작년 말부터 악성 애플리케이션 다운로드를 유도해 개인정보를 탈취하는 스미싱(SMSishing) 피해가 급증하고 있다. 사기범들은 이렇게 탈취한 결제 인증번호를 이용해 피해자 명의로 휴대전화 소액결제를 한다. 
 
그런데 스미싱을 하려면 이름, 주민등록번호, 휴대전화번호, 통신사명과 함께 결제 인증번호가 있어야 한다. 사기범이 URL이 담긴 문자메시지를 피해자에게 보내는 이유는 결제 인증번호를 탈취하기 위해서다. 
 
이름, 주민등록번호 등의 다른 개인정보는 모두 확보한 상태라는 뜻이다. 결국 스미싱은 유출된 개인정보를 통해 일어나는 2차 피해다. 공인인증서 사용강제를 반대하고, 개인정보 축적반대 운동을 하는 시민단체 '오픈넷'의 박경신 이사(고려대 법학전문대학원 교수)에게 관련 현황과 대책을 들어봤다. 
 
   
▲ 박경신 고려대 법학전문대학원 교수 ⓒ김병철
 
-스미싱과 개인정보 유출은 어떤 관계인가.
"개인정보 유출이 스미싱의 배경이다. 스미싱 사기를 위해선 실명, 주민등록번호, 전화번호라는 개인정보가 사전에 유출되야만 한다. 보이스피싱은 사전 개인정보 없이도 가능하다. 그러나 휴대전화 소액결제를 이용한 스미싱을 하려면 개인정보 확보가 필요하다."
 
-개인정보 유출 사고가 스미싱을 촉발한 것인가.
"한 유명 게임사 보안담당자에 따르면 한국 사람들의 주민등록번호 1억 개가 들어있는 CD가 중국에서 10만 원에 팔린다고 한다. 그런데 외국 사람들의 개인정보는 그렇지 않다. 한국 사람들의 개인정보가 가치가 있는 이유는 한국의 많은 인터넷 서비스가 실명을 요구하기 때문이다. 명의도용을 해서 한국 서비스를 이용하기 위해 개인정보 유출 사고가 일어나는 것이다."
 
-인터넷 실명제와 연관된 것 같다.
"헌법재판소가 인터넷 실명제에 대해 위헌 판결을 한 이유 중의 하나는 실명제를 하는 이상 주민등록번호와 실명 DB(데이터베이스)를 계속 축적할 수밖에 없기 때문이다. 개인정보 DB가 축적되면 해킹의 타깃이 된다. 그리고 해킹으로 유출된 개인정보는 스미싱 등 피싱에 이용된다. 인터넷의 본인확인 제도를 통한 개인정보 축적, 유출이라는 악순환이 반복되고 있다." 
 
-예를 든다면.
"싸이월드는 대표적인 실명 사이트였다. 2011년 7월 네이트와 싸이월드가 해킹돼 3500만 명의 개인정보가 유출됐다. 개인정보를 가지고 있으니깐 해킹이 되고, 뒤이어 스미싱이라는 2차 피해로 이어진다. 문제는 어딘가 개인정보 DB가 있고, 유출될 수 있다는 것이다. 그렇다면 아예 축적하지 않는 방법이 낫지 않나."
 
-인터넷상의 본인 확인제도가 문제라는 것인가.
"개인정보 축적을 많이 하지 않으면 유출 가능성도 떨어진다. 그리고 본인 확인제도를 안하면 안할수록 개인정보 DB를 해킹하려는 노력이 없어질 것이다."
 
-외국은 어떤가.
"외국 인터넷 서비스는 실명, 주민등록번호 같은 개인정보를 요구하지 않는다. 그만큼 개인정보 유출 위험성이 낮고, 스미싱과 같은 2차 피해도 적다. 결제를 하기 위해선 신용카드 정보만 등록해 놓으면 된다. 다른 사람에게 신용카드 비밀번호를 넘기지 않는 이상 도용되기 어렵다."
 
