세계 최대 규모 신분증 프로그램 유출
‘IT 강국’ 인도가 곤욕을 치르고 있다. 생체정보를 기반으로 한 인도의 신분증 시스템 ‘아드하르(Aadhaar)’부터 나렌드라 모디 총리의 국민소통 애플리케이션까지 모두 ‘뚫렸다’는 의혹에 휘말렸다.
개인정보 수집 및 유출 논란이 제기된 인도 정부의 신분 식별관리 시스템인 ‘아드하르’의 등록 신청 이미지. / 인도 매체
‘IT 강국’ 인도가 곤욕을 치르고 있다. 유례 없는 규모의 개인정보 유출 의혹이 여기 저기서 터져나오고 있기 때문이다. 생체정보를 기반으로 한 인도의 신분증 시스템 ‘아드하르(Aadhaar)’부터 나렌드라 모디 총리의 국민소통 애플리케이션까지 모두 ‘뚫렸다’는 의혹에 휘말렸다. 프라이버시에 대한 우려가 커지는 것은 물론 기술 기반의 ‘빅브라더’에 대한 보다 근본적인 질문도 나오고 있다.
아드하르는 인도인의 신분을 식별·관리하는 인도 정부의 관리시스템이다. 미국 사회보장번호(SSN)을 모델로 만들어졌는데, SSN과 달리 지문, 홍채 등 생체정보를 포함하고 있다는 것이 특징이다. 12자리의 고유번호로 이뤄져 있으며, 한국의 주민등록증처럼 신분증으로 사용된다. 현재 아드하르에 등록된 인도인 수는 11억명 이상이다. 생체정보 기반 신분 인증 프로그램으로는 세계 최대 규모다.
아드하르 발급은 의무가 아니지만 거의 모든 정부 서비스가 아드하르와 연계돼 있다. 나렌드라 모디 인도 총리가 취임 이듬해인 2015년부터 디지털화 정책 ‘디지털 인디아 이니셔티브’를 추진하면서 아드하르 기반의 공공서비스는 꾸준히 확대돼 왔다. 아드하르 카드가 없으면 식량배급, 출산과 육아 관련 수당, 장학금 등 교육혜택을 이용할 수 없다. 사실상 강제인 셈이다. 인도 대법원이 아드하르의 헌법적 기본권 침해 관련 소송 여러 건을 심리 중에 있는 것도 이 때문이다.
논란은 지난 1월, 인도 현지 언론 <인디안 트리뷴>의 보도로 시작됐다. 매체는 모바일 메신저 왓츠앱에서 활동하는 익명의 판매자로부터 인도 전국민의 이름과 생년월일, 주소, 휴대전화 번호, 지문 및 홍채 정보가 담겨 있는 아드하르의 접근 권한을 구매하는 데 성공했다고 주장했다. 정보를 구입하는 데 든 돈은 단돈 500루피(약 8200원)였다. 이어 “특정 개인의 아드하르 번호를 입력하면 신분증 인쇄가 가능한 소프트웨어도 300루피(약 4900원)에 살 수 있었다”고 주장했다.
아드하르의 발행 및 관리 기관인 인도 고유신원권한(UIDAI)은 이 같은 의혹을 강하게 부인했다. UIDAI는 공식 트위터 계정에 “아드하르는 침입을 받은 적이 없다”며 “이 이야기에는 진실이 전혀 없다”고 밝혔다. 인도의 집권 국민당(BJP) 또한 “아드하르 정보 유출은 ‘가짜 뉴스’”라는 입장을 냈다. 하지만 지난달 프랑스의 보안전문가 엘리엇 앨더슨이 “간단한 인터넷 검색도구를 이용해서 하루 만에 2만여개의 아드하르 카드 정보에 접근했다”고 주장하면서 논란이 잦아들지 않고 있다.
