주민등록번호를 대신할 수단에 관한 기사를 읽고

전국민 일련번호는, 우리 나라의 주민등록번호만큼 널리 쓰이는 것은 잘 없지만, 다른 나라에도 비슷한 게 있습니다. 운전면허증이라든가 사회보장번호라든가 그에 준하는, 공공기관이 개인에 부여한 번호 말이죠. 이게 없으면 현대 국가는 개인을 식별해 행정업무를 처리하기가 매우 어렵거든요. 그 예로, 이천년대들어 일본에서 난리였던, 행정문제(수십 년 전 문서 분실)가 생긴 뒤로 개인식별이 안 돼 연금관리에 구멍이 난 사례가 있습니다. 일본에는 2015년에 마이넘버 제도를 시행했다고 합니다. 관련 기사:

한국의 주민등록번호와 일본의 마이넘버
박지훈/ 펜타시큐리티 정보보안연구소 TOSLab 편집장
허핑턴포스트 2015년 09월 16일

이 기사에서는 주민번호를 좀 악담하고 있습니다. 펜타시큐리티면 보안플러그인을 만드는 업체일 텐데 좀 거시기하네요. 하긴 정부가 뭐라도 새 사업을 하면 또 돈벌 수 있으니까. 주민번호는 애초에 보안은 고려하지 않은 제도입니다. "일부러 정보를 노출하는 번호"라고 기고자는 쓰고 있지만 그건 후대 사람이 생각하기에 그렇게 보인 것일 뿐이라고 저는 생각합니다.^[각주:1]

주민번호의 산식은 프로그래밍 공부를 좀 해봤다면 한 번 쯤은 관심을 가져봤을 테니 잘 아실 것입니다(자릿수 설명은 아래 두 번째 기사에 나옵니다). 요즘은 쉽게 검색해볼 수도 있지만, 90년대 초까지만 해도 그걸 함부로 말하는 건 좋지 않게 봤습니다. 그리고 주민번호는 원래, 아무에게나 가르쳐주는 것도 아니고 남의 주민번호를 알았다 해서 함부로 써서도 안 됩니다. 과거에는 주민번호를 함부로 공개적으로 다루는 것 자체가 범죄의심내지 터부시되는 분위기였습니다. 그리고 컴퓨터와 인터넷이 없어서, 할 놈은 했겠지만, 국가권력을 제외하면 주민번호는 대량 유통되기도 힘들었고 해킹은 할 데도 없었죠. 지금과는 달랐습니다. (그리고 금융실명제가 없던 시절이었습니다)

주민번호를 처음 계획하고 부여했다는 60년대말~70년대초를 상상하면 그 때 우리 나라의 관공서에는, 복사기도 없었고^[각주:2], 팩시밀리도 없었고, 계산기도 없어서^[각주:3] 공무원은 큰 계산은 주판을 썼습니다.^[각주:4] 먹지를 끼운 2벌식, 4벌식 수동 타자기를 사용했고, 볼펜똥을 닦아가며 표를 그리던 시대죠(군대는 90년대 중반까지 그랬다고 합니다. 행망용 워드를 쓸 때까지는 공존했고, 386급 이상과 아래한글 2.대가 보급되고 나서 치웠을 겁니다). 60년대면 중앙정부도 메인프레임 컴퓨터를 행정에 쓰는 시절은 아니었으니까요. 그리고 60년대말이면 아마 지방공무원^[각주:5]은 고졸자를 쓰면 다행이던 때지 않겠어요? 그러니 국민 일련번호는 해시함수를 쓰는 고급 방식이 아니라, 각 지방 동사무소에서 직접 일련번호를 부여하고 정기적으로 장부를 중앙에 보내는 방식이 편했을 겁니다. 뭐, 생년월일에 성별까지 보이게 만든 건, 확실히 행정편의적이죠.^[각주:6] 좋게 말해 생태학  실험하는 과학자가 짐승이나 풀에 번호붙이듯 한 공돌이 마인드. -_- 아마, 처음 만든 사람은, 그걸 정부 용도로만 사용할 것을 상정하지 않았을까 생각해봅니다. 요즘 관념으로는 그래도 저 구성은 문제지만요.

어쨌든 간에, 정부가 교육용 컴퓨터를 정하고, PC통신과 ISDN이 퍼지고 90년대를 지나며 주민번호는 담당공무원이나 아는 번호가 아니라, 컴퓨터를 공부하는 사람이면 한 번쯤 건드려보는 게 됐고, 공공기관과 민간 모두 부주의한 관리를 틈타 데이터가 뭉치로 흘러가기 시작헀습니다.^[각주:7] 그리고 복사기와 행정전산화는 주민번호를 범죄에 매우 취약하게 만들었을 겁니다. 그리고 90년대말의 전자금융과 전자정부.. 그리고 주민번호의 의미가 이제 상식처럼 알려지고, 민간 기업과 단체 웹사이트들이 회원관리용으로 주민번호를 수집하면서, 그리고 이 사이트들이 개인정보를 팔아먹거나 해킹으로 털리고, 불법적으로 개인정보가 유통되면서 본격적인 이슈가 되었다.. 고 저는 이해하고 있습니다. 

