Limits of Mandatory Verification of User Identity under Information and Communications Network Act - A Tension between Technology and Law
공직선거법은 성명과 주민등록번호를 사용한 “실명확인”조치를 인터넷 언론사가 선거 기간 중정당∙후보자에 대한 지지∙반대의 글에 대하여 실시하도록 하는 내용의 규정을 두고 있고, 정통망법은 모든 공공기관 웹사이트와 하루 10만명 이상이 접속하는 웹사이트를 대상으로 선거기간과는 무관하게 상시로, 그리고 글의 내용과 상관 없이 “본인확인”조치를 취하도록 하는 내용의 규정을 두고 있다. 온라인 교신에서의 본인확인은 당사자만이 배타적으로 지배하는 정보(비밀번호, 인증서, 생체정보 등)를 사용하여 이루어진다. 성명과 주민등록번호는 본인을“유일하게 특정”하는 정보일 뿐, 본인이“배타적으로 지배”하는 비밀정보가 아니므로 온라인 교신에서 본인확인 기능을 수행할 수는 없다. 한편 정통망법은 무엇이 본인확인 조치인지를 구체적으로 정하고 있지 않다. 온라인 교신상 본인확인 조치로서의 기술적 타당성이 인정되는 방법은 디지털 인증서 또는 아이핀(I-PIN) 아이디와 아이핀 비밀번호를 사용하는 것이지만, 한국의 공인인증서는 독특한 저장 규격 때문에 심각한 기술적, 경제적, 사업적 제약이 있고, 아이핀은 2011. 2 현재 저조한 보급율(300만명 가량)을 보이고 있으므로, 이러한 조치를 게시판 운영자가 일반적으로 채용하는 것은 현실적으로 불가능하다. 현재의 실상은 공직선거법상 실명확인 조치가 마치 정통망법상 본인확인 조치인것처럼 묵인, 통용되고 있으나 이 사태를 정당화할 기술적, 법적 근거는 없다. 실명확인 서비스는 신용정보업자가 오프라인상의 금융, 보험, 할부거래에서 수집한 신용정보의 일부(성명, 주민등록번호)를 신용도 평가와는 무관한 게시판 실명확인 용도에 전용하는 것이다. 공직선거법이 명시적으로 정한 한도 내에서는 이러한 전용이 허용될 수 있겠으나, 공직선거법이 정한 범위를 넘어서서 당사자의 동의 없이 그 성명, 주민등록번호를 함부로 사용하여 실명확인 서비스를 판매하는 신용정보업자의 행위는 신용정보의 부정사용, 주민등록번호의 부정 사용에 해당할 여지가 많다. 오프라인 거래에서 자신의 성명, 주민등록번호 제공에 동의한 거래 주체가 모두 컴퓨터 사용자라거나, 게시판에 글을 적기를 원하는 자라고 단정할 근거는 없다. 특히 국민 대부분의 성명, 주민등록번호가 유출되어 도용의 위험이 높으므로, 본인의 명시적 동의 없이, 그 성명, 주민등록번호가 무차별적으로 실명확인에 사용될 경우 본인에게 큰피해를 가하게 될 가능성이 크다. 실명확인 또는 본인확인 조치는 인터넷의 익명성이 초래하는 부정적 결과를 예방하기 위한 것이라고 흔히 설명되고 있으나, 인터넷이 과연‘익명적 교신 수단’인지는 의문이다. 교신당사자가 고도의 전문지식을 동원하여 일관된 노력을 기울이지 않는 한, 인터넷은 교신당사자를 추적하는데 사용될 수 있는 여러 기술적 흔적을 남기게 된다. 대부분의 이용자들에게 인터넷은 별도의 인증절차를 요구하지 않더라도 본인추적이 매우 용이한 매체이다. 이용자들은 인터넷이 익명성을 제공할 것이라는 막연한 인식(false sense of anonymity)을 가지고 있는데 불과하다. 실명확인 조치는 선량한 다수의 이용자로 하여금 자신의 성명과 주민등록번호를 입력하는“세레모니”를 거쳐가게 함으로써, 자신의 신원이 당장 노출될 수 있다는 사실을 환기하여 표현을 전반적으로 억압하는 효과를 거두고 있으나, 정작 범법자의 추적에는 실질적 도움이 되지 않는다. 실명확인 요구에 자신의 성명과 주민등록번호를 정직하게 입력하는 유저라면, 실명확인을 하지 않더라도 그를 추적하는데 필요한 충분한 정보(IP주소, 이메일 주소 등)를 이미 입수할 수 있고, IP주소와 이메일 주소로 추적이 어려운 수준의 유저라면 자신의 성명과 주민등록번호를 자발적으로 정직하게 입력하지는 않을 것이기 때문이다. 고의로 타인의 성명과 주민등록번호를 입력하는 자는 익명표현의 자유가 그다지 제약되지 않고, 자신의 성명과 주민등록번호를 정직하게 입력하는자들만 익명표현의 자유가 박탈되는 실명확인 조치로 거둘 수 있는 효과가 과연 무엇인지는 비판적인 검토가 필요하다. 더욱이 이 조치는 국내의 인터넷 사업자가 전세계를 대상으로 서비스를 구상, 구현하는데 큰 장애로 작용해 왔다. 그러나, 최근 등장한 소셜 댓글 기술은 2000년대 중반 수준의 종래의 댓글 기술을 전제로 도입된 실명확인/본인확인 조치를 기술적으로 시대착오적이고, 행정적으로도 강행 불가능한 것으로 전락시켰다.
The Public Office Elections Act (as amended in 2004) stipulated that internet news media mustimplement “real name verification measure”if they are to allow users to post “comments whichsupport or oppose a candidate or a political party”during the election period. The real nameverification measure must be distinguished from user authentication because it merely checkswhether the name and the resident’s registration number supplied by a user corresponds to aperson’s real name and the resident’s registration number issued to the person. There is no wayof verifying whether the user supplied his/her real name. Any real name and the correspondingresident’s registration number will