UID 번호, 법적 신분증으로 인정될 수 있는가

초록

본 논문은 인도 고유식별번호(Aadhaar, UID)가 법적으로 유효한 신분증으로 기능할 수 있는지를 평가한다. 신분증의 핵심 요건인 ‘신원 확인’, ‘인증 절차’, ‘신뢰 구축’ 세 가지 기준을 제시하고, UID 발급·사용·검증 과정을 이 기준에 비추어 분석한다. 결과적으로 UID는 신원 확인 절차가 부실하고, 발급기관의 인증·보증이 없으며, 신뢰성을 확보할 독립적인 감사 체계가 미비함을 지적한다.

상세 분석

논문은 먼저 “법적으로 유효한 신분증”이 갖추어야 할 세 가지 핵심 요소를 정의한다. 첫째, 신원 확인(identity establishment) 단계에서 발급기관이 개인을 직접 확인하고, 그 결과를 공식적으로 인증(certify)해야 한다. 둘째, 인증(authentication) 단계에서는 발급된 문서가 제3자에 의해 검증될 수 있는 메커니즘이 존재해야 하며, 이를 위해 전자 서명, 물리적 인장, 혹은 중앙 데이터베이스와의 실시간 연동이 필요하다. 셋째, 신뢰 구축(confidence building)에서는 독립적인 제3자 감사, 변경 이력 투명성, 그리고 데이터 무결성 보장이 필수적이다.

이후 저자들은 UIDAI가 운영하는 Aadhaar 시스템을 위 세 기준에 따라 상세히 검토한다. 발급 과정에서는 ‘등록기관(Registrar)’과 ‘하위 등록기관(Sub‑Registrar)’이 서류 검증만을 수행하고, 실제 개인의 신원을 확인하는 절차는 존재하지 않는다. 생체정보와 문서가 연결되는 것은 맞지만, 해당 생체정보가 실제 어느 개인에 귀속되는지에 대한 법적 책임이 명시되지 않는다. 또한, UID 발급 서한에는 정부 공식 서명이나 인장이 없으며, 발급기관이 신원·주소를 인증한다는 증거가 전혀 제시되지 않는다.

인증 측면에서는 UID 번호 자체가 12자리 무작위 식별자에 불과하고, 번호만으로는 진위 여부를 판단할 수 없다. UIDAI가 제공하는 온라인 검증 서비스는 번호 존재 여부와 일부 메타데이터(연령대, 성별 등)만을 반환한다. 실제 카드의 QR코드, 물리적 복사본, 온라인 데이터가 각각 별도로 조작될 가능성이 존재하며, 이를 통합적으로 검증할 메커니즘이 부재하다.

신뢰 구축 부분에서는 독립적인 감사 체계가 전혀 마련되어 있지 않으며, 데이터 변경 이력이 덮어쓰기 방식으로 관리돼 투명성이 결여된다. 논문은 이러한 구조적 결함이 UID를 ‘법적 신분증’으로 인정하기에 충분히 위험하다고 결론짓는다. 또한, UID가 KYC·KYR 절차를 대체하면서 발생하는 ‘기능 확산(function creep)’ 문제를 지적하고, 이는 개인 프라이버시 침해와 데이터 오남용 위험을 증대시킨다.

전반적으로 저자들은 UID가 ‘고유 식별키’로서는 기능할 수 있으나, 법적·제도적 보증이 없는 한 신분증으로서의 정당성을 확보하지 못한다는 점을 강조한다. 이는 인도 내외에서 UID를 기반으로 한 행정·민간 서비스가 확대될 경우, 신원 확인의 객관성과 법적 책임 소재가 불명확해지는 심각한 정책적 함의를 가진다.