‘국민 백신’에 관해 알고 싶은 두세 가지 것들
글 | 민노씨(슬로우뉴스 편집장)
“자기 권리를 스스로 지키는 체험이 되길 바란다.” (남희섭 오픈넷 이사)
국정원이 해킹팀으로부터 사들인 스파이웨어(RCS)를 불특정 다수 국민의 스마트폰에 감염시키면 어떤 일이 생길까? 상상하기도 싫지만, 스파이웨어에 감염된 국민이 직접 대응할 수 있는 방법은 많지 않다. 왜? 국정원은 사실상 국내 백신 업체의 ‘갑’ 노릇을 한다. 이런 현실에서 국내 백신 업체들이 국정원이 이용하는 스파이웨어를 감지하는 전용 백신을 개발할 수 있을까? 새정치민주연합의 안철수 국회의원이 안랩을 포함한 10여 개 국내 보안업체에게 도움을 요청했으나 업체들이 이 요청에 적극 나서지 않는다는 말이 벌써부터 들리고 있다.
해킹팀의 스파이웨어에 대응해 엠네스티가 주도해 스파이웨어 감지 프로그램인 ‘디텍트’를 개발했고, 이를 발표했다. 하지만 디텍트는 PC에 기반한 프로그램이라 모바일 기기에는 적용하기 어렵다.
이에 시민이 자발적으로 참여하는 ‘국민 백신 프로젝트’가 발족했다. 그리고 어제(2015년 7월 30일) 국회 의원회관에서 발표회를 개최했다. 국민 백신 프로젝트를 주도한 남희섭 오픈넷 이사에게 국민 백신 프로젝트의 이모저모와 향후 계획을 물었다.
– 이왕에 엠네스트 주도로 ‘디텍트’가 개발됐다. ‘국민 백신’과 디텍트의 차이점은.
디텍트는 PC용인데, 국민 백신은 안드로이드 모바일에 주안점을 두고 프로젝트를 진행하고 있다.
– 모바일 중심이라고 했는데, 특히 안드로이드가 주력인 이유는?
개발자의 증언에 의하면 안드로이드폰이 잘 감염된다고 한다. 아이폰은 애플이 직접 패치를 내놓으면 이용자가 바로 업데이트를 할 수 있으나 안드로이드폰은 구글이 패치를 내놓아도 제조사까지 전달되서 실제 이용자의 스마트폰에 적용되기까지 시간이 걸리기 때문에 보안에 취약성이 있다는 설명이었다. 더불어 우리나라 모바일 사용자의 압도적 다수가 안드로이드폰 이용자기이도 하다.
– 국민 백신은 의미 있는 프로젝트다. 하지만 지속 가능성을 담보할 수 있을지는 걱정이다. 해킹과 백신은 ‘창과 방패’, ‘톰과 제리’의 게임이라서 지속성을 담보하지 못하면 큰 의미가 없지 않나.
당연히 걱정하는 부분이다. 큰 백신 개발업체라면, 상시 인력이 그때그때 바로바로 업데이트할 수 있겠지만, 국민 백신 프로젝트는 참여 개발 인력이 충분하다고 볼 수는 없다.
– 어떻게 이런 난제를 극복할 생각인가.
국민 백신은 ‘오픈소스’로 개발하고 있다. 프로그램 코드를 공개하는 것이다. 현재 개발인력도 최선을 다하겠지만, 국민 백신 프로젝트의 취지에 공감하는 개발자들이 업데이트에 참여할 것으로 기대한다. 이런 참여가 임계점을 넘으면. 지속 가능성을 담보할 수 있으리라 생각한다.
– 기존 보안업체에 협조를 요청했나. 상호 사전 협의가 있었는지 궁금하다.
처음에 프로젝트를 구상할 때 기존 업체의 참여를 전혀 기대할 수 없는 상황이었다. 이제는 널리 알려진 사실이지만, 사실상 국정원이 보안 업체의 ‘갑’ 노릇을 하는 상황이다. 익명을 전제로 보안업체의 분위기를 전한 한 개발자는 이렇게까지 말했다.
“민감한 사안이다. 밥줄 잘린다. 전용 백신 개발 가능성은 전혀 없다.”
기존 보안업체가 전용 백신을 개발한다는 것은 전혀 기대할 수 없는 상황이라고 판단하고, 국민 백신 개발에 착수했다.
