Opinion

[TE머묾] 한음콘, 주민등록번호를 바꾸라고요?

문가용 기자

11 Aug 2025 — 19 min read

💡

Editor's Pick
- 얼마 전 6만 개인정보 유출 사고 있었던 한음콘
- 사건 자체보다 공지문이 더 화제
- 주민등록번호 변경 제도, 실효성 고민 더 커져야

얼마 전 한국음악콘텐츠협회서 6만 건이 넘는 개인정보가 유출되는 안타까운 일이 있었다. 하지만 적게는 수십만에서 많게는 수천만, 심지어 수억 건의 개인정보가 유출되는 일이 빈번하게 벌어지는 때라 그런지 겨우(?) 6만여 건 규모의 사건이 뭇 사람들의 입에 오르내리는 일은 없었다. 아니, 아예 없지는 않았는데, 일부 네티즌들이 이 사건에 주목한 이유가 독특했다. 공지로 내걸린 보안 권고 사항 때문이었다.

한국음악콘텐츠협회는 사이트 공지를 통해 유출 사건의 세부 내용을 알리고, 자기들이 어떤 식으로 조치를 취하고 있는지도 고지했다. 그러면서 “회원들이 취해야 할 조치 사항”이라며 4가지를 꼽았는데, 이게 화제가 됐다. 비밀번호 변경 등의 흔한 권고 사항 마지막에 “주민등록번호 변경”이 있었기 때문이다. 주민등록번호를 바꾸라는 제안은 신박하다 못해 충격적이기까지 했고, 네티즌들은 ‘그게 그리 간단한 일이냐’며 조롱했다.

한음콘 공지로 올라온 개인정보 유출 사고 관련 안내문. 4번이 눈에 띈다.[자료: 한음콘 홈페이지]

주민등록번호는 국가에서 개개인을 식별하고 관리하기 위해 부여한 고유 번호다. 고유하다는 건 세상에 단 하나 뿐이라는 것이고, 따라서 불변해야 의미가 있다. 실제 많은 사람들이 그렇게 여겨 오기도 했다. 지문이 유출됐다고 손가락을 갈아끼울 수 없는 것처럼, ‘주민등록번호’와 ‘변경’은 한 문장에 담기 힘든 별개의 개념이었다. 하지만 이것은 2017년부터 잘못된 선입견에 불과했다. 개인정보 유출 등 여러 사유로 주민등록번호를 변경할 수 있게끔 법이 개정됐기 때문이다. 2017년 출범한 주민등록변경위원회에 따르면 보이스피싱 피해자들이 가장 많이 변경 신청서를 제출한다고 하니, 이미 알 사람은 알고 있는 제도였던 것.

그래서 직접 해봤다
처음에는 ‘주민등록번호를 변경하라’는 안내문이 얼척 없기도 하고 뻔뻔하게까지 느껴졌는데, 곰곰이 되짚어 보니 나쁘지 않은 내용인 것 같았다. 일단 고유한 줄 알았던 내 개인정보 하나를 필요에 따라 바꿀 수 있는 제도가 있다는 것 자체를 알게 된 것만으로도 수확이라 할 수 있다. 개인정보가 공공재가 되었다는 농담이 나올 정도로 유출 사고가 자주 일어나는 시대라면, 아무리 고유 개인 식별 정보라도 절차에 따라 바꾸게 해준다는 건 합리적이라는 생각도 들었다. 보안에서 왕도는 ‘예방’이지만, ‘후속 처리’ 역시 비슷한 수준으로 중요해지고 있기 때문에, 제도적 장치가 마련돼 있다는 게 나쁜 일일 수 없다.

그래서 피해자에 빙의해 일을 진행했다. 먼저 시청 쪽에 전화를 해 문의를 넣었는데, 담당자 연결을 네 번이나 다시 하는 통에 “개인정보 유출 때문에 주민등록번호를 변경하려 합니다. 절차를 알려주십시오.”라는 문장을 네 번 정도 반복해야 했다. 여기서부터 뭔가 느낌이 이상했다. 이런 일을 어떻게 처리해야 하는지, 심지어 담당자가 누구인지 공공기관 내부에서조차 헷갈려 하는 분위기였다.

