• Legalinsight
  • Legaledu
  • 법률신문 뉴스

  • 상시채용
  • 기사제보
  • 연구논단

    주민등록번호를 암호화하면 과연 개인정보가 아니게 되는 것일까

    전승재 변호사 (법무법인 바른) 입력 :
    글자크기 : 확대 최소
  • 인쇄
  • 메일보내기
  • 기사스크랩
  • 스크랩 보기
  • 145811.jpg

    1. 서울중앙지방법원 2017. 9. 11. 선고 2014가합508066, 538302 판결의 개요

    의사가 환자에게 발행해주는 처방전에는 환자의 성명, 주민번호 등 개인정보와 질병분류기호, 처방의약품의 명칭 등이 적혀있다. 환자가 약을 짓기 위해 약국에 처방전을 건네주면, 약국은 그 정보를 심사평가원에 전달해 건강보험급여 청구를 한다. 이 작업을 전산화 한 프로그램이 바로 약국의 PC마다 설치되는 Pharm Manager 2000(이하 'PM2000')이다.


    피고 재단법인 약학정보원(이하 '약학정보원')은 PM2000 프로그램의 관리·배포 업무를 수행하고 있었다. 약학정보원은 2011년 1월 업데이트한 버전부터 자신의 중앙 서버에 약국에서 입력된 처방전 정보가 자동 전송되도록 했다. 그리고 수집한 처방전 정보를 아래 방식으로 암호화 한 후 피고 IMS Health Inc(이하 'IMS')에 판매했다.

     

    ① 2011년 1월부터 2014년 6월까지는 13자리의 주민번호 중 홀수 및 짝수 자리 숫자를 각각 정해진 규칙에 따라 영어 알파벳으로 치환한 다음 양끝 2자리에 임의의 알파벳으로 잡음(noise)을 추가하는 방식의 양방향 암호화가 이루어졌다(이하 '1기 암호화').

    ② 2014년 6월부터 2014년 9월까지는 주민번호가 해시 알고리즘인 SHA-512를 통해 일방향 암호화되어 제공되었다(이하 '2기 암호화').

    ③ 2014년 10월부터 2015년 1월까지는 주민번호 대신 성명, 생년월일, 성별로 환자를 특정한 후 이것이 일방향 암호화되어 제공되었다(이하 '3기 암호화').

     

    환자인 원고들은 본인의 동의 없이 개인정보를 약학정보원이 수집했고 IMS가 이를 제공 받았다는 이유로 정신적 손해배상을 청구했다.

     

    1심 판결은 원고들의 청구를 전부 기각했다. 피고들의 일부 행위가 위법하더라도, 당해 개인정보는 통계분석 용도로만 활용되었고 IMS 외 제3자에게 추가 유통되지 않아 정보주체의 정신적 손해가 없다는 것이다. 이는 ‘GS 칼텍스 판결’ 법리에 따른 것인데, 이에 관하여는 본고에서 다루지 않는다.

     

    행위사실 별로 위법 여부를 살펴보면, 약학정보원이 환자의 동의를 받지 않고 처방전 정보를 자신의 중앙 서버에 수집한 행위는 개인정보 보호법 위반으로 1심에서 판단되었다. 참고로 건강보험급여 청구를 위해서는 약국이 환자의 성명, 주민번호 및 질병명 등을 비롯한 처방전 내용을 명세서에 적어 심사평가원에 제출해야 하는데(국민건강보험법 시행규칙 제19조), 그 업무의 당사자인 약국과 심사평가원은 정보주체의 동의 없이 당해 개인정보를 처리할 수 있지만, 약학정보원은 그렇지 않다.

     

    다음으로 약학정보원이 IMS에 정보를 넘긴 부분에 대해, 1심 판결은 암호화 방법에 따라 판단을 달리했다. 먼저 1기 암호화된 정보의 경우 원래 주민번호를 쉽게 알아볼 수 있는 ‘개인정보’에 여전히 해당하며, 이것을 정보주체의 동의 없이 제3자인 IMS에게 제공한 행위는 위법하다고 판단되었다.

