[IT유토피아 u시티를 현실로](6)안전한 u시티 구축을 위한 좌담회

　<참석자>

이재일<한국정보보호진흥원 IT기반보호단장>

이은우<법무법인 지평 변호사>

정종기<정보통신부 정보보호기획단 정보보호정책팀장>

임종인<고려대학교 정보경영공학전문대학원 교수>

*사회=박진식 KT 비즈컨설팅본부 상무

　

　유비쿼터스 기술의 집합체로 평가되는 u시티 구축이 현실화되고 있다. 전자신문과 u시티협회는 도시개발 차원의 u시티 구축 외에도 지식정보사회의 문제점으로 지적되는 시큐리티 및 프라이버시 보호 관점에서 u시티의 바람직한 구현 방안이 무엇인가를 논의하기 위해 각 분야 전문가들을 초청, 의견을 청취했다.

　◇사회(박진식 KT 비즈컨설팅본부 상무)=u시티와 관련해 화성동탄의 경우에 이미 사회간접자본 투자가 시작됐고, 기타 도시에서도 후속사업들이 잇따라 준비되고 있다. u시티는 과거와 같이 시스템이 들어가면서 서비스가 얹혀지던 것과는 차원이 다르다. 건설, 정보통신, 행정 등의 융합이 우선 고려돼야 한다. 거주민의 편의성을 추구할 것인지 아니면 융복합 시대의 시큐리티와 프라이버시를 우선시해야 할 것인지 체계적이고 심도있는 논의가 필요하다.

　◇임종인(고려대 정보경영공학전문대학원 교수)=프라이버시권은 정보에 대한 자기통제권이다. u시티에선 의료서비스, 금융서비스 등 다양한 콘텐츠 제공 서비스를 받게 되면 자연스럽게 나에 대한 정보가 도시 운영 주체에 모아지게 된다. 이 부분에서 프라이버시 침해를 우려하게 된다. 내 정보가 내가 동의한 곳 외에는 사용되지 않고, 확실히 통제된다는 신뢰감을 심어줘야만 한다. 하지만 지금까지는 그 신뢰감이 구축되지 않은 듯싶다. u시티를 관할하는 지자체나 정부가 프라이버시 자기통제권을 어떻게 유지할 것인지에 대한 신뢰 정도에 따라 u시티에서 주민들이 다양한 서비스를 적극적으로 활용할 지 여부를 결정짓게 된다. 곧 신뢰감이 u시티의 활성화 등 미래를 결정짓는다. 인프라가 아무리 좋아도 그것을 제대로 활용하지 않는다면 아무런 의미가 없다.

　◇이은우(법무법인 지평 변호사)=미국은 개인의 정보가 침해되거나 공개되면 손해를 끼치지 않더라도 당사자에게 고지하도록 하는 법안이 발효 중이다. 우리나라는 아직 그 같은 체계적인 법도 없고, 침해사고 발생시에도 언론에 보도되기 전까진 그 내용이 공개되지도 않는다. 미국에서 사회보안 넘버나 계좌번호가 공개되는 등의 치명적인 것만 집계했는데도 지난해 1억건이 넘었다. 법적인 보완장치가 없는 우리나라는 그 사례가 더 치명적일 수 있다. 유럽에선 기업이 개인정보 유출에 따른 소송으로 파산할 수도 있다고 경고한다. 예를 들어 국내 대형 포털 운영사에서 500만명의 개인정보가 유출될 경우 1인당 10만원을 피해보상한다면 총 보상금액은 5000억원에 이른다. 기업의 존폐가 달려 있다. 그럼에도 불구하고 그에 대한 대비는 거의 없고 기업이 상업적인 이용목적으로 더 많은 사용자 정보를 모으려 한다. 은행도 백화점도 마찬가지다. 우리나라는 기본적인 보안 인프라 자체가 부족하기 때문에 이용자 정보 수집에 더 보수적일 필요가 있다. u시티는 유비쿼터스 환경을 제공하면서 보안이 취약한 무선 인프라를 사용하므로 위험관리를 보완하지 않을 경우 엄청난 문제가 발생할 수 있다. 인프라에 대한 불신감은 u시티 활성화에 큰 걸림돌이 될 수밖에 없다.

