[공동성명] 휴대전화 가입시 안면인증 고집 과기정통부 규탄한다
보이스피싱 예방 위해 연계정보(CI) 제도 폐지 등 근본적 대책 마련하라
오늘(7/6)부터 과학기술정보통신부(이하 과기정통부)는 시민사회의 비판으로 도입이 중단됐던 휴대전화 개통시 안면인증 단계적 시행을 재개한다. 과기정통부는「휴대전화 부정사용 방지 종합대책」을 발표(6/30)하며, 휴대전화 가입시 안면인증을 계속 시행할 것이라고 밝혔다. 대체 수단을 제공한다지만 보이스피싱 예방을 위한 더 근본적인 과제는 외면한 채, 여전히 기본권에 대한 제한이 클 뿐만 아니라 시민들에게 부담을 전가하는 방식의 안면인증 정책을 고집하는 것은 문제가 아닐 수 없다. 법적 근거없이 휴대전화 가입시 안면인증을 의무화하는 것은 개인정보보호법을 명백히 위반하는 것이고, 헌법에 위배된다는 점은 변하지 않는다. 무엇보다 근본적인 것은 이 정책이 안면인증에 따른 프라이버시 제한을 정당화하는 필요성, 비례성 요건을 갖추었냐는 것인데, 이번 정책은 그러한 요건을 갖추지 못했다. 우리 시민사회는 그 효과는 제한적이면서도 인권 침해 우려가 큰 휴대전화 가입시 안면인증 정책 시행을 즉각 중단하고 철회할 것을 다시 한번 촉구한다.
대체수단이 있다지만 실제 운영 과정에서 시민들에게 안면인식이 ‘사실상’ 강제될 우려도 있다. 스마트폰 소지자의 경우 모바일 신분증 앱 인증을 해야 하고, 스마트폰 미소지자의 경우 당일 발급 주민등록초본을 제출해야 한다. 스마트폰 소지자는 모바일 신분증 앱을 반드시 설치하거나 안면인증을 하는 방법 중에 선택해야 하는데, 이 두 가지 방법 모두 온라인 상 개인정보 유출이나 해킹의 우려로 선호되지 않을 수 있다. 스마트폰 미소지자는 ‘당일’ 발급 ‘주민등록초본’을 준비해야 하는데 개인 주소 변동 이력, 병역 사항 등 개인 중심 이력까지 확인할 필요가 있는지 의문이며, ‘당일’ 발급해야 하는 번거로움이 있다. 과연 이처럼 우려가 크거나 번거로운 방법이 안면인증을 대체할 실질적이며 실효적인 대체수단이 될 수 있을지 의문이다. 이에 따라 실제 운영 과정에서 다른 대체수단보다 우선적인 인증 수단으로 설명되거나 통신 이용자에게 요구될 가능성이 크다.
모바일신분증, 주민등록초본 등 대체수단을 제공한다고 해서 안면인증 정책의 문제점이 해소된 것은 아니다. 첫째, 이 정책의 목적은 개인정보 유출로 인한 보이스피싱 피해 근절을 목적으로 하면서도, 추가적인 개인정보 제공과 불편을 요구한다. 추가적인 본인확인은 이 종합대책에서도 인정한 바와 같이 ‘명의대여’를 통한 대포폰 개설을 막을 수 없다는 점에서 그 효과는 제한적인 반면, 대다수 선의의 통신 이용자가 져야 하는 부담은 ‘항상’ 발생하게 된다.
둘째, 비록 의무화는 아니라고 하지만, 여전히 안면인증을 기본적인 추가인증 수단으로 간주하고 있다. 얼굴인식정보와 같은 생체인식정보는 유출이나 남용 등의 피해가 발생해도 바꿀 수 없기 때문에 그 피해가 영구화될 위험이 크고, 감시 목적으로 활용될 가능성이 큰 정보이다. 안면인증 후 삭제한다고 하지만, 몇 만개에 이르는 휴대전화 유통점에서 얼굴인식정보의 남용이 발생하지 않는다고 장담할 수 있을지 의문이다. 이미 중국에서도 얼굴인식정보가 다른 개인정보와 함께 거래되고 있다고 알려져 있다. 그동안 수차례 대량 개인정보 유출 사고를 발생시킨 통신사들이 안전하게 관리할 것이라고 신뢰할 수 있는가.
셋째, 과기정통부는 시행령 개정을 통해 법적 근거를 마련하겠다고 하는데, 이를 통해 다시 안면인증을 의무화하겠다는 것인지 우려된다. 법적 근거는 정책 시행의 최소한의 요건인 것이지, 안면인증을 정당화하는 근거는 되지 못한다. 또한 우선 시행하고 사후 법적 근거를 마련하겠다는 것인데 그동안 기본권 침해를 방치하겠다는 것과 다르지 않다는 점에서 문제가 크다.
과기정통부는 보이스피싱 예방을 안면인증 도입 명분으로 내걸었지만, 이를 위한 가장 근본적인 대책은 외면하고 있다. 국내에서 보이스피싱 피해가 큰 이유는 주민등록번호와 연계정보(CI)와 같은 보편적 개인식별자를 무분별하게 수집, 활용하고 있기 때문이다. 이러한 보편적 개인식별자를 통해 서로 다른 영역에서 유출된 개인정보가 통합되어 개인에 대한 더 상세한 프로파일링이 가능해진다. 프로파일링이 더 세밀해질수록 이용자에 대한 보이스피싱 위험은 더 커질 수밖에 없다. 현행 정보통신망법은 연계정보(CI)를 민간과 공공기관에서 본인확인 목적으로 과거 주민등록번호와 같이 무분별하게 수집하도록 하고 있으며, 이에 연계정보(CI)의 유출도 빈번하게 발생하고 있다. 2024년 여행사 모두투어에서 연계정보가 유출된 데 이어 지난해에는 롯데카드에서 연계정보와 주민등록번호가 동반 유출되었고, 몇 주 전에는 온라인 동영상 서비스 티빙, 편의점 CU의 택배를 운영하는 BGB 네트웍스 그리고 불과 며칠 전에는 우리카드에서 연계정보를 포함한 개인정보유출 사건이 또다시 발생하였다.
그럼에도 정부는 보이스피싱을 방지하기 위한 대책으로 연계정보 제도 개혁은 고려하지 않고 있다. 통신 이용자에게 부담을 주는 정책은 추진하면서 기업에게 부담을 주는 대책은 꺼려하고 있는 것이다. 이는 정책의 우선 순위가 잘못된 것이다. 연계정보(CI)는 서비스 제공에 필수적인 것인 아니기 때문에 기업들이 애초에 수집할 필요가 없는 정보였다. 정부가 진정으로 보이스피싱을 막고자 한다면 전 국민에게 안면인증의 부담을 지울 것이 아니라, 우선 연계정보(CI)와 같은 보편적 개인식별자부터 폐지해야 할 것이다.
2026년 7월 6일
디지털정의네트워크, 민주사회를 위한 변호사모임 디지털정보위원회, 정보인권연구소, 참여연대
공동성명 [원문보기/다운로드]
정부지원금 0%, 회원의 회비로 운영됩니다
참여연대 후원/회원가입