최근에 네이버나 카카오톡으로
"국민건강보험공단"이나 "국세청" 등에서 날아온 고지서 or 안내문, 내지는 "전자문서"라는 놈을 받아본 사람이 있을 것이다.
이미 네이버 인증서나 카카오 인증서가 있어서 무심코 열어본 사람은 이 수신 시스템을 생각없이 쓰고 있을 수도 있겠지만,
국가기관, 공공기관이 보내는 어떤 문서가 "사기업"의 시스템을 타고 나한테 전달되었다는 사실을 생각하면
찜찜한 구석이 한 두 군데가 아니다.
실제로 뜯어보면, 굉장히 위험하고 어이 없는 일이 아닐 수 없다.
1. 전자고지가 뭔가?
말 그대로 고지서, 통지서, 공공 안내문 등을 원래 "우편물"로 보내던 것을 "전자적 문서"로 보내겠다는 뜻이다.
그런데 그냥 메시지나 이메일 보내듯이 보내면 사람들이 잘 안보고, 보안도 안 좋고, 특정 기술 적용도 어렵다면서 "공인전자문서중계자"를 지정하여 얘네들을 통해 문서를 보내겠다는 것이다.
"공인전자문서중계자"라는 이 풀에 네이버, 카카오, 토스, NHN 등이 포함되는데, 말하자면 "네이버, 카카오톡, 토스 많이 쓰니까 얘네 플랫폼 안에 넣어주면 겸사겸사 잘 보겠지?"란 소리다.
도입 목적이야 뭐 종이 낭비 줄이고 행정력 낭비 줄이겠다는 건데...
2-1. 첫번째 문제. 당신은 공공기관에 네이버나 카카오톡 계정정보를 전달한 적이 없다.
당신은 네이버에 abcd12라는 아이디로 가입을 했다.
그러나 당신은 병무청에 당신이 가입을 했는지, 어떤 아이디로 가입했는지, 그 아이디가 당신인지 여부를 확인해준 적이 없다.
그런데 병무청의 통지서가 당신의 네이버 전자문서함에 떡하니 도착해있다. 어떻게?
이는 "데이터 3법"이라는 법안이 통과되면서, 주민등록번호를 "CI"라는 것으로 해쉬화하여 사업자 간 공유할 수 있게 하면서 발생한다.
사용자 동의 없이 주민등록번호를 요구하거나 전달하는 것은 개인정보보호법 위반이지만, 주민등록번호를 해쉬로 바꿨으니까 개인정보가 아니라는 얘기다.
과정은 이러하다.
- 병무청은 주민번호 123456-1234567이라는 사람에게 통지서를 보내고자 한다.
- 공인 본인확인기관에서 123456-1234567이라는 주민번호는 해쉬화하면 cEgxWQ4sc0...라고 알려준다.
- 병무청은 네이버에 cEgxWQ4sc0...라는 해쉬에 해당하는 사람이 있는지 묻고, 있다면 그 사람에게 통지서를 전달해 달라고 한다.
- 네이버는 cEgxWQ4sc0...해쉬를 가진 사람에게 병무청의 통지서를 전달한다.
결국 개인을 특정할 수 있는 민감 개인정보나 다름 없지만 어쨌든 주민등록번호가 아니니까 법적으로 OK 이므로 병무청은 당신의 네이버 계정으로 통지서를 전달했다...
그냥 남의 계정 정보를 유출하는 것(대상이 공공기관이기는 하지만 그래도 문제가 되지 않는 것은 아니다.)과 결과물로는 차이가 없다.
그저 합법적인 과정을 거쳤다는 차이 뿐.
2-2. 두번째 문제. 네이버, 카카오, 토스, 페이코... 사기업이 당신의 개인적 공공문서를 추적한다?
물론 법적으로야 전달된 고지서나 통지서를 네이버나 카카오 등이 대놓고 열어보는 것은 불법이다.
그런데 우리는 이 기업들을 온전히 믿을 수 있을까?
가볍게는 통지서 종류나 수발신 횟수 통계를 내서 마케팅에 활용하려고 하진 않을까?
통지서 제목까지만 분석해서 당신의 신상정보나 금융상태를 빅데이터로 파악하진 않을까?
아니, 혹시 법망 아래에서 쉬쉬하면서 전달된 문서를 다 뜯어보고 있지는 않을까?
나중에 문제 터지면 몇천만원 과징금 나오고 말겠지 하면서..
심지어 전자 고지를 열어보려면 자사의 인증서 사용을 강요하는데, “우리는 우리 인증서가 어느때 활용되었는지 분석하는 것 뿐이다”라면서 우리가 어떤 기관에서 무슨 고지서를 받았는지 기록하고 있을지도 모른다.
애초에 “공인전자문서중계자”로 지정된 사업체를 보면, 마케팅을 위해 개인 추적과 빅데이터에 목말라 있는 기업밖에 없다.
국세청에서 세금 고지서 나오니까 네이버가 당신에게 세무사 광고를 띄우고,
법원에서 독촉장이 오니 카카오뱅크와 토스가 대출 상환요구를 할지도 모르는 일이다.
당연히 불법이지만, 저 사기업들을 어떻게 믿지?
법이 있다는 사실과는 별개로, 우리는 저 기업들이 법을 준수 할 지 온전한 신뢰를 줄 수가 없다.
이미 심지어 전자고지 문서 읽는 것 자체도 자사 인증서 외에는 허용해주지 않는다.