　◇이재일(한국정보보호진흥원 IT기반보호단장)=우리나라에선 주민등록번호 사용에 대한 개념이 부족이다. 주민등록번호를 입력하게 하면 서비스를 제공하는 기업이 편리하기 때문이다. 특정한 목적에 제한적으로 사용돼야 하는데 우리나라 민간에선 주민등록번호가 만능이다. 우리가 정보사회엔 관심이 있었지만 파생되는 부작용을 어떻게 하면 최소화하고 어떻게 하면 시민의 권리를 보호할 수 있을지에 대한 연구를 거의 안했다. 불과 1, 2년 전만에도 기업이 모아놓은 주민등록번호의 수로 기업의 가치를 판단했다. 위협 요소 없이 자산으로만 평가돼 왔다. 하지만 얼마 전 발생한 리니지 사건이나 올해부터 부상한 집단손해배상 등으로 의식전환이 이뤄져야 한다.

　◇사회=정보호호를 강화하기 위해 정부 차원에서 법이나 제도를 어떻게 준비하고 있는지 소개해 달라.

　◇정종기(정보통신부 정보보호기획단 정보보호정책팀장)=새로운 기술에 의해 생활수단이나 방식이 나왔을 때는 시행착오를 겪으면서 문제점을 바로잡는 시간이 필요한데 지식정보사회 기능, IT가 발달하면서 그 허용시간이 줄어들고 있다. 5년 전만 하더라도 개인정보가 이렇게까지 큰 문제가 될까 피부로 느끼지 못했고, 사용자나 기업 입장에서도 주민등록번호에 대해 민감하게 반응하지 않았는데 이젠 자산이 아닌 부채로 여겨질 만큼 부담이 됐다. 이젠 개인정보나 프라이버시 보호 측면에서 주민등록번호의 필요성 문제를 검토하면서 순기능적인 측면과 역기능적인 측면을 함께 생각해야 한다. 공공기관의 개인정보에 관한 법률 등 일부 법률이 마련돼 있지만 보완 및 강화 차원에서 개인정보에 대한 추가기본법을 만들기 위해 국회에서 새 법을 만들어 국민의 합의과정을 도출해 나가는 과정에 있다. 정부 입장에서는 정보통신망법이나 여러 법령을 전반적으로 검토하면서 새로운 사회적 변화에 맞도록 제도를 마련해 나갈 계획이다.

　◇이재일=u시티는 앞으로 굉장히 중요한 변화를 가져올 것으로 생각된다. 지금까지 리얼월드와 사이버월드로 구분하면 인터넷으로 연결된 세상은 나와 서버와 PC간에서 발생하는 사이버 세계지만 u시티는 리얼월드와 사이버월드의 구분이 없다. 과거엔 그 구분이 명확했다. 내가 사이버 월드만 참여하지 않거나 거기에 대해 접근을 제한하면 됐는데 지금의 u시티는 거리를 다니는 것, 건물 안에서 생활하는 것, 여러 서비스를 이용하는 것 자체가 리얼과 사이버월드를 넘나드는 것이기 때문에 새로운 변화가 된다. u시티에서 중요한 역할을 담당할 도시통합 관제센터의 경우 엄청난 주민 DB가 모아질 텐데 기 그 기록을 해킹의 방법으로 탈취하지 않더라도 다량의 트래픽을 유발할 경우 도시 기능이 마비될 수 있기 때문에 미연의 사고로부터 인프라를 잘 보호할 방법도 고민해야 한다. 포털에서는 개인정보를 많이 수집하지만 실제로 그걸 안전하게 지킨다거나 암호화한다거나 정보 유용을 막기 위해 제한된 범위만 사용하게 한다거나 등의 장치가 없었다. u시티 역시 이런 식으로 관리된다면 더 문제는 심각해진다. 이젠 u시티도 정보화만 할 게 아니고 사전에 정보수집 서비스 기획 단계에서부터 정보통제와 보호 문제에 대해 사전 준비해야 한다.

　◇임종인=서비스품질관리(QOS) 차원에서 보면 전에는 정보화에 역점을 두고 가용성, 효율성, 예측가능성 등을 우선시했다. 최근에는 시큐리티와 프라이버시가 사회적인 이슈로 부상하면서 QOS의 4번째 관점으로 정보보호와 프라이버시를 추가하는 추세다. 사회적으로도 이렇게 인식이 달라지고 있는데 우리나라는 법적인 측면에서 부족한 점이 많다. 하루빨리 국제수준에 맞는 법을 제정해야 한다. IT시스템 구축시 미국처럼 사전영향평가를 하고 정보보호 조치나 프라이버시 조치를 동시에 진행해야 하는데 우리나라는 사후 조치에 초점을 두고 있어 글로벌 기준에도 부합하지 않는다. OECD에서도 적어도 동시에 진행하라고 권고하고 있는데 우리가 지키지 않는 면도 있다.