do.Information and Communications Network Act (as amended in 2007; ICNA) required thatwebsites operated by all public bodies and other websites who attract on average more than100,000 unique visits per day must implement “authentication of user’s true identity”rather thanreal name verification. ICNA stipulates that the authentication must be done by ‘official’digitalcertificate or by an authentication service provider, among others. Korean official digital certificates pose technical and business constraints because they arestored at a non-standard location using non-standard file names and encrypted with an algorithm(SEED) which is not supported by web-browsers. In order to use them, web servers mustpurchase and install proprietary software (server-side plugin) and distribute client plugins tohandle the non-standard client certificates. Most web servers simply cannot afford to do so exceptfor banks and financial service providers who are obligated to use official digital certificate byFinancial Supervisory Service Directive. I-Pin authentication service is a less burdensomealternative. But only about 3 million users have so far applied for an I-Pin ID. As a result, real nameverification - which is not an authentication method - is widely used (and regulators accept it) inpractice as if it can carry out “authentication of user’s true identity”.Although the purported aim of these mandatory verification/authentication measures is toremove or reduce anonymity so as to prevent illegal activities on the Internet, it is doubtful in thefirst place whether the Internet offers anonymity. By its nature, Internet communication leaves anumber of technical traces which can be used to track down the user. Removing such traces wouldrequire a great deal of technical expertise and effort. It is equally doubtful whether the real name verification measure can help tracing a user who is determined to conceal his identity. In fact, thismeasure has no real impact on those who supply a false name (their freedom of expression is notimpaired), whereas it removes the sense of anonymity from those who voluntarily supply their truename and resident’s registration number (thus restricting their freedom of expression by exposingtheir identity). The measure, even though it is not a proper authentication method, can certainlyhave a generalised chilling effect for the vast majority of ‘honest’users. Perhaps this is what thegovernment intended in the first place.However, the verification/authentication requirement is rapidly becoming unenforceable andobsolete as the social commenting platform is adopted by increasing number of websites. Userscan now post comments with their Twitter, Facebook, Yahoo, Google ID. The real nameverification or the non-standard Korean ‘official’digital certification method is simply notsupported by the social commenting platforms currently available. Government is not in a positionto ‘ban’the social commenting platforms.