     

    한편, 2기 및 3기 암호화된 정보의 경우 아예 개인정보에 해당하지 않아 정보주체의 동의 대상이 아니라고 판단되었다. 주민번호를 일방향 암호화했기 때문에 원문을 풀어볼 수 없어 개인을 알아보지 못한다는 것이 판결 이유이다. 그러나 암호문을 풀지 못하더라도 그 주인을 ‘식별’할 수 있는 경우가 흔히 있다. 이것이 본고에서 논하고자 하는 핵심이다.

     

     

    2. 1기 암호화된 주빈번호의 개인정보 여부

    단순 치환 방식에 기반한 1기 암호화의 경우 암호화라고 칭하기 곤란할 정도로 해독이 쉬웠다. 1심 판결도 이를 가리켜 주민번호 원문을 쉽게 복원해 개인을 식별할 수 있다는 이유로 여전히 ‘개인정보’에 해당한다고 보았다.

     

     

    3. 2기 암호화된 주민번호의 개인정보 여부

    2기 암호화 시기에는 역함수(逆函數)가 없는 암호화 알고리즘(‘일방향 암호화’ 또는 ‘해시’ 함수)인 SHA-512를 통해 주민번호가 변환되어 IMS에게 제공되었다. 1심 판결은 역함수가 없다는 특성에 주목하여, 주민번호 원문을 복원하는 것이 원천적으로 불가능해졌다고 보아 그 정보가 ‘개인정보’가 아니라고 판단했다. 

     

    그런데 주민번호를 일방향 암호화 하면 과연 원래 값을 알아낼 수 없는가. 암호화 기술의 관점에서 보았을 때 1심 판결에는 의문의 여지가 있다. IMS는 과거 1기 암호화 시절 이미 방대한 주민번호 정보를 얻은 것으로 평가할 수 있기 때문이다. IMS가 갖고 있는 개인의 주민번호를 동일한 알고리즘으로 암호화 한 후, 이것이 2기 암호화 시기에 제공받은 암호문 중 어느 것과 일치하는지 대조함으로써 개인을 쉽게 알아볼 수 있다.

     

    예컨대 1기 암호화 시기에 주민번호 ‘801231-1234567’인 환자 정보를 IMS가 제공받았다고 하자. 이것을 SHA-512 함수로써 암호화하면 ‘B609EB67916D23262F296CF88A860FCDA987B96087FE75AF2FAB38D4DC50EF2AC0BF486525B602361A3FC9943FECF4109308BC5271E1F9165F72F60026FDC933’이라는 모습이 된다. 다른 텍스트를 암호화 했을 때 동일한 암호문이 나올 확률은 수학적으로 ‘0’으로 보아도 무방하다. 그렇다면 2기 암호화 시기에 제공받은 정보 중 위와 일치하는 암호문이 있다면 당해 정보는 주민번호 ‘801231-1234567’인 환자에 관한 것이다. 이렇듯 개인 식별이 용이한 정보는 법상 ‘개인정보’로 취급되는 것이 타당하다.

     

    참고로 일방향 암호화의 대표적인 활용 사례는 아이디/패스워드 인증이다. 이용자가 설정한 패스워드는 일방향 암호화되어 데이터베이스에 저장되며, 관리자라 할지라도 패스워드 원문을 복호화 할 수 없다. 대신에, 이용자가 로그인 할 때마다 입력하는 패스워드를 동일한 알고리즘으로 암호화하여 이것이 데이터베이스에 저장된 암호문과 일치하는지 확인함으로써 이용자가 그 아이디/패스워드의 주인임을 알아볼 수 있다. 요컨대, 복호화는 ‘식별’의 필요조건이 아니다.