– 현재 확보한 개발 인력은 어느 정도인가.
현재 엔진을 만드는 사람 4명이다. 여기에 해외 ‘화이트해커’ 그룹도 참여하고 있다.
– 향후 개발 계획은?
원래는 발표회에서 베타 버전을 발표하고, 다음 주(2015년 8월 첫째 주) 정식 발표하려고 했다. 하지만 일정이 생각보다 좀 늦어지고 있다. 내부적으로 테스트한 뒤에 다음 주 베타 버전을 발표할 계획이다.
– 어떤 방식으로 배포할 계획인지.
우선 안드로이드 모바일 사용자에게는 구글 플레이 스토어에 국민 백신 앱을 업로딩하면 간단하다. PC용으로도 개발할 계획이다.
– PC용은 어떤 방식으로 배포되는가.
안드로이드용은 배포 플랫폼이 있어서 걱정이 없는데, PC용은 홈페이지에 올리면 해커들에게 공격 받을 가능성이 크다고 한다. 그래서 PC용 버전 배포방식을 고민하고 있다. P2P 방식으로 배포하는 것까지 포함해서 현재 논의 중이다.
– 끝으로 당부하고 싶은 말이 있다면.
자기 정보 인권을 스스로 지켜야 한다. 직접 스스로 자신의 권리를 지키는 행동을 해보는 체험이 중요하다. 하지만 해킹이나 감시, 감청 등의 정보 인권 침해에 평범한 개인이 할 수 있는 일은 별로 없다. IT 영역의 전문지식을 모든 국민이 가질 수는 없는 노릇이고, 그럴 필요도 없다.
하지만 선의의 전문가들이 참여하는 국민 백신과 같은 프로젝트에 참여하는 것으로도 충분히 스스로 자기 권리를 지키는 구체적인 ‘행동’에 참여하는 일이다. 이런 체험을 통해 스스로 권리를 자신이 지킨다는 걸 체감할 수 있다면 좋겠다.
참고로 사단법인 오픈넷, 진보네트워크센터, P2P재단코리아준비위원회가 현재 개발 중인 ‘오픈 백신’은 설치된 해킹 프로그램을 치료하는 프로그램은 아니다. 치료보다는 해킹 프로그램의 설치 여부를 진단하는 것이 목표다. (편집자)
* 위 글은 슬로우뉴스에도 게재하고 있습니다.
국회와 정부는 실효성 있는 주민등록번호 변경 제도를 도입하라.
◎ 정부의 실효성 없는 주민등록법 개정안에 반대한다.
◎ 생색내기 위한 주민번호 변경제도는 필요하지 않다.
◎ ‘1) 주민번호 변경 대상자 확대, 2) 변경시 개인정보 없는 임의번호 부여, 3) 개인정보보호위원회 산하의 주민번호변경위원회 설립, 4) 주민번호의 목적 외 사용 제한 명시’가 필요하다.
1. 유출된 주민번호는 생명, 신체, 재산에 직접적인 위협이 된다. 2차, 3차 피해 또한 당연히 예상된다. 이 점에 대해서 헌법재판소와 법원은 아래 같이 설시하였다.
|
현대사회는 개인의 각종 정보가 타인의 수중에서 무한대로 집적, 이용 또는 공개될 수 있으므로 연결자 기능을 하는 주민등록번호가 불법 유출 또는 오·남용되는 경우 개인의 사생활뿐만 아니라 생명·신체·재산까지 침해될 소지가 크고, 실제 유출된 주민등록번호가 범죄에 악용되는 등 해악이 현실화되고 있다. (헌법재판소 2015. 12. 23. 선고 2013헌바68등 결정) |
|
주민등록번호는 고유식별번호로서 영구적이고 변경이 불가능한데, 원고들의 주민등록번호가 노출됨에 따라 신분이나 명의가 도용될 우려가 있고, 이를 이용하여 원고들의 다른 개인정보가 수집될 가능성이 있으며, 더 나아가 유출된 개인정보가 악용될 경우 재산상 피해까지 입을 우려가 있는 점... (서울중앙지방법원 2014. 8. 22. 선고 2012가합83365 판결) |
2. 이에 정부는 주민번호 변경을 저지하거나 제한하기 위하여 언론을 통해서 주민번호 유출 또는 오남용 등의 피해를 방지하기 위해 노력하고 있다고 홍보하였다. 그러나 헌법재판소는 이미 유출된 주민번호 해결책은 주민번호 변경하는 밖에 없다는 입장을 분명히 하였다.