즉, 주민번호는 개인식별용으로 만들어지긴 했지만, 주민번호를 아는 사람이 주민번호가 지시하는 그 사람인 지 확인하는 인증용으로는 그 번호도 유통하고 관리해온 방식도 본래 부족했는데, 주민번호를 포함한 정보유통이 별로 없던 시절에는 그런 대로 본인확인용으로 썼지만, 인터넷시대가 되고 엄청나게 털리고 밀거래되기 시작하면서 그런 쓸모는 없어진 겁니다. 그런데 PC통신 시대 초기부터 인터넷시대까지 길게 잡아 약 15~20년간, 세태가 크게 바뀌는 동안 그걸 용도밖으로 너무 많이 써먹었던 거죠.

기술이 발전한 만큼, 그 대안을 생각한 지도 오래 됐고 그래서 아이핀이 나온 게 한 십 년 됐나요? 아이핀은 주민번호와 달리 아이핀 아이디만으로 소유자를 짐작할 수는 없습니다. 그런데 그것도 문제가 알려졌고 또 털리기도 했다고 하고.. ^[각주:8]

그럼 미국에서 주민번호역할을 한다는 사회보장번호(SSN)는 어떤가.. 좀 찾아봤는데,
http://collegeinside.koreadaily.com/knowhow_detail.html?idx=43
http://blog.naver.com/uscpalicense/220489832398
지역번호+그룹번호+일련번호로 구성된다고 합니다. 일단 생년월일과 성별정보가 없는 게 큰 차이입니다. 그리고 지역은 관할지역이지 출생신고하는 지역이 아닙니다.

https://en.wikipedia.org/wiki/Social_Security_number
SSN은 1930년대에 처음 만들어졌고, 1986년 전까지는 소득을 추적할 일이 없는 14세 미만 미국인은 SSN을 받을 일이 없었지만, 나중에는 부양아동 공제와 다른 목적으로 아이들도 다 부여받도록 했다고 합니다. 그 전에는 세제혜택을 받기 위한 절차로 부모가 신고하면 그걸로 인정하고 처리했는데, SSN을 부여한 첫 해에 7백만 건이 거짓말로 드러났다고.
SSN을 구성하는 9자리 번호는 개인 신상정보와 관련없는 정보로만 구성돼 있고, 본래 납세업무를 위해 전국의 우체국에서 발급하기 시작해 용도를 더해 퍼진 SSN도, 행정편의적으로 부여한 번호가 있어서 어느 정도 정보를 얻어낼 수 있었지만, 번호만으로 뭔가를 알아내는 걸 마저 없애기 위해 2011년에 번호를 랜덤하게 부여하도록 바뀌었다고 합니다("SSN randomization"). 단, 유효한 번호인지 간단하게 확인하기 위한 수단은 들어가 있는 모양입니다.

우리 나라도 이거 가능하지 않을까요? 예를 들어, 주민번호 13자리를 성별자리에 지금 안 쓰는 번호, 예를 들어 0번을 주어 현행 주민번호와 구별하고, 맨 끝 1~2자리는 체크썸(?)이나 다른 용도로 놔두고, 나머지 10~11자리를 다 써서 2018년부터는 랜덤숫자로 부여하는 거죠..

이렇게 임의번호를 부여했지만, 그래도 미국도 민간기업과 웹사이트에서 이걸 개인인증용으로 써먹는 바람에 널리 유통되는 것에 대해 우려가 많아서, 우리 정부가 주민번호 사용과 유통을 제한하듯이 꽤 신경쓰는 모양입니다.

다음은 시사저널 기사. 주민번호 변경에 대한 것입니다.
주민번호 변경문제가 국제문제가 된 적이 있죠. 백 살이 넘은 사람이 생기고 있고 해서 정부가 주민번호의 일부 자리를 이용해 새 번호를 만들었는데, 기사가 잘 생각나지 않는데, 하다 보니 그랬는지, 귀화국민 그리고 북한출신 국민이 받는 번호가 그리로 들어간 게 많았다고 하더군요. 물론 한국출생 국민도 있고. 그런데 중국에서 우리 주민번호 산식을 알고 있으니까, 한 때 북한출신 한국민의 입국을 그 번호로직을 이용해 막으면서 탈이 났다나 했던.. 제대로 기억하고 있는지 모르겠는데 대충 그런 기사였던 것 같습니다. 그 때 주민번호 변경 요구가 많았어요. 그리고, 해킹이나 신상정보 노출로 주민번호가 안전하지 않게 되었거나 생활에 불편하게 된 사람들이 바꿔달라고 법원에 신청하는 경우도 있다고 하더군요(여기까지는 다시 출처확인을 안 했으니 다 확인해야 할 얘기). 일단 생각난 것들을 주섬주섬 끄적인 다음에 기사로 들어갑니다.

