[임홍철 칼럼] 비밀번호는 개인정보일까

아침 일찍 전철을 타고 출근하면서 인터넷에 올라온 글들을 읽어 보는 와중에 우연히 비밀번호에 대해 토론하는 글을 읽게 됐다.

토론의 주요 내용은 비밀번호를 개인정보로 보는 것이 합당한 지 여부에 대한 것과 함께 기업이 비밀번호를 수집하는데 꼭 동의가 필요한가에 대해 논의하고 있었다.

정보보안에 관심 있는 여러 사람들이 각자 자신의 의견을 답글로 달고 있었다. 개인적으로도 여럿이 모여 한 주제에 대해 논의하는 이런 토론을 좋아하는지라 과연 어떤 의견들을 가지고 있는지 관심 있게 읽어보면서 유익한 출근시간을 가질 수 있었다.

비밀번호의 수집에 동의가 필요한가에 대해서는 대부분 별다른 이견 없이 동의가 필요하지 않다는 쪽으로 의견이 모여지고 있었다. 개인정보 보호법에서도 반드시 수집해야 하는 필수항목에 대해서는 정보주체의 동의를 받지 않아도 되도록 개정이 된 상태이기도 하다.

주요 토론의 대상이 된 것은 비밀번호가 개인정보인가에 대해서다. 비밀번호를 개인정보로 보는 것은 과하다는 의견들도 많이 있었고, 우리나라가 개인정보의 범위를 너무 과하게 정의하고 있어 귀에 걸면 귀걸이 코에 걸면 코걸이 식이라는 의견들도 다수 제기되고 있었다.

물론 법으로는 엄연히 비밀번호를 개인정보라고 규정하고 있다. 그럼에도 이런 토론이 제기된 이유는 비밀번호를 개인 즉 정보주체를 나타내는 정보로 볼 수 있는가에 대한 합리적 의심이 가능하기 때문일 것이다.

이름, 주소, 성별, 생일처럼 원하든 원하지 않든 개인에게 반강제로 부여된 다른 정보들과는 엄연히 다르게 개인이 스스로 창조한 정보라는 성격을 가지고 있기 때문이다.

일방적으로 "이것이 정답이다"라고 단답형으로 답할 수 있는 주제는 아니다. 다양한 여러 의견이 제기될 수 있고, 개인에 따라서도 조금씩 내용이 다를 수 있다. 그렇기에 토론의 주제가 될 수 있는 것이기도 하다.

비밀번호와 관련해 개인적인 의견을 얘기해 보자면 비밀번호는 개인정보로 봐야 한다는 의견을 가지고 있다. 물론 그렇게 판단하는 것에는 나름의 이유가 있다.

비밀번호는 대체로 개인의 정보를 조합해 만들어진다. 개인이 창조해 만들어내는 정보이지만 그 창조의 바탕에는 개인의 기존 정보들이 깔려있다. 완전히 무에서 유를 만들어내는 것이 아니라 개인의 가족정보나 주변정보를 이용해 만들어지기 때문이다.

비밀번호가 개인을 특정할 수 있거나 개인과 관련된 정보를 토대로 생성된다는 점에서 개인정보의 범주에 포함된다고 보는 것이 타당하다.

위와 같은 이유로 인해 비밀번호는 기술의 영역보다 오히려 인문학, 심리학, 사회공학의 영역에 더 가까운 성격을 가진다. 흔히 영화에서 컴퓨터나 금고의 비밀번호를 알아내기 위해 그 사람의 주변 책상이나 책, 무엇을 선호했는지 등을 찾아가며 비밀번호를 유추하는 장면들을 볼 수 있다.

비밀번호가 완전히 새로운 창조의 영역이라면 성립될 수 없는 장면들이다. 의외로 연인이나 배우자의 생일처럼 개인에게 중요한 의미가 있는, 따라서 타인이 쉽게 알아낼 수 있는, 정보가 비밀번호로 많이 활용되는 것이 실제 현실이기도 하다.

어쩌면 지루하게 또는 의미 없이 멍하니 낭비했을 출근시간에 정말 우연히도 눈에 들어오는 토론 글 하나를 보게 되는 행운을 만날 수 있었다. 다양한 의견들도 읽어보고 개인의 생각도 다시금 정리해 볼 수 있었으니 그 덕에 오늘 하루도 알찬 하루가 되지 않을까 싶다. 이렇게 시작하는 하루도 좋다.