-한국의 결제제도는 어떤 방식인가.
"예를 들어 애플의 앱스토어는 개인정보가 아닌 신용카드 정보만 등록해놓고, 비밀번호만 입력하면 바로 결제되는 편리한 결제방식이다. 한국엔 그런 편한 결제방식이 없고, 결제시 반드시 공인인증서를 통하도록 했다. 게임 아이템 구매 등 소액결제를 할때도 공인인증서가 필요하다보니깐 불편했다. 그래서 만든 게 30만 원 한도의 휴대전화 소액결제 서비스다. 사기범들은 이걸 이용해 스미싱을 한다. 결국 공인인증서제도 때문에 통신사들이 보안에 정말 취약한 결제방식을 만들어낸 것이다."
 
   
▲ 박경신 고려대 법학전문대학원 교수 ⓒ김병철
 
-왜 한국 인터넷 서비스엔 본인 확인제도가 많나.
"규제 중심의 정책을 펼쳐서 그렇다. 예를 들어 인터넷에 명예훼손 글을 올린 사람, 천안함에 대한 허위사실을 유포한 사람을 잡기 위해서라든가 그런 보안중심의 사고를 가지다 보니 본인 확인제도를 많이 한다. 또 미성년자가 성인 게시물에 접근할까봐 본인 확인을 많이 한다."
 
-외국은 왜 확인제도가 적나.
"보안중심의 사고가 망상이라는 걸 알기 때문이다. 헌법재판소 결정문에도 나왔지만, 본인 확인을 한다고 불법정보가 줄어들지 않는다. 나쁜 일을 하는 사람은 어차피 명의도용을 한다. 외국에선 서비스 업체가 상대방을 확인한 후에 서비스를 제공하겠다는 것 자체가 무망하다는 것을 알고 있다."
 
-서비스 제공에 신분확인은 필요 없다는 건가.
"결제에 필요한 건 결제수단이지, 개인정보가 아니다. 상점에 가서 물건을 살 때 현금이나 카드와 같은 결제 수단을 내지, 신분증을 내놓지 않는다. 다만 담배 등을 살때만 본인을 확인한다. 인터넷에서도 그런 상품은 신용카드로만 결제하게 하면 성인 인증이 가능하다."
 
-개인정보 유출의 배경엔 본인 확인제도와 주민등록번호 제도가 있다는 건가. 
"본인 확인제도가 인터넷상으로 가능하고 유용할 것이라는 환상을 심어주는 게 바로 주민등록번호다. 사람을 하나의 번호로 대체할 수 있다는 생각이다. 외국의 사회복지번호 등은 필요하면 다른 번호로 재발급 받을 수 있다. 우리나라는 한 번 받으면 바꿔주지 않는다. 주민등록번호가 그 사람을 대체하기 때문이다."
 
-개인정보 유출을 바탕으로 이루어지는 범죄를 막을 수 있는 대책은 무엇인가?
"명의도용의 책임을 서비스 제공업체가 안고 있어야 한다. 업체가 더 효율적인 보안대책과 결제시 명의도용을 방지하는 방법을 계속 개발해야 한다. 그 책임을 사용자에게 미루는 것 중에 하나가 공인인증서방식이다. 이제는 공인인증서가 해킹의 타깃이 되고 있지 않은가."
 
-본인 확인제도, 주민등록번호제도는 어떻게 해야하나.
"불필요한 본인 확인제도는 줄여야 한다. 주민등록번호제도는 공공기관뿐만 아니라 국민들도 너무 오랫동안 의지해서 사용했기 때문에 갑자기 바꾸면 혼란이 올 것이다. 사람을 하나의 번호로 대체하지 않는 다원적인 대체수단 등에 대한 연구가 필요하다."
저작권자 © 미디어오늘 무단전재 및 재배포 금지