|
비록 국가가 개인정보보호법 등의 입법을 통하여 주민등록번호 처리 등을 제한하고, 유출이나 오·남용을 예방하는 조치를 취하였다고 해도, 여전히 주민등록번호를 처리하거나 수집·이용할 수 있는 경우가 적지 않고, 이미 유출되어 발생되는 피해에 대해서는 뚜렷한 해결책을 제시하지 못하므로, 이러한 조치는 국민의 개인정보자기결정권에 대한 충분한 보호가 된다고 보기 어렵다. (헌법재판소 2015. 12. 23. 선고 2014헌마449,2013헌바68(병합) 결정) |
3. 논리는 간단하다. 유출된 주민번호는 국민 개개인에게 피해를 입힐 수 있다. 유출된 주민번호 문제를 해결하기 위해서는 변경 이외의 다른 방법이 없다. 정부가 행정 편의를 앞세워 국민의 피해를 묵인해서는 안 된다. 특별한 경우가 아닌 한, 주민번호 변경 대상자를 최대한 확대해야 한다. 인권시민사회의 강력한 지지를 받으며 진선미 의원이 2015. 5 27. 대표발의한 주민등록법 개정안은 아래 같이 명시하였다.
|
제7조의5(주민등록번호변경위원회) ② 변경위원회는 제7조의4제1항에 따른 주민등록번호의 변경 청구에 대하여 변경여부를 심의·의결한다. 이 경우 그 청구의 목적이 범죄를 기도 또는 은폐하거나 법령에 따른 각종 제한을 회피하거나 부정한 금전적 이익을 얻으려는 의도 등 불법을 목적으로 하거나 사회상규에 반한다고 판단되는 경우가 아닌 한 주민등록번호의 변경을 의결하여야 한다. |
4. 여기서 덧붙여 주민번호 변경의 실효성을 보장하기 위해서 새롭게 부여하는 주민번호는 개인정보가 포함되지 않은 임의의 숫자로 구성하여야 한다. 익히 알려졌다 시피 개인정보를 바탕으로 주민번호를 구성한다면, 유출된 혹은 공개된 개인정보를 이용하여 주민번호를 재구성할 수 있다.
|
개인정보를 기반으로 이루어진 주민등록번호는 그리 어렵지 않게 재구성할 수 있다. 페이스북에 생일과 출신 학교를 공개한 11만 5,615명을 대상으로 실험을 한 결과, 절반에 가까운5만 2,000여명의 주민등록번호를 정확히 알아냈다. 생년월일과 성별, 출신지역 등으로 구성된 주민등록번호는 그 구성 원리가 간단하여 단순한 알고리즘으로도 유추할 수 있기 때문이다. 즉, 개인정보를 기반으로 구성된 주민등록번호는 사실상 누구든지 도용할 수 있는 상황이다. (‘페이스북 내 주소 치면 주민번호 좍’, ‘김연아·전지현도…공인들 주민번호 쉽게 털린다’, 동아일보, 2014. 3. 7. 2014. 3. 8.) |
5. 주민번호를 개인정보로 구성할 아무런 이유도 없다. 주민번호는 개인 식별을 목적으로 만든 일개 개인식별번호에 지나지 않는다. 개인식별을 위해서는 그 번호에 개인정보를 담을 필요가 없다. 카드번호와 통장번호와 같이 임의숫자 그 자체를 통해 개인을 식별하면 된다.
6. 개인의 동의 없이 개인정보의 공개를 강요하거나 합리적인 법적 근거 없이 개인정보의 공개를 강제하는 것은 국민의 개인정보자기결정권을 침해하는 행위이다. 생년월일, 성별, 출생지는 필요한 경우에만 별도의 방법으로 공개하도록 하면 된다. 한국 사회에는 나이, 성별, 출생지에 따른 차별이 만연해 있다. 일개 개인식별번호에 지나지 않는 주민번호를 통해 기본적인 개인정보를 항시 노출하도록 하는 것은 각종 차별을 강화, 확산시키는 결과를 초래할 뿐이다.