     

    설령 IMS가 1기 암호화 시절 제공받은 정보를 이미 폐기했거나, 혹은 1기 당시 없었던 환자가 2기 때 새로 나타났다 하더라도, 다른 방법을 통해 주민번호를 복원하는 것이 가능하다. 무작위 대입 공격(brute force attack)이 그것이다. 0세부터 100세까지 한국인이 가질 수 있는 주민번호의 경우의 수는 약 70억 개이다. 70억 개의 후보를 하나씩 암호화해서 2기 때 제공받은 암호문과 대조해보는 방법으로 주민번호 원문을 알아낼 수 있다. 70억 분의 1 확률의 암호 해독은 현대의 슈퍼컴퓨터가 순식간에 끝낼 수 있다. 참고로 비트코인 채굴을 위해 요구되는 암호화 퍼즐의 난이도는 무려 1해 분의 1 정도로 훨씬 높은데, 이것이 불과 10분 주기로 풀리고 있다. 빅데이터 회사로서 상당한 컴퓨팅 파워를 갖춘 IMS의 관점에서 볼 때, 2기 암호화된 정보를 가리켜 ‘원천적으로 복원 불가능하다’고 단정하기는 곤란하다.

     

    이러한 맥락에서, 일본의 익명가공정보 가이드라인은 "해시함수를 사용하여 개개인의 고유 정보(예: 신용카드번호) 등으로 임시 ID를 생성하려 할 때 원래 기술(記述)에 동일한 해시함수를 단순 적용하면 복원할 수 있는 규칙성을 갖게 될 가능성이 있다."고 해설하고 있다.

     

    강조하건대, 일방향 암호화를 한다고 해서 항상 ‘식별성’이 제거되는 것은 아니다. 이에 대한 심리가 1심 판결에서 충분히 이루어지지 못한 점은 아쉽다.

     

     

    4. 3기 암호화된 정보의 개인정보 여부

    성명, 생년월일, 성별로 환자를 특정할 경우에도, 세 정보가 모두 동일한 동명이인의 경우를 제외하고는, IMS는 이미 알고 있는 환자 정보를 동일한 알고리즘으로 암호화한 후 3기 때 제공받은 암호문과 일치하는지 대조하는 방법으로 특정 개인을 쉽게 알아볼 수 있다. 한편, IMS가 그 정보를 모르는 환자에 대해서는 원문이 주민번호라는 13자리 숫자일 경우와 비교할 때 ‘무작위 대입 공격’이 상당히 어려울 것이다. 따라서 이 부분 ‘개인정보’ 해당여부 판단은 사안에 따라 유동적일 수 있을 것이다.

     

     

    5. 시사점

    개인정보의 보호와 활용 간 균형점을 모색하고자 하는 사법부의 노력은 매우 고무적이다. 그렇다고 하더라도 개인을 충분히 알아볼 수 있는 정보를 가리켜 ‘개인정보’가 아니라고 판단해버리면, 그 반작용을 우려할 수밖에 없다.

     

    예컨대 2008년 옥션은 서버 관리자 초기 패스워드(공공에 알려진 값)를 그대로 방치한 중과실로 인해 주민번호 1800만 건을 해킹 당하는 참사를 초래했지만, 법원에서 과실이 없다고 판단되었다. 그 후 성난 여론으로 인해 정부의 규제가 급속도로 강화되어, 이제는 해킹을 당한 사업자들이 조금만 부주의했어도 법적 책임을 피하기 어렵게 되었다.

     

    이처럼 신기술의 영역에서 법제도가 냉탕과 열탕을 오가는 상황은 바람직하지 않다. 이를 피하기 위해서는 사법부가 구체적 타당성에 맞는 결론을 내릴 수 있도록 기술적 전문성을 보완해야 한다. 일선 법원에서 소프트웨어 전문가를 전문심리위원으로 활용하는 방안을 고려해 봄직하다.


    전승재 변호사 (법무법인 바른)


    최근 많이 본 기사

    리걸북스

    더보기

    리걸에듀

    더보기

    리걸인사이트 TV

    더보기