최근 발생한 모 카드회사의 개인정보 유출은 단순한 보안 사고의 반복적 유형이 아니다. 이는 우리 사회의 본인확인 및 개인식별 체계가 여전히 '유출을 막는 것'에만 초점을 둔 수동적 관점에 머물러 있음을 적나라하게 드러낸 상징적 사건이다. 특히 주민등록번호의 대체 수단으로 도입된 연계정보(CI)가 대규모로 유출되었다는 점은, 이제 개인정보보호 논의가 '유출 방지'를 넘어 '유출 이전의 구조적 관리'라는 능동적 영역으로 진입해야 함을 분명히 시사한다.
본래 CI는 주민등록번호의 광범위한 수집·이용을 제한하기 위한 정책적 고민 속에서 도입된 임시적·보조적·대체적 식별자였다. 주민등록번호는 그 자체로 식별성이 극히 높을 뿐 아니라, 성별·출생지 등 일정한 개인정보를 내포하고 있고, 일단 유출될 경우 이를 키값으로 수많은 데이터베이스를 연계·결합할 수 있어 개인의 자유와 권리에 중대한 제약을 초래할 위험이 크다는 점에서 사용 최소화가 정책 목표였다. CI는 이러한 위험을 완화하기 위해, 주민등록번호를 직접 사용하지 않으면서도 필요한 범위 내에서만 개인을 연결하기 위한 '임시적 대체 수단'으로 설계되었다는 점에서 그 도입 취지의 정당성을 가진다.
그러나 제도 도입 이후 현실에서의 CI는 그 초심과 점점 멀어졌다. 금융, 통신, 플랫폼, 전자상거래 등 이종 산업 간 데이터 결합의 핵심 연결고리로 기능하며, 사실상 개인의 디지털 활동 전반을 관통하는 '디지털 마스터키'로 군림하게 되었다. 마이데이터 서비스의 확산은 CI의 활용 범위와 권한을 더욱 확대시켰지만, 이를 관리하는 철학은 주민등록번호 시대의 관성에서 한 발짝도 나아가지 못했다.
현행 CI 제도의 가장 치명적인 결함은 '단일 발급', '유효기간 부재', '영구적 유지'라는 세 가지 구조적 특성에 있다. 이는 현대 정보보안의 기본 원칙인 수명 주기(Life cycle) 관리가 CI에만 예외적으로 적용되지 않는다는 의미이기도 하다. 암호화 키나 접근 토큰조차 주기적으로 갱신·폐기되는 시대에, 개인의 온·오프라인 정체성을 가장 광범위하게 연결하는 식별자가 사실상 영구 유효하다는 점은 보안 설계상 중대한 결함이다.
더 심각한 문제는 CI가 기능과 위험성 측면에서 주민등록번호와 유사한 위상을 갖게 되었음에도 불구하고, 법적 보호 수준은 이에 미치지 못한다는 점이다. 주민등록번호는 개인정보보호법상 '고유식별정보'로 분류되어 엄격한 수집·이용 제한과 강화된 보호조치를 받는 반면, CI는 동일한 결합 가능성과 침해 위험을 내포하고 있음에도 고유식별정보 범주에 포함되지 않는다. 결과적으로 제도의 취지는 주민등록번호 보호였으나, 현실에서는 주민등록번호를 대체한 또 하나의 사실상 영구적 식별자가 등장함으로써, 유사한 침해 위험이 구조적으로 재생산되는 역설이 발생하고 있다.
이번 사고처럼 CI가 주민등록번호와 결합된 상태로 유출될 경우, 이는 단순한 개인정보 노출을 넘어 장기적·지속적인 신원 도용 위험으로 확대된다. 문제는 이러한 위험이 별도의 제도적 조치가 없는 한 시간의 경과만으로는 자연 소멸되지 않는다는 데 있다.
일각에서는 CI2 도입이나 CI 전면 재발급을 대안으로 제시한다. 그러나 이는 문제의 본질을 충분히 짚지 못한 처방에 가깝다. CI 값이 무엇으로 바뀌든, 그것이 다시 '고정 식별자'로 기능하는 구조가 유지된다면, 우리는 머지않아 동일한 유출 사고와 동일한 무력감을 반복하게 될 뿐이다. 본질적 문제는 'CI 노출' 그 자체가 아니라, '노출된 CI가 영구히 유효하도록 설계된 구조'에 있다.
정보보호의 패러다임은 '유출을 100% 막을 수 없다'는 현실 인식 위에서, 유출된 정보의 가치를 신속히 소멸시키는 방향으로 진화해야 한다. 제로 트러스트(Zero Trust) 보안 원칙 역시 모든 접근과 식별을 영구적으로 신뢰하지 않고, 지속적인 검증과 갱신을 전제로 한다. CI 역시 이러한 흐름에서 예외가 될 수 없다.
따라서 이제 CI 제도는 본래의 도입 취지로 돌아가 근본적인 재검토가 필요하다. 첫째, CI를 다시 '임시적 대체 식별자'로 위치 시키고, 유효기간을 명확히 부여하여 정기적인 재발급과 폐기가 가능한 구조로 전환해야 한다. 둘째, 유출 사고 발생 시 해당 시점의 CI를 즉시 무효화하고 새로운 식별자로 전환할 수 있는 기술적·제도적 거버넌스를 마련해야 한다. 만약 이러한 임시성 회복이 현실적으로 어렵다면, 최소한 CI에 대해 고유식별정보에 준하는 강화된 보호체계를 도입하는 것이 불가피하다.
이미 정책적 선례는 존재한다. 관세청은 올해부터 본격 시행하는 개정 고시를 통해 개인통관고유부호에 유효기간을 도입하고 주기적 재발급이 가능하도록 제도를 개선했다. 고정 식별자 역시 관리의 대상이며, 일정 기간이 지나면 폐기되어야 한다는 원칙을 정부 스스로 인정한 것이다. 개인통관부호보다 훨씬 광범위하게 활용되고 금융·신원 정보를 사실상 담보하는 CI가 여전히 무기한 유효한 상태로 방치되고 있다는 점은 명백한 정책적 불균형이다.
정보의 보호 수준은 그 사용 범위와 잠재적 위험도에 비례해야 한다. CI는 더 이상 단순한 '연결 값'이 아니라, 개인의 디지털 삶 전체를 지탱하는 핵심 인프라다. 이번 사고를 계기로 우리가 논의해야 할 질문은 “CI를 바꿀 것인가”가 아니라, “CI 관리 구조를 이대로 존치해도 되는가”이다.
설령 CI 유출이 발생하더라도, 식별자에 수명을 부여하고 탈취된 정보의 효용이 스스로 소멸되는 구조로 전환하는 것. 이것이 디지털 시대에 국가와 기업이 최소한으로 갖추어야 할 방어 기제이자, 사고 이후 사회가 요구하는 책임 있는 대응일 것이다.
최경진 가천대학교 교수 kjchoi@gachon.ac.kr
남궁경 기자 nkk@etnews.com