|
개인정보자기결정권은 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리이다. 즉 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 말한다. 개인정보자기결정권의 보호대상이 되는 개인정보는 개인의 신체, 신념, 사회적 지위, 신분 등과 같이 개인의 인격주체성을 특징짓는 사항으로서 그 개인의 동일성을 식별할 수 있게 하는 일체의 정보라고 할 수 있고, 반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한되지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한다. 또한 그러한 개인정보를 대상으로 한 조사·수집·보관·처리·이용 등의 행위는 모두 원칙적으로 개인정보자기결정권에 대한 제한에 해당한다. (헌법재판소 2005. 5. 26. 선고 99헌마513등 결정) |
7. 금번 헌법재판소 결정은 주민번호 변경만이 쟁점이었기 때문에, 헌법재판소가 주민번호 구성 방법에 대해서 판단하지 않은 것일 뿐이다. 주민번호 제도의 문제점을 지적하며 개인정보자기결정권 보장하려는 헌법재판소 결정의 아래 취지에 부합하려면 임의번호로 구성된 주민번호를 부여해야 한다.
|
주민등록번호는 단순한 개인식별번호에서 더 나아가 표준식별번호로 기능함으로써, 결과적으로 개인정보를 통합하는 연결자(key data)로 사용되고 있는바, 개인에 대한 통합관리의 위험성을 높이고, 종국적으로 개인을 모든 영역에서 국가의 관리대상으로 전락시킬 위험성이 있으므로 주민등록번호의 관리나 이용에 대한 제한의 필요성이 크다. 현대사회는 개인의 각종 정보가 타인의 수중에서 무한대로 집적, 이용 또는 공개될 수 있으므로... (헌법재판소2015. 12. 23. 선고 2013헌바68등 결정) |
8. 국회와 정부가 헌법재판소를 뒤쫓아가는 상황이 되어서는 안 된다. 헌법재판소가 지적하지 않은 주민번호제도의 다른 문제점에 대해서는 스스로 판단하기를 요구한다. 그간 국가가 주민번호에 포함된 생년월일, 성별, 출생지, 출생신고를 바탕으로 국민을 관리하였다면, 이는 물건 생산년도, 종류, 생산지, 생산순서 바코드를 찍어서 물건을 관리한 것과 다를 바가 없다. 국가 행정시스템 자체에 의문을 던질 수밖에 없다. 국민이 물건인가.
9. 덧붙여, 정부는 주민번호 변경이 허용될 경우 범죄세탁, 탈세, 채무면탈 등에 악용될 가능성이 있다고 주장하고 있다. 이는 정부의 무능함을 스스로 실토하는 것이며, 이를 통해 국민을 협박하는 것이다. 국민 개개인은 주민번호 그 자체만으로 타인을 식별할 수 없다. 주민번호 정합성 여부는 정부의 주민번호 DB와 대조할 때만 확인할 수 있다. 주민번호를 확인하기 위하여 주민등록증, 주민등록등초본, 가족관계증명서, 인감증명서 등을 요구하는 것이 정부의 주민번호 DB와 대조하는 과정이다. 즉 주민번호를 변경하더라도 정부에서 변경 기록만 제대로 관리한다면, 범죄세탁, 탈세, 채무면탈은 원천적으로 불가능하다. 이는 마치 채무면탈의 우려가 있으니 이사를 가지 못하게 하는 것과 동일하다. 전근대국가 혹은 독재국가에서는 범죄세탁, 탈세, 채무면탈을 예방하기 위하여 거주이전의 자유조차 제한하였다. 이 정부는 어떤 국가를 바라는 것인지 되묻지 않을 수 없다.
10. 정부가 국회에 제출한 주민등록법 개정안으로는 주민번호 변경이 사실상 불가능하다. 혹여 변경 대상자를 일부 확대하더라도 유출된 개인정보를 바탕으로 주민번호를 구성한다면 주민번호 재구성이 가능하기 때문에 주민번호의 변경 제도를 도입한 실효성이 없다. 주민번호 변경, 임의번호 부여, 목적 외 사용 제한 등은 특별한 요구가 아니다. 다른 국가에서는 일반적이다. 이번 기회에 주민번호제도 자체에 대한 근본적인 검토가 있어야 한다. 허울뿐인 주민번호 변경제도는 필요 없다. 끝.
2016년 1월 5일
진보네트워크센터
발표일자:
2015/08/06
목, 2015/08/06- 13:31 394 0
|
시민들의 의견
댓글 달기