네 번째로 연결된 담당자는 절차를 친절해 안내해 주었다. 가까운 행정복지센터를 통해 신청하면 그게 시청으로 올라오고, 시청에서 그 서류를 받아 주민등록번호변경위원회에 제출하여 심사를 받는다는 것이었다. 사실 전화하기 전에 간단한 인터넷 검색을 통해 다 알고 있던 내용이었다. 친절했지만 실속은 없었다. 게다가 “온라인 신청도 가능하다”는 건 안내 받지 못했다. 계속 행정복지센터를 방문해서 일을 처리해야 한다고 강조하기에, 집 근처 센터 두 곳에 전화를 걸었다.

재미있었다. 두 곳 모두 담당자가 적잖이 당황하더니 “좀 더 알아본 후에 다시 연락을 드리겠다”고 답했다. 주민등록번호 변경 신청이 흔치 않은 일이라는 걸 역력히 알 수 있었다. 사례가 많지 않은 행정 처리의 경우 담당 공무원들도 미숙하고 잘 모를 수밖에 없다는 걸 알기에 알겠다고 답하고 전화를 끊었다. 사실, 다음 날은 되어야 전화가 올 줄 알았는데 20분 내에 두 곳 모두 전화를 주었다. 한 곳의 담당자는 나이가 지긋한 분이었고, 다른 한 곳은 젊은분이었다.

피해 사실 확인
행정복지센터는 직접 민원인과 대면하여(온라인도 되긴 하지만) 신청서를 접수하는 곳이다보니 시청보다 조금 더 구체적인 설명을 제공했다. 신청서를 작성할 때 어떤 서류를 가지고 와야 한다는 등의 내용이었다. 그 중에 ‘피해 사실을 입증할 수 있는 공식 자료’도 있었다. “피해가 있어야만 변경 신청이 가능하냐”고 물었을 때 돌아오는 답변은 “그렇다”였다. 아까 시청 측 담당자는 “피해가 우려되는 상황에서도 신청이 가능하다”고 했었는데, 차이가 있었다. 이를 물었을 때 담당자들은 “신청 자체는 가능할 텐데, 심사에서 떨어질 확률이 높아진다”고 답했다.

그러면 피해 사실을 나 같은 민간인이 어떤 식으로 입증해야 하느냐고 물었다. 나이가 있어 보이시는 분은 다시 한 번 당황하셨다. “어... 경찰서에 가셔서 사건 접수를 하셔야 하지 않을까요?” 그래서 “실제 피해는 없었고, 우려가 되는 상황인데, 사건 접수가 될까요?”라고 물었을 때 그 분은 “그러면 다른 자료라도 챙기셔야 할 거 같다”고 떠듬떠듬 답해주셨다. “그래서 그 다른 자료에는 어떤 게 있을까요?”라고 했을 때부터 그분은 횡설수설하셨다.

“아...네...그 정확한 피해 사실을 입증하는 자료죠.”
“제가 묻고 있는 게 그거에요. 어떤 자료로 입증하냐니까요?”
“피해 사실을 입증할 수 있는 서류요.”
“피해가 아직은 없어요. 우려를 어떻게 ‘공식적’으로 나타낼 수 있을까요?”
“피해가 있었으면 그 사실을 입증하실 책임은 민원인에게 있습니다.”

놀랍게도 이런 식으로 대화가 계속 맴돌았다. 결국 “제가 직접 주민등록번호변경위원회에 연락을 하는 게 빠르겠군요”라고 하자 “그렇게 하시는 게 나을 듯 하다”는 답변이 돌아왔다. 감사하다고 인사하고 전화를 끊었다.

다른 센터의 젊은 담당자는 조금 더 실질적인 답변을 주었다.

