했다. 이 시스템은 개인정보를 안전하게 암호화 해 웹사이트 간 전송 뿐 아니라 오픈ID 발급기관에서 개인정보를 변경하면 사용자가 원하는 웹사이트들의 개인정보를 동시에 변경할 수 있다. 또한 오픈ID 발급시 아이핀을 통한 실명확인을 수행해 국내 웹사이트에 용이하게 적용할 수 있는 방안을 마련했다.

개인정보는 누가 대신 지켜주는 것이 아니다. 언제까지 개인정보가 노출된 업체의 취약한 보안의식만을 손가락질하면서 사이버 공간에서 버젓이 나돌아 다니고 있는 자신의 개인정보를 바라만 볼 것인가? 이제 사용자 스스로 나서야 할 때다.

업체는 좀 더 안전한 보안제품과 서비스를 제공하고 사용자는 스스로 개인정보의 관리 주체가 돼 자신의 개인정보 흐름을 통제하고 관리해야 한다. 또한 정부는 이러한 사용자 중심의 개인정보 보호체계가 효율적으로 도입될 수 있도록 관련 기술을 개발하고 정책을 지원해야 한다. 업체· 사용자· 정부가 하나 되어 개인정보를 사용자에게 돌려주었으면 하는 바람이다.