　◇정종기=정부가 지난해 말 발표한 u시티 구축 활성화 기본계획엔 기본적으로 정보보호 내용을 포함했다. 최근 테스트베드 6개 과제를 선정하면서 정보보호 방안을 넣도록 강조하고 있다. 법 관련해선 u시티 지원법에 건교부와 공동으로 초안을 만들어서 논의를 하는 단계에 있다. 인프라에 안전성, 신뢰성 측면에서도 조항을 만들고 있고, 무엇보다도 중요한 개인정보 취급에 있어서는 공공기관의 개인정보보호에 관한 법률이라든지 공공통신망법 등 관련 법령을 준수해서 공정하고 적법하게 취급하고 안전하게 보호할 수 있도록 법조문 내용을 강화하는 쪽으로 진행 중이다.

　◇이재일=u시티에선 프라이버시 보장을 위해 개인주요정보 보호는 물론 해킹이나 바이러스로 인한 피해 등을 복합다각적으로 검토해야 한다. 예를 들어 법제도적으로 어떤 조항이 필요한지 도시통합관제센터의 경우 주요시설이라면 국가적으로 주요시설로 지정하는 법(정보보호기관 보호법, 주요 정보통신시설로 지정하는 법)이 있고, 정보보호관리체계 인증 등엔 외국에는 없는 프라이버시에 대한 역량평가까지 할 수 있는 제도가 마련돼 있다. 여기에 민간의 자본이나 시설에 대한 프라이버시만 보는 게 아니라 서비스의 연속성이나 가용성에 대해 강조할 수 있는 부분이 많을 것이다.

　◇이은우=첫 단추를 어떻게 끼울 것이냐가 중요하다. 미국의 경우 주민등록번호를 안 써도 퍼스널 서비스를 이용할 수 있다. 미국은 ID를 기반으로 통제하는데 우리는 처음에 그걸 방치했기 때문에 지금와서 돌이키기 어려운 상황이 됐다. u시티 경우도 마찬가지로 서비스에 대한 평가나 설계를 할 때 첫 그림을 어떻게 그리느냐에 따라서 엄청나게 달라질 수 있다. 예를 들어 위치정보법을 보면 서비스 제공자가 이용자의 동의를 문자로 받도록 법에 보장돼 있는데 그건 의미가 크다. 사업자 입장에선 번거로운 문제지만 오남용을 막을 수 있는 효과가 있다.

　◇사회=우리나라에서 u시티는 이제 시작 단계인데 제도나 법이 지나치면 활성화에 걸림돌로 작용할 수도 있다는 우려도 있다. 이떻게 조절할 거냐, 우선순위 선택을 어떻게 할 거냐의 문제다. 이 부분에 대해선 어떻게 생각하나.

　◇임종인=지난해 정통부가 인터넷전화(VoIP)와 관련해 마찬가지 고민을 했다. 인터넷 전화는 해킹, 도청 가능성이 높다. 각종 음성 스팸 등을 예측하고 초기단계부터 암호화 등 엄격한 규제를 둔다면 VoIP 서비스 활성화는 기대할 수 없다. 대책반 만들어 논의한 결과 서비스 활성화 정도, 가입자 정도 등을 고려해 전체 활성화 로드맵을 참고해 3단계로 조치를 작성해 적용하자는 대안을 마련했다. u시티도 활성화 정도를 고려해 단계적으로 규제를 적용하는 게 바람직하다.

　◇정종기=그와 관련해선 u시티 테스트베드 과제를 올해 추진하며 소비자인 국민 입장, 사업자 입장 등 광범위한 의견을 받아 나타날 수 있는 문제를 토대로 개선방안을 수립할 예정이다. 3월엔 u시티 정보보호 연구반을 만들어놓고 대책을 숙의 중이다. 금년 상반기 내에 u시티 기본계획을 잡은 후에 그에 따른 구체 과제별로 추진일정 로드맵과 조치방안을 연말께 수립할 예정이어서 u시티 활성화와 함께 국민의 프라이버시 보호, 사회안전망 차원의 시큐리티 강화 등을 병행해 나갈 방침이다.

　정리=최정훈기자@전자신문, jhchoi@