“피해 사실을 어떻게 입증해야 할까요?”
“피해에 따라 다르지만 경찰서에 가시거나 은행에 가셔서 관련 서류를 신청하시면 될 겁니다.”
“그런데 피해가 직접 일어난 건 아니고, 아직은 우려만 되는 상황이에요.”
“아, 그러면 직접 연락을 받으신 건가요?”
“제가 자주 방문하는 사이트에 공지 사항이 올라왔어요. 해킹 사고가 일어나 개인정보가 유출됐다고요. 그래서 주민번호를 바꾸라고요.”
“그러면 그 공지 사항을 캡쳐하셔서 제출하셔도 될 거 같아요.”
“그 공지 사항으로는 제가 그 사이트 회원이라는 게 증명되지 않는데, 괜찮을까요?”
“아, 그게 그냥 모든 사람을 대상으로 올라온 글이군요?”
“네, 맞아요.”
“그러면 회원정보 같은 데 들어가셔서 그 사이트의 회원이라는 걸 입증할 만한 내용을 화면캡쳐 하시는 것도 도움이 될 듯 합니다. 물론 그렇다고 심사에서 통과하리라는 장담은 드릴 수 없습니다. 저희는 접수만 받는 곳이라서요.”

위원회에 직접 연락을 했을 때, 피해 입증 서류에 대한 보다 상세한 안내를 받을 수 있었다. “판결문, 사건사고사실확인원, 사건처분결과 통지서, 진단서, 계좌이체확인서, 녹취록, 가정폭력피해자 보호시설 확인서, 상담사실 확인서 등입니다.” 하지만 사이트 공지 사항 캡쳐본과 같은 경우, 확답을 주지 못했다. 아무래도 심사를 직접 하는 곳이다보니 이런 서류가 된다 안 된다를 말해주는 것에 부담을 느끼는 듯했다. 직접 제출해보지 않는 이상 알 수 없는 문제로 남겨두었다.

위원회 공식 홈페이지에도 ‘사이트 공지문 캡처도 인정된다’는 내용이 나와 있지는 않았다. 다만 입증 자료 예시에 “주민등록번호가 유출된 내용이 기재된 국가·지방행정기관, 한국인터넷진흥원 등의 민원조사 또는 개인정보 침해신고 처리 확인서”라고 나와 있었는데, 이를 미루어 봤을 때 공공 기관이 직접 발행한 문서가 반드시 필요하다는 인상이 강하다. 그렇다는 건 개인이 한국인터넷진흥원(KISA)에 직접 사건을 신고해야 할 수도 있다는 의미가 된다. 기자는 거기까지 진행하지는 않았다.

제도 있는 건 좋지만, 딱 거기까지만
이 글은 공무원들을 욕하려고 쓴 게 아니다. 공무원들은 보직 변경을 자주 겪으며, 따라서 주기적으로 해당 업무의 초보자가 될 수밖에 없는 입장이다. 업무 매뉴얼을 숙지하기도 바쁜데, 변수 많은 민원 처리를 일사천리로 진행할 수 없다. 어쩌다 그 업무에 완숙한 담당자를 만나기도 하지만, 그게 운이 좋은 경우지, “좀 더 알아본 후에 연락을 따로 드리겠다” 정도면 늘 새 업무를 익혀야 하는 입장에서 할 수 있는 최선의 대처라고 본다. 좀 더 많은 정보 유출 피해자들이 주민등록번호 변경을 신청한다면, 그래서 담당 공무원들의 경험이 쌓이면 해결될 수 있는 문제이기도 하다.

짤막하게나마 변경 신청을 하면서 더 큰 문제라고 느낀 건 피해 사실을 직접 입증해야 한다는 것이었다. 피해자는 정보 유출을 겪고도 직접 경찰서나 은행, 카드사 등에 연락을 해 관련 서류를 요청해야 한다. KISA에 직접 사건을 신고해야 할 수도 있다. 그렇게 어렵게 모은 자료들에 심사관들이 수긍할 것인지 역시 불투명하다.

자료 수집 기간을 빼고, 최초 접수와 결과 통보를 받을 때까지 6개월 정도가 걸린다는 시청 직원의 안내도 마음에 걸린다. 해커의 손에 들어간 내 주민등록번호가 언제 어떤 식으로 악용될지 모르는 상황에서, 6개월이나 기다려야 한다는 건 제도의 실효성을 의심케 한다. 실제 피해가 발생하지 않은 상황에서 변경 승인이 날 가능성이 낮아 보이는 것도(통화한 공무원들 모두 ‘피해가 있어야 승인 확률이 높지 않을까’라는 식으로 말했었다) 문제다. 피해를 예방하기 위해 주민등록번호를 변경할 수 있어야 제도에 의미가 생기기 때문이다. 역시 실효성에 의문을 제기할 수밖에 없는 대목이다.

