전자신분증 도입 요구가 이어질 때마다 언급되는 대표적 선례가 독일이다. 지난해 정부의 모바일 신분증 추진계획 발표 이후 전자신분증 도입 논의가 다시 불거지는 가운데, 독일의 경우 신원확인 정보를 목적 외에 이용하지 못하고 저장된 개인정보도 즉시 삭제하도록 규정하는 것으로 나타났다. 국회 입법조사처는 23일 독일 전자신분증 관련 법제 분석 보고서를 냈다.
독일은 지난 2010년 11월부터 IC칩을 삽입한 ‘전자신분증’(eID)을 발급했다. 2008년 유럽연합(EU)이 IC칩이 삽입된 전자카드 형태의 통합신분증을 만들려 했으나 주요국 반대로 무산되자 도입한 제도다. 독일 전자신분증은 IC칩이 내장된 카드 형태로 발급된다. 그러나 2017년 6월 기준 발급된 신분증의 3분의2는 전자신분증 기능을 쓰지 않는 비활성화 상태에 머물렀고, 독일은 2017년 전자신분증 사용 촉진을 위해 관련 법을 개정했다. 법 개정 후 전자신분증 기능이 기본적으로 탑재된 신분증을 발급하기 시작하면서 지난해 기준 50% 정도가 전자신분증으로 활성화됐다.
신분증의 주요 기능은 현장에서의 오프라인 신원정보 판독, 온라인 신원확인이다. 온라인에서 이를 사용할 땐 신분증 소지자가 6자리 pin번호를 입력하면 서비스제공자가 요청하는 이름·생년월일·주소 등 개인정보가 암호화된 상태로 보내지는 구조다. 예컨대 온라인 쇼핑몰에서 별도로 물품 발송을 위한 주소 등을 입력하지 않아도 되는 것이다. 서비스제공자는 제공자, 인증 유효성 등이 표시된 인증서를 구매자에게 전한다.
신원확인 서비스제공자는 전자신분증 기능 이용을 위한 정보보호 및 보안 요건을 갖춰야 한다. △기술적·조직적 조치들을 통해 개인정보 신원확인을 위한 목적에의 이용 및 이용 목적 이후 즉시 삭제 등 규정 준수가 보증 △주소변경 등 정보변경은 공신력 있는 허가증을 통해 허가된 기계를 사용 등이다. 또한 신분증 소지자의 개인 관련 정보를 신분증 소지자의 신원확인 목적, 업무용으로 위임자가 신원확인을 위해 준 온라인 양식을 기입하기 위한 목적으로만 이용해야 한다. 보고서는 “신원확인 서비스제공자는 신원확인이 끝났거나 경우에 따라 온라인 양식과 법적 녹화의무 때문에 저장된 정보들을 위임자에게 전송한 후에는, 즉시 신분증소지자의 개인정보를 삭제해야 한다”고 설명했다.
한국의 경우 지난 2010년 IC칩을 포함한 전자주민등록증을 2013년 발급하겠다고 밝혔으나 개인정보 유출 우려와 반대로 무산됐다. 약 10년이 지난 지난해 9월 정부는 국무회의를 통해 스마트폰을 활용한 모바일 신분증 추진계획을 발표했다. 공무원증, 학생증 등 이용 목적·대상이 분명한 분야부터 시작해 안전성을 검증한 뒤 국민 신분증까지 확대한다는 구상이다. 백재현 더불어민주당 의원은 지난 2017년 주민등록증을 암호화된 스마트폰 애플리케이션에 보관해 모바일 주민등록증으로 사용하도록 하는 법안을 대표발의한 바 있다.
입법조사처는 “2017년 독일 ‘신분증법’ 개정은 전자신분증의 활성화, 신원확인 서비스제공자의 제3자 신원확인 권한 허가 등 전자신분증의 적용 범위의 확대에 관한 내용을 담고 있다. 그러나 동시에 신원확인 서비스제공자의 정보 이용목적 외 사용제한과 저장 제한, 신원확인 권한 허가 조건 등을 명확히 규정하고 있다”며 “우리나라도 추후 전자신분증에 대한 국민적 합의가 이루어진다면 전자신원확인에 대한 정보 보호와 보안에 관한 규정을 포함한 ‘주민등록법’ 개정을 신중히 검토해 볼 필요가 있다”고 밝혔다.
전자신분증에 대해 시민사회가 반대논리로 제시했던 근거는 여전히 해소되지 않고 있다. 앞서 2011년 정부의 전자신분증 도입 추진 당시 정보인권단체들은 “전자주민증을 도입한 국가들이라 하더라도 한국에서처럼 의무발급, 주민등록번호, 지문날인 제도를 모두 가지고 있는 경우는 극히 일부에 불과하다. 독일은 개인번호나 지문을 국가 중앙 차원에서 관리하지 않으며, 전자 기능의 삽입과 지문 수록이 선택 사항”이라며 “실제로 독일에서는 전자주민증 도입 이후에도 전자 기능을 배제하는 경우가 많이 발생하고 있는데, 이는 전자신원증명의 보안성과 안전성에 대한 우려 때문”이라고 지적했다. “테러 방지 등의 명분으로 영국이 최근까지 전자주민증을 추진하였으나 프라이버시 침해와 예산 논란 끝에 2010년 12월 관련 법률을 공식적으로 폐지하였다는 사실에 주목할 필요가 있다”며 “신분증 소지자의 개인 정보는 신원확인 목적으로만 이용해야 한다”고 강조했다.
특히 주민등록번호 제도는 한국 개인정보체계의 결정적 취약점으로 꼽힌다. 이들은 “중대한 위·변조 유형과 수법은 아예 중국 등 해외에서 들어오거나 ‘조직연계형’으로 이루어지는 범죄인데 위조 과정에는 다른 경로로부터 부당하게 획득한 개인정보가 활용되고 있다. 이미 3500만(2011년 기준) 주민번호가 유출된 상황에서 해외와 조직적 경로로 이를 이용한 전자주민증의 위·변조가 전혀 발생하지 않을 것이라는 낙관에는 근거가 없다”며 “개인정보의 경제적 가치가 매우 높은 상황에서 법안의 처벌 규정만으로 정보 수집이나 저장행위를 예방하기 어렵다”고 비판한 바 있다.