모디 총리도 ‘빅브라더’ 불똥
나렌드라 모디 인도 총리의 공식 애플리케이션 <나모(Namo)>의 예시 화면. / 구글 플레이 스토어
아드하르의 보안문제는 시스템 도입 초기부터 내내 지적돼 왔다. 보안전문가들은 명확한 안전장치 없이 많은 양의 데이터에 정부 또는 민간기업이 접근하는 것은 프라이버시에 위협이 된다고 경고해 왔다.
실제 곳곳에서 허점이 드러나고 있다. 이미 가짜 아드하르는 속속 등장 중이다. 한때 뭄바이에서는 가짜 카드를 200루피에 구할 수 있다는 보도가 나왔다. 최근 인기 연예인의 이름을 도용해 만든 가짜 아드하르로 호텔 예약이 이뤄져 경찰이 조사에 들어갔고, 일부 테러 조직원들이 신분을 숨기거나 범죄를 저지르는 데 가짜 카드를 이용하고 있다는 보도가 나오기도 했다.
프라이버시 침해와 취약한 보안 외에도 아드하르가 되레 정부의 기초서비스 제공을 막는다는 점도 아드하르의 문제점으로 거론된다. 당국의 실수로 신분증에 이름이 잘못 기재되거나 고령으로 지문이 닳는 등의 사유로 수개월간 학교에 가지 못하거나 식량배급을 받지 못하는 사례도 쏟아져나오고 있다.
인도 사이버 보안 전문가인 스린바스 코달리는 아드하르의 설계와 구현에 문제가 있다고 말한다. 그는 “아드하르의 가장 큰 위험은 신원을 통째로 도둑 맞는 것”이라며 “그로 인해 아흐다르 번호가 해제된다면 피해자는 기본적으로 정부나 민간 서비스 공급업체에 있어서 더 이상 존재하지조차 않는 사람이 된다”고 말했다.
인도 ‘디지털 드라이브’의 당사자인 나렌드라 모디 총리 또한 정보유출 스캔들로 홍역을 치르고 있다. 모디 총리의 국민소통 애플리케이션 ‘나모(NaMo)’가 사용자의 개인정보를 동의 없이 수집해 외부로 유출시켰다는 의혹이 최근 제기되면서다. 정치적 도구로서 소셜미디어의 잠재력을 일찍이 인식한 모디 총리는 취임 이듬해인 2015년 나모 앱을 론칭했다. 앱을 통해 모디는 그의 정책이나 활동을 홍보하는 것은 물론, 사용자가 자신의 아이디어와 의견을 낼 수 있도록 했다. 구글 플레이스토어에서만 다운로드 수가 500만건이 넘을 만큼 인기가 좋았다.
그러던 3월 24일, 엘리엇 앨더슨은 나모 앱이 개인 이용자 정보를 사용자 동의 없이 클레버탭이라는 제3의 미국 데이터 분석회사에 넘겼다고 트위터에 폭로했다. 모디가 이끄는 여당 인도국민당(BJP)은 “모든 사용자에게 가장 알맞은 콘텐츠를 제공하기 위해 데이터를 분석했을 뿐”이라고 해명했다. 하지만 이 앱의 기본 모드가 사용자의 사진·영상·위치·음성녹음 파일 등에까지 접근할 수 있도록 한다는 현지 언론의 보도가 뒤따라 나오면서 파문은 더 커졌다.
정부 주도 시스템의 정보유출 논란이 잇따르면서, 정부에 적용되는 개인정보 관련 보호법이 허술하다는 지적이 나온다. <파이낸셜타임스(FT)>는 “3월 28일 “인도에서 데이터 보호와 개인정보 보호 문제를 다루는 유일한 법적 조항은 오직 기업에만 적용된다”며 “정부나 정당이 적용을 받는 포괄적인 개인정보 보호 및 보안 법률이 없다”고 전했다. 그러면서 “이번 논쟁으로 인도인들은 편의와 오락을 위해 열광적으로 채택해온 앱의 데이터 수집력이 얼마나 불편한 것인지에 대해 눈을 뜨게 됐다”고 평가했다.