soulee.dev

대한민국의 정보보안과, 자기결정권 그리고 본인인증

· 10 min read
essayinfosecpolicy

대한민국의 정보보안과, 자기결정권 그리고 본인인증

나는 중학교, 고등학교때부터 정보보호 영재원에서 공부했다.

감사하게도 그곳에서 실제 산업군과, 그리고 학계에 계시는 분들에게서 실질적인 것들을 들을수 있었다.

그리고 대학교도 정보보안 학과를 갔고, 이러다 보니 단순히 기술만 중요한 것이 아니라 세상에는 정말 많은 기업과 그 안에 있는 자산들, 그리고 그걸 둘러싼 제도와 기준들이 함께 돌아간다는걸 자연스럽게 알게 됐다. 기사 공부하면서도 느꼈고.

우리나라 정보보안 법제 구조

우리나라의 정보보안에는 크게 세가지 축이 있다.

  • 개인정보보호법
  • 정보통신망 이용촉진 및 정보보호에 관한 법률
  • 개인정보의 안전성 확보조치 기준

ISMS, ISMS-P, CSP…

보면 두루뭉술하게 써져있는 것도 있고, 기간을 명시하는것 처럼 명확히 써져 있는거도 있다.. 어떻게 보면 고맙다. 이렇게 하면 개인정보 유출시에 감경 받을수 있고, 최소한의 보호 조치는 될테니까.

근데 모두가 알겠지만 사람 사는게 다 똑같지가 않다. 어디는 어떻고 저기는 저렇고. 물론 그거에 대한 하한을 지키는게 의미있는 이유가 거기 있다. 금융회사에 적용되는 전자금융감독규정처럼 업권별로 더 강한 기준이 얹히기도 하고.

자기결정권 — 법은 선언했는데, 인프라가 없다

개인정보 자기결정권 얘기를 처음 봤을때는 솔직히 놀랐다. 개인정보보호법이라는 게 단순 규제의 역할만 하는게 아니라 이용자의 권익에 대한 부분도 신경을 쓴다는 것.

근데 2023년에 35조의2가 생기면서 전송요구권이라는게 생겼다. 정보주체가 자기 개인정보를 자신에게로, 또는 원하는 곳으로 전송해달라고 요구할 수 있다는거다.

개인정보보호법 제35조의2 (개인정보의 전송 요구)

① 정보주체는 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 본인에 관한 개인정보를 자신에게로 전송할 것을 요구할 수 있다.

② 제3자에게 전송을 요구할 수 있는 대상은 개인정보관리 전문기관, 또는 안전조치의무를 이행하고 대통령령으로 정하는 시설·기술 기준을 충족하는 자로 한정된다.

조문을 자세히 보면 제3자한테 전송을 요구할 수 있는 대상이 개인정보관리 전문기관이거나, 정부에서 허가해준 기관으로 한정된다. 처리자 자체도 대통령령으로 정하는 기준에 해당하는 곳만 의무를 진다.

쉽게 말하면 내가 내 금융 지출 데이터를 직접 Claude Code에 넘겨서 분석하고 싶어도, 오픈뱅킹이나 마이데이터 API는 정부에서 허가받은 기관만 쓸 수 있다. 개인은 신청 자격조차 없다. 내 데이터인데 내가 직접은 못 쓴다는거다.

법은 권리를 선언했는데 그 권리를 직접 행사할 인프라를 개인한테는 안 열어줬다. 마이데이터가 정보주체 권리 강화를 명분으로 만들어졌는데 파이프는 기업들만 쥐고 있는 구조가 됐다. API라는 것도 마찬가지다.

본인인증 체계의 문제

개인의 신분을 인증하기 위해 기업들이 각양각색의 방법으로 인증을 하는데, 들여다보면 선택지가 없는 경우가 대부분이다.

자동차 대여사업자는 운전면허 확인을 위해 한국도로교통공단 운전면허정보 자동검증시스템 말고는 할 방법이 없다. 특정금융거래보고법에 따른 고객 확인의무를 따르기 위해서는 비대면 실명확인 가이드라인에 따른 2단계 인증시 최우선으로 쓰는 신분증 사본 제출도, 정부24를 통해 스크래핑 해오는 식으로 구현되어 있다.

사실 모든게 다 그렇다.. 정부는 많은 데이터를 갖고 있지만 이를 개방하지 않는다. 그러니까 민간이 정부 시스템을 우회해서 긁어오는 구조가 된다.

그래서 중앙집중화가 맞다

나는 우리나라도 중앙집중화된 인증을 해야한다고 생각한다. 특히나 소유기반 + 지식기반을 합친 구조로.

반론이 나올 수 있다. SPOF 아니냐고. 근데 지금 휴대폰 인증은 KMC, NICE, SCI가 과점하는 완전 사설 기반이다. 이것도 이미 사실상 SPOF다. 이 중 하나 털리면 수천만명 인증 이력이 한꺼번에 나간다. 규모로 따지면 국가 중앙 시스템이랑 다를 게 없다. 차이가 있다면 책임 소재다. 사설 기관이 털리면 국가는 우리 시스템 아니라고 한발 빠질 수 있고, 실제로 그렇게 되어왔다.

심지어 정부 기관이 사설 기관에 돈을 내고 인증한다는게 너무 웃기다..

그리고 보안 체인은 가장 약한 고리에서 끊어진다. 사설 인증 사업자가 늘어날수록 약한 고리도 늘어난다. 중앙집중화하면 관리해야 할 고리 수 자체가 줄고, SPOF 리스크는 이중화로 완화할 수 있다. 파편화된 사설 구조의 보안 수준 하향 평준화는 기술로 못 막는다. 정책으로밖에 안 된다.

최근에 하는 Any-ID는 칭찬 받을만하다고 생각하는데, 정부 시스템을 기반으로 ID + 비밀번호 + 2차인증으로 된 로그인 시스템을 만들어야지. 아직도 모바일 신분증/간편인증 등으로 CI를 들고 이걸 기반으로 인증하는게 더 웃기다. CI는 주민번호 기반 해시인데 취소도 갱신도 안 된다. 유출되면 사실상 주민번호 유출이랑 같다. 이걸 인증 체계 핵심 식별자로 계속 쓰고 있다는게..

두 문제는 사실 하나다

본인인증 체계의 파편화 문제와 자기결정권의 인프라 공백은 따로 노는 문제가 아니다. 같은 문제의 두 면이다.

인증 인프라가 국가 손에 있어야, 개인이 그 인증 기반으로 자기 데이터에 직접 접근하는 것도 가능해진다. 지금은 인증도 사설, 데이터 접근도 기관 전용이라 개인은 이중으로 배제되어 있다.

보안은 항상 느끼지만 중앙집중화된, 정책 강제가 중요하다.

오죽하면 엔드포인트 보안이 중요하겠나. 아무리 다른걸 잘해도 끝단이 털리면 끝이다. 근데 그 끝단을 지키려면 그 위 구조부터 정리가 돼야 한다. 인증이 파편화되어 있으면 공격자는 굳이 단단한 끝단 안 뚫어도 된다. 가장 허술한 인증 사업자 하나 노리면 되니까.