주민등록번호가 바뀐 후도 문제다. 위에서 언급한 시청 직원에게 물었을 때 “공공기관에 등록된 주민등록번호는 새 것으로 다 바뀔 것이지만, 그 외 은행이나 카드사 등 사기업에 등록된 신원정보는 당사자가 일일이 연락해 바꿔주어야 한다”는 답을 들을 수 있었다. 사기업 정보까지 전부 자동으로 알아서 바뀌는 것도 무서운 일이긴 하지만, 모든 곳에 다 연락해 변경 절차를 거쳐야 한다는 건 까마득한 느낌을 준다. 개인정보에 대한 대단한 애착이 있지 않는 한 이 생각만으로도 주민등록번호 변경을 포기할 만하다.

보안 관련 공무원, 순환 보직 어울리나?
정보보호 관련 민원만을 도맡아 처리하는 공무원은 아직 없다. 시대의 흐름에 따라 새로 생겨야 할지도 모르겠지만, 아직 장단이 공론화 되지도, 사회적 합의에 이르지도 않았다. 조금 더 관심을 가지고 논의에 불을 붙이거나 참여해야 할 시기다. 이런 담당자의 업무 범위는 어디서부터 어디까지가 되어야 하는지, 어떤 권한을 가지고 민원을 처리해야 하는지, 어떤 자격을 가지고 있어야 하는지, 생각할 게 많다.

다만 ‘보안 민원’을 전문으로 하는 공직이 생겼다고 했을 때, 그 보직마저 순환시켜야 하는지는 지금부터 고민해볼 만하다. 정보보안은 매우 전문적인 지식과 경험을 요하고, 지금 이 순간에도 범위가 넓어져 가는 분야이기 때문이다. 기업들에서 실질적으로 인정할 만한 민간 보안 전문가 자격증을 따려면 ‘다년 간의 실무 경험’이 뒷받침 되어야 하며, 인공지능 등 새로운 첨단 기술이 나타날 때마다 그걸 보호하는 방법을 머리 터지게 연구해야 하는 게 보안 전문가들의 몫이다. 이걸 단순 순환 보직 제도 때문에 얼떨결에 보안 담당자 자리에 오른 사람이 감당할 수 있을까? 회의적이다.

피해 발생 없이, 그러므로 피해 입증 없이, ‘피해가 우려되는 상황’에서 선제적으로 주민등록번호를 변경시킬 수 있다고 했을 때, 사회적으로 어떤 부작용이 있을 수 있을까? 이 문제도 깊이 고민해 봐야 한다. 개인정보 탈취로 인한 피해로부터 사람들을 보호한다는 취지는 좋지만, 그것 때문에 사회의 다른 쪽에서 더 큰 구멍이 생기면 안 될 것이다. 각종 은행, 카드사, 웹서비스에서 사용자들이 등록한 개인정보를 대량으로 변경했을 때의 사회적 비용이 얼마나 될지 산출해 보는 것도 - 방법만 있다면 - 논의에 도움이 될 것이다.

일단 제도는 거기에 있다. 다만 실효성이 부족하다. 유출된 지문은 못 바꿔도, 주민등록번호 정도는 ‘이론상’ 바꿀 수 있다. 원래 모든 제도가 처음부터 실효성을 완벽히 갖춘 채 정착하지는 않는다. 2017년에 마련된 기틀을, 이제 조금씩 탄탄히 굳혀가야 하는 시기다. 한국음악콘텐츠협회가 내놓은, 이제껏 보지 못했던 ‘주민등록번호 변경 요망’이라는 보안 사고 안내문이, 그런 방향으로의 움직임을 자아내기를 기원한다. 물론 애초에 그런 사고가 없었으면 더 좋았겠지만, 이왕 난 사고, 더 생산적인 방향으로 이끌어가는 게 지금 보안 전문가들의 몫이겠다.