본문 바로 가기

[ 테크 ] 더 친절한 기자들

스마트폰이 면허증 대신한다는데…저장된 개인정보는 어쩌나

by한겨레

규제샌드박스 통과한 ‘모바일 운전면허증’

정보제공동의 전제로 신분인증기관과 매개

이통사가 인증 맡고 정보는 기기에 남겨두기로

해킹 연쇄 피해, 정보 사찰 가능성 줄지만

스마트폰 주인에 ‘보안 책임’ 떠넘길 우려도

“단말에 남은 정보도 보안관리 엄격히 해야”

한겨레

지난달 26일 과학기술정보통신부 제6차 신기술·서비스 심의위원회(규제샌드박스)를 통과한 ‘모바일 운전면허 인증제’가 정보기술(IT) 업계 뜨거운 감자로 떠올랐습니다. 카드로만 소지하던 신분증을 스마트폰으로 인증할 수 있다는 기대감과, 디지털 정보가 된 운전면허증이 제3자에 유출될 수 있다는 우려가 교차하고 있어서입니다. 장석영 과기부 정보통신정책실장이 언론 브리핑에서 “개인정보는 단말기(스마트폰)에 저장하고 통신사는 면허증이 유효한지 여부만 확인한다”고 설명했지만 논란은 가라앉지 않고 있습니다. 스마트폰 운전면허 인증, 어떤 원리로 구동되며 어떤 장단점을 가지고 있을까요?


과기부 자료를 보면, 모바일 운전면허 인증 절차는 두 번에 걸쳐 진행됩니다. 먼저 스마트폰 사용자의 정보와 운전면허정보가 일치하는지 대조하고 지문이나 암호 등 본인인증수단으로 본인확인을 합니다. 이통사의 본인인증앱 ‘패스(PASS)’를 통해서입니다. 이때 이통사는 양쪽 정보 대조만 하고 운전면허증 정보를 따로 저장하지는 않습니다.


그 다음엔 이통사에 제출된 면허증이 국가가 발급한 면허증과 같은지를 봅니다. 경찰청·도로교통공단이 보관하고 있는 면허증 자료와 제출 자료가 동일한지, 위·변조됐거나 날짜가 지나지 않았는지 등을 확인하는 절차지요. 이동통신사가 자동화 시스템을 통해 경찰청으로부터 맞다, 아니다를 전달 받으면 인증절차가 종료됩니다. 이때도 이동통신사는 면허증의 유효성 여부만 확인할 뿐 정보를 직접 들여다보지는 않습니다. 즉 이동통신사 서버에 저장되는 정보는 사전에 제공동의된 사용자 개인정보 및 이를 운전면허증과 대조한 기록, 경찰청 자료와 대조한 기록 정도입니다.


민감정보를 이용자 단말기에 저장하는 ‘탈중앙화’ 흐름은 최근 정보기술 업계에서 다양하게 활용되고 있습니다. 구글·페이스북 등 글로벌 아이티 기업들이 개인정보를 중앙 서버에 무단 수집·저장하고 광고에 활용한다는 지적이 일면서부터입니다. 개인 생체정보를 인증수단으로 활용할 때 단말기에만 저장하도록 규정한 ‘파이도(FIDO)’ 표준도 영향을 미쳤지요. 최근엔 애플도 자체 뉴스 앱을 제작할 때 개인의 뉴스 취향 정보가 단말기에만 저장되도록 설계해 특허를 출원했습니다. 정치 논란에 휘말리지 않도록 사전에 가능성을 차단한 셈입니다.


민감정보를 중앙 서버로 보내지 않고 개인 단말기에 저장하면 제3자 정보 사찰이나 대규모 해킹 공격에 노출될 가능성이 상대적으로 낮습니다. 혹시 단말기 한두 개가 해킹 공격을 당하더라도 다른 사용자 정보는 살아남을 수 있습니다. 하지만 해커들의 공격이 개인 단말기에 집중될 수 있고 정보보호 책임도 보안 비전문가인 사용자에게 전가될 가능성이 있습니다. 최악의 경우 해킹이 발생했는데 ‘사용자가 단말 관리를 잘 했어야 한다’는 논리가 만들어질 수도 있는 것입니다.


최경진 가천대 법학과 교수는 “갓 성인이 된 운전자나 노령 운전자 등 단말기 보안 관리에 서투른 이용자들이 많을 것”이라며 “피해를 최소화하려면 단순히 해킹차단 앱을 쓰는 수준이 아니라 제조사에 요청해 운영체제(OS)와 연계된 암호화 하드웨어에 정보를 저장해야 하고 저장공간에 접근할 때도 인증 절차를 거치도록 해야 한다”고 했습니다. 운영체제 위에 깔리는 앱만으로는 해킹 공격을 막기 어려우니 펌웨어 설계 단계에서부터 보안 조치를 포함해야 한다고 본 것입니다.


모바일 운전면허증 플랫폼을 이동통신사가 제공한다는 점도 논란거리입니다. 김승주 고려대 정보보호대학원 교수는 “신분증을 스마트폰에서 인증한다는 건 엄연한 공공과제인데 이를 민간사업자가 구현한다는 점에서 또 다른 빅브라더가 나올까 우려된다”고 했습니다. 앞으로 주민등록증이나 여권 등 다른 신분증이 스마트폰으로 구현될 경우 통신사 영향력이 커질 수밖에 없고 공공사업이 사업자 요구에 끌려다닐 수도 있다는 뜻입니다. 신청자에 한해서만 과제를 수행할 수 있는 규제샌드박스 특성상 당장 다른 경쟁 사업자가 진입하기도 쉽지 않을 것으로 보입니다. 이동통신 3사는 이르면 10월께 사용자 보안 조처를 포함한 주요 얼개를 공개할 예정입니다.


신다은 기자 downy@hani.co.kr