주민등록번호 대신 임의번호는 어떠세요
주민번호 변경 허용했지만 개인정보 담긴 숫자는 변경 못해…피해 우려 입증 방법도 문제
시사저널 조유빈 기자 ㅣ you@sisapress.com | 2016.09.17

• 2015년 12월, 헌법재판소는 일정한 요건을 구비한 경우, 심사 후 주민등록번호 변경 허용 결정.
• 2016년 5월, 주민등록법 개정안 국희 본회의 의결. 2017년 5월부터 조건부로 주민번호 변경 가능.
  : 주민등록번호 유출로 생명∙신체∙재산 등 피해를 입거나 피해가 우려되는 경우, 성폭력 피해자나 성매매 피해자 중 주민등록번호 유출로 피해를 입거나 피해가 우려되는 경우로 본인이 실질적인 피해 사실이나 위험성을 증명할 수 있는 경우에 한정.
• 주민번호체계가 개정된 것이 아니기 때문에, 생년월일과 성별번호는 유지하고 출생지관청번호 등만 바뀜.

그래서, "개인정보 표시 없는 임의번호 필요성 제기"

사실, 관공서와 기업이 주민번호를 받지 않도록 법이 바뀐 뒤에 그 조직들은 창구에서 개인확인할 때 생년월일을 물으니까, 주민번호 앞자리는 여전히 보안위험을 안고 있는 셈입니다.

1. 액티브X 컨트롤처럼요. 약 20년 전, 펜티엄 120MHz CPU를 쓰던 시절에는 대안이 없는 기술이었지 않아요? [본문으로]
2. 이건 70년대까지도 우리 나라 전체에 꼽을 정도였을 겁니다. 동네 문방구까지 보급된 건 아마도 80년대. 80년대중반 초등학교와 교회는 등사기로 밀어 시험지와 유인물을 찍었습니다. 그리고 시간을 들여 청사진을 뽑는 기계가 있었고, 가게도 있었습니다. 70년대말까지 일반 회사에서는 자대고 볼펜똥을 닦아 가며 표를 그렸고, 공무원의 회고담을 보면 청사진이 찢어지면 어떤 난리가 나는 지 무용담도 있습니다. [본문으로]
3. 판매가격이 대폭 떨어진 원칩 전자계산기가 미국에서 처음 발명된 시기가 70년대 초반입니다. TI에서 휴대형 전자계산기를 발명한 때가 1967년. [본문으로]
4. 80년대 EDPS학원이라고도 부르던 전산학원에서는 천공카드 프로그래밍을 가르쳤고, 기술계 고등학교에서는 코볼과 포트란을 가르쳤습니다. 그리고 초중학생들은 주산암산학원에 다녔습니다. [본문으로]
5. 지금도 지방에 소재한 관청은 인재를 확보하는 데 신경씁니다. 국가공무원은 좀 쓸 만 하면 서울로 가려고 하고 지방공무원도 인재는 광역자치단체가 뽑아가거든요. [본문으로]
6. 시작한 주용도가 간첩식별이라는 말이 있을 정도니. ;; 그렇게 생각하면 어쩌면 소가 뒷걸음질하다 쥐잡은 격. [본문으로]
7. 예를 들어, 대학교에서 선거할 때 유권자 본인확인용으로 주민번호를 사용했는데, 선거가 끝난 뒤에 그 복사물 뭉치를 아무렇게나 버리거나 아무나 가져가는 일이 흔했습니다. 마치 요즘 국정감사철에 국회에는 국회의원이 요구해 관공서가 제출한 민감한 문서들이 트럭으로 실려오지만 대부분 재활용 쓰레기로 별도의 보안처리없이 아무 민간회사에나 불하된다고 해서 큰 물의가 있었던 것처럼 말입니다. [본문으로]
8. 아이핀과 마이핀에 대해서는 약점을 말하는 글도 많은데, 그럼 어떻게 하자는 거냐는 질문엔, 제 머리가 나빠선지, 대안을 잘 설명한 사람은 그다지 없는 것 같습니다. 이 글을 쓰며 나무위키의 아이핀 항목을 봐도, 옥상옥을 만들자는 것처럼 보여요. 아예 개인에게 대응하는 번호를 폐지하자는 이상론자는 여럿 있지만 그런 건 읽을 가치도 없으니.. 예를 들어, 배경이 되는 운영 방식은 다양하겠지만, 랜덤한 10자리 숫자같은 건 공통이지 않겠습니까. 누가 좋은 생각을 해내면 많은 분야에 널리 쓸 수 있을 텐데(= 큰 돈이 될 텐데). [본문으로]