끊임없는 개인정보 유출·침해사건 예방 위한 근원적인 대안은?  개인정보보호 위해 식별정보 분리 선행돼야...익명적 실명제 필요!
[보안뉴스=전용덕 IT보안 컬럼리스트] 지난 2월 7일 코웨이 고객정보 198만 건이 유출되는 대규모 사건이 발생하는 등 올해 들어서도 크고 작은 개인정보 유출사건이 끊이지 않고 발생하고 있다.

또한, 오는 2월 18일부터는 개정 정보통신망법에 따라 주민번호 수집이 전면 금지되면서 여러가지 혼란이 우려되고 있다.  

더욱이 최근에는 개인정보 및 금융정보 탈취를 노려 악성코드를 전파하는 파밍 기법이 기승을 부리는 등 개인정보를 노린 사이버범죄를 예방하기 위한 패러다임의 전환이 필요한 시점이다.

개인정보보호법과 개정 정보통신망법 등 관련 법규와 각종 보안기술 및 시스템만으로는 개인정보를 원천적으로 보호하는 데 한계가 있기 때문이다.

이에 필자가 개인정보를 확실히 보호하면서도 효율적으로 활용할 수 있는 방안과 관련해 오랫동안 연구해온 ‘익명적 실명제’의 개념과 활용방안에 대해 몇 차례에 걸쳐 소개하고자 한다.

현재 IT 환경이 클라우드 및 빅데이터 환경으로 진화되면서 개인정보의 범위도 점차 확대되고 있는 추세다. 결국 개인정보의 핵심은 식별성에 있는데, 이러한 IT 환경의 변화에 따라 대량의 데이터가 서로 결합되면서 식별성이 없었던 개인정보도  식별성을 갖는 개인정보로 변화하고 있는 것이다.

이름, 주민번호 등의 식별성을 갖는 개인정보는 인증단계에서 활용된다. 이러한 식별정보를 개인사업자, 단체, 정부 등에서 저장·활용함에 따라 개인정보 통제가 쉽지 않은 문제가 발생하게 된다. 더욱이 이름, 주민번호 등의 실명적 식별정보들은 오프라인과 온라인에서 공통적으로, 그리고 불규칙하게 사용되고 저장되면서 도용·악용의 가능성이 커지고 있는 셈이다.

이러한 문제를 근원적으로 해결할 수 있는 방법은 주민번호와 이름 등의 개인 식별정보를 온라인에서 절대 사용하지 못하도록 하는 대신에 위치정보, 신체정보 등의 식별정보를 개인정보로 활용할 수 있도록 하는 등 두 종류의 식별정보를 철저히 분리하는 것에서부터 시작한다고 할 수 있다.

즉, 개인정보보호법에 허용된 범위인 개인정보의 연결성을 온전히 배제한 상태의 익명정보를 최대한 활용하는 것으로, 이 개념이 바로 익명적 실명제라고 할 수 있다. 이를 효과적으로 구현하기 위해서는 필자가 특허 출원한 개인 익명화 코드를 이용한 인증 통합관리 방법과 준공공적 통합인증센터 설립이 핵심이다.   

익명화된 정보들을 통해 개인정보 유출 및 프라이버시 침해 우려 없는 서비스 환경을 만들기 위해서는 기존의 실명 식별인증 기반환경에서 벗어나 신체정보, 위치정보, 단말기 고유정보, 일회용 암호정보 등의 식별이 가능한 고유정보에 기반한 익명 식별인증 시스템이 필요하다.

또한, 익명 식별인증 시스템을 효과적으로 구현하기 위해서는 익명화 환경에서 익명정보들의 움직임이나 상태들을 객관적으로 관리·통제할 수 있는 준공공적 성격의 통합인증센터 설립이 요구된다고 할 수 있다.

이렇듯 인증센터(인증망)를 새롭게 만든다면 기업들 자체에서 수행하던 1차 인증 과정이 필요 없게 되고, 이에 따라 기업체에서도 개인 식별정보들을 직접 저장할 필요가 없어지는 것이다.            

더욱이 위치정보, 신체정보, 단말기 고유정보, 일회용 암호정보 등 식별인증에 필요한 고유정보들만으로 식별력을 향상시킨 인증망이 생기게 됨으로써 보다 효율적이고 안전한 개인정보 체계를 만들 수 있고, 프라이버시 및 개인정보보호 패러다임의 전환을 이끌어낼 수 있다고 본다.

현재의 개인정보 인증체계의 문제점과 익명 식별인증 시스템의 기술적 구현과정, 클라우드 및 빅데이터 환경에서의 프라이버시 문제와 그 대안, 그리고 새로운 통합인증센터의 필요성과 활용사례에 대해서는 몇 차례에 걸쳐 소개하기로 한다.  
[글_전 용 덕 IT 보안 컬럼리스트]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>