밀피유의 이야기

요새 개인정보를 아무데나 굴리는게 대 유행인 모양입니다. 어느 쇼핑몰은 한 천만명어치 개인정보를 한큐에 날리기도 하고, 다른 회사는 애초에 개인정보를 가지고 그리 좋지는 않은 목적에 활용하려고 마음먹었다고도 합니다. 연일 여기 저기서 개인정보 관련 보안 방침을 강화하고, 법률을 정비하겠다는 소식들이 들려옵니다. 골자는 대략 개인정보를 강력하게 보호하는 가이드라인을 만들고, 지키지 않으면 조져버리겠다는 건데요, 예전에 어디선가 읽은 마왕 가이드라인을 보면 강력한 초 수퍼 아티팩트는 일곱마리의 용이 지키는 화산 밑에 감추지 말고, 그냥 내 침대 밑에 놔두라는 말이 나옵니다. 아무리 용이 지키는 화산에 개인정보를 넣어 놔도, 거기에 용 한 마리를 더 늘려도 털릴건 털립니다.

게임회사에서 일하기 전, 전, 전에 쇼핑몰을 만들었습니다. 당시에 잘 나가던 다른 쇼핑몰을 고대로 카피했는데, 그 잘 나가던 다른 쇼핑몰 솔루션에는 다양한 개인정보 수집 기능이 있었습니다. 이 때에도 웬만하면 주민등록번호는 인증한 다음 저장하지 않는 분위기였는데, 카피하던 쇼핑몰 프로그램에는 체크박스 하나를 체크해두면 주민등록번호를 수집할 수 있었습니다. 주민등록번호는 그냥 놔두면 숫자의 나열일 뿐이지만, 실명인증을 통과한 주민등록번호는 상당한 쓸모를 가지고 있었습니다. 이것들을 리스팅하거나, 성별, 나이 별로 조회하도록 되어 있었습니다. 아, 암호화요? 원래는 'md5()' 해서 저장하도록 되어 있지만, 이것 역시 체크박스 하나를 끄면 평문으로 저장됩니다.

그때 쇼핑몰 만들던 기억을 더듬어보면, 개인정보에 대한 보안의식 같은건 없었습니다. 특별히 무시하고 있다기 보다는, 그냥 관심이 없었습니다. 어차피 DB에 뭘 저장하든 DB 털리면 다 함께 털리는 것은 마찬가지였고, 한창 간단히 사용하던 'md5()' 같은 것들도 주민등록번호가 숫자이기 때문에, 암호화 되어 있어도 사전에 준비만 잘 하면 그냥 알아낼 수 있습니다.

그렇게 모은 실명 정보로 뭘 할수 있을지 당시에는 별로 고민하지 않았습니다. 다만, 그 쇼핑몰 솔루션으로 만들어졌을 것으로 추정되는 쇼핑몰에서는 물건을 구입하지 않는 정도로 타협했지요. 뭐, 싼 솔루션을 찾아 헤매는 영세 업체들이 운영하는 쇼핑몰들은 얼마 못 가 대부분 망했기 때문에, 더 이상 주민등록번호를 수집하는 쇼핑몰 같은 것은 기억속에서 지워버렸습니다. 하지만, 그 때 수집 됐을 실명 인증을 통과한 개인정보들은 지금쯤 어느 서버에 어떻게 보관되어 있을지는 가끔 궁금해집니다.

근본적인 문제는 주민등록번호를 통한 실명인증이라는 것은 지나가는 개들도 알고 있고, 이걸 극복하려고 아이핀 같은 또라이짓들도 나오고 있습니다. 주민등록번호를 원천적으로 받지 않는다는 발상은 좋았는데, 개발 부하가 큰 방식을 선택해서 수많은 영세 업체까지 전파되는데는 100년으로도 모자를 겁니다. 간단히 기존 주민등록번호와 호환되는 체계를 사용할 생각을 정말로 한 적이 없을지 의문입니다.

생각해보면, 주민등록번호를 통한 인증이라는게, 꽤 많은 개인이나 기업의 이해관계에 얽혀있습니다. 실명 인증으로 장사하는 회사, 그걸 회사에 위임한 정부, 일단 개인정보를 제시하게 만든 다음, 그 개인정보에 대한 보안을 맡고 있는 회사들 등등, 개인정보를 노출시키지 않거나, 노출 빈도를 최소화해야 천만명어치 개인정보가 한 큐에 털리는 문제가 일어나지 않을 수 있다는 건 모두 알지만, 이해관계가 얽히기 시작하면 아이핀 같은 개 또라이 같은 방법을 들고 나와 그게 전부인 마냥 떠들 수밖에 없습니다. 여기에, 개인정보가 어디에 사용되고 있는지를 확인해 주는 서비스 회사들까지 생각하면 아주 눈물이 앞을 가립니다. 한달에 얼마라고 했죠?

오늘도, 제 실명 인증된 주민등록번호를 각기 제시한 몇 개의 사이트에 로그인해서 글을 읽고, 글을 쓰기를 반복했습니다. 화산에 용을 한 마리 더 추가한다고 해서 개인정보를 털렸을 때 일어날 문제를 줄일 수 없고, 개인정보의 관리는 이미 개개인의 유저가 어떻게 해볼 수 있는 레벨을 넘었습니다.