2-3. 그 외 문제
네이버나 카카오톡 등의 전자문서함에 도착한 고지서, 통지서 등은 열어보는 순간 법적 효력이 발생한다.
그냥 메일이나 문자메시지처럼 알림 숫자 지우겠다는 식으로 넘어갔다가는 큰 일이 발생할 수도 있다는 뜻이다.
입영통지서나 동원훈련통지서, 독촉장, 과태료 부과통지서 등이 전자 고지서로 도착했을 때, 열어보는 순간 종이로 된 우편은 추가로 날아오지 않는다.
그러나, 이처럼 굉장히 무겁고 크리티컬한 사항을 두고, 네이버, 카카오톡 등의 전자고지 서비스는 이런 법적 책임에 대해 제대로 된 경고나 안내 없이 무작정 홍보만 하고 있다는 점이 문제다.
심지어 원래 고지서나 통지서가 종이로 날아오던 사람에게 조차도, 어떤 공공기관은 우선 네이버나 카카오톡 전자문서함으로 고지서를 날려놓고, 며칠간 안 읽으면 그때 가서 종이 문서를 발송한다. (전자고지 서비스를 신청한 적 없고, 해당 기업의 인증서조차 없어도 우선 그 기업의 전자문서함으로 고지서를 날릴 수 있다.)
이럴 경우 전자고지 서비스 안 쓰는 사람에게는 고지서가 2주쯤 늦게 간다는 얘기다.
3. 좋은 점 있는 서비스라는건 알겠는데...
종이문서를 줄일 수 있고, 행정력을 절약할 수 있고, 받는 사람이 편리하다는 장점은 분명히 있으나, 그 이득에 반해 이 시스템이 안고 있는 위험부담은 너무나도 중대하고 크다.
1. 데이터 3법에 힘입어 CI를 활용할 수 있게 된 각종 기관은 당신이 네이버, 카카오, 토스, 페이코 등에 가입해있기만 하면 당신인 줄 알아내고 각종 고지서 통지서 안내문 등을 뿌려댈 수 있다. 물론 인증서를 구비하고 읽는 순간 종이로 된 우편 없이 당신은 법적으로 해당 문서를 읽은 법적 책임도 진다. 그런 이야기는 잘 읽지 않는 이용약관처럼 작은 글씨로 써 주고 말 뿐이다.
2. 공공 문서를 다루는 업체는 수많은 국민의 빅데이터를 수집하고 추적하는 데 목마른 사기업들이다. 심지어 각종 사건들로 인해 보안과 준법, 상도덕에 대해 신뢰에 의문이 가득한 사기업. 과연 그 기업들이 전자문서로 송수신으로 인해 생산되는 데이터를 1바이트도 손 안대고 자사 마케팅 등 사업에 활용하지 않고 참을 수 있을까?
3. 네이버, 카카오, 토스, SKT, KT... 사실상 대한민국 IT계열의 지배적 사업자인데, 물론 편의성을 고려한 것이라고는 해도, 이 기업들에게 공공서비스의 제공까지 밀어주겠다는 것은 결국 그 기업에 대한 국민의 의존도를 높이고 지배력을 강화해주겠다는 얘기다. 이게 과연 공정한 거라고 볼 수 있을까?(우편량 줄어서 적자에 허덕이는 우정사업본부 더 힘 빼놓는건 덤..)
CI는 개인정보가 아니라고 동의조차 안받음... 그래서 문제가 되는 거
근데 이런 서비스는 보통 시작하기전에 사용자가 제 3자 정보제공 동의 선택하고 나서 서비스 동의 받지 않나?
식봉이는 식봉해 2021/09/17 01:51
근데 이런 서비스는 보통 시작하기전에 사용자가 제 3자 정보제공 동의 선택하고 나서 서비스 동의 받지 않나?
Y-S 2021/09/17 01:52
CI는 개인정보가 아니라고 동의조차 안받음... 그래서 문제가 되는 거
불타는똥 2021/09/17 02:33
개인 정보 보안 인프라 본 적도 없으면서 유출을 걱정하네.
데이터랑 통신은 다 암호화하고 손톱만 한 파트 하나하나, 방 한칸한칸, 계정 하나하나 나눠서 담당자랑 구획 따로 만들고
패치 하나 하려면 수십명 모여서 각각 가지고 있는 열쇠 따고 형상관리 통과시키는데,
유출되려면 CS 상담사가 쬐끔 흘리거나 윈도우/안드로이드/크롬 브라우저 취약점으로 뚫리겠지.
Y-S 2021/09/17 02:45
외부로의 유출을 걱정하는게 아니라 그 기업 내부에서 자기 사업을 위해 개인정보를 활용할 게 우려된다는 거
불타는똥 2021/09/17 03:08
자사 내에서 함부로 사용 할 수 있게 규제가 호락호락하지 않음.
우편도 안보고 메일도 안보고 문자도 안보고 카톡도 안보는데 최대한 정기적 동의 뿌리게 시스템 만들었는데 그래도 모자르니까 적법 사용인지 매년 2~4곳 각각 기관에서 감사 나오고. 용도랑 관리 안맞으면 머지 포인트처럼 칼같이 짤라버림. 온투업 이라고 해서 금융권은 아예 몇년 전에 서비스 올스톱하고 보안 인프라랑 금결원 직통연결에 직접 감사받고 디져나간다.
네이버고 카카오고 고객 안내 결격 사유 나오면 사업 나가리임. 더 빡센 규제 내년에 나오는데 대기업들 공사도 시작 못했어