본문 바로가기
AhnLab 칼럼

인터넷 개인식별번호 아이핀(i-PIN)과 개인정보보호

by 보안세상 2020. 4. 20.

2008.10.28

 

아이핀(i-PIN)은 “인터넷 개인식별번호(Internet Personal Identification Number)”의 약자로 2005년 정보통신부와 한국정보보호진흥원이 마련한 제도이다. 대면확인이 어려운 온라인에서 본인을 확인 받을 수 있는 수단 제공을 목적으로 한다.

지난 2~3년간 옥션, GS칼텍스, 하나로텔레콤 등에서 개인정보가 유출되는 대형 사고가 발생하였다. 이들 정보는 중국 등지에서 저렴(?)하게 거래되고 있는 것으로 알려져 있다. 또한 구글DB나 P2P 등에서 이력서나 주민등록번호 등 민감한 개인정보를 구하는 것은 어제 오늘 일이 아니다. 2006~7년 사이에만 해도 천만 건 이상의 주민등록번호가 유출된 것으로 추정되고 있으며, 이렇게 유출된 정보는 타인의 아이디, 패스워드 등을 조회하는 등 범죄행위에 악용되고 있다.

그림 1 개인정보 유출 피해 - 한국정보보호진흥원 2007년


한국정보보호진흥원의 2007년 발표에 의하면 총 9,000여건의 개인정보 유출 피해 중 주민번호 도용이 78%를 차지하여 가장 심각한 것으로 나타났다. 이에 따라 각 개별 사업자들이 주민등록번호 이용자로부터 받지 않아도 본인확인을 할 수 있도록 하기 위한 주민등록번호 대체 수단으로 아이핀을 의무적용 하도록 하는 방안이 탄력을 받고 있다.

아이핀을 사용하기 위해 이용자는 아이핀을 발급하는 본인확인기관에 자신의 신원정보 즉 공인인증서, 핸드폰, 직접 방문 등을 통하여 본인확인을 하고 아이핀을 발급받으면 된다. (아이핀의 발급과 사용방법에 대한 보다 자세한 내용은 한국정보보호진흥원 홈페이지 http://www.kisa.or.kr 를 참고하면 된다.)

이용자가 웹사이트에 회원가입을 할 때 아이핀을 사용하면, 인터넷 사업자는 본인확인기관으로부터 본인확인정보(열세자리 아이핀), 중복가입확인정보 그리고, 필요에 따라 생년월일과 성별 정보를 추가로 받게 된다. 인터넷 사업자는 이 정보를 사용하여 본인확인, 성인인증, 중복가입, 성별식별 등을 처리할 수 있다.

그림 2 아이핀 서비스 구성도


아이핀은 주민등록번호를 대체하여 신분을 증명할 수 있고, 인터넷 사업자가 관계법령에 따라 실시하는 본인 확인을 주민등록번호 없이 수행할 수 있다. 또한, 아이핀은 외부 노출 시에 수시로 변경가능하기 때문에 해킹 등의 사고가 발생했을 때 유연히 대처할 수 있는 장점이 있다.

아이핀도 취약점 있다
이런 장점을 가진 아이핀도 단점으로 지적 받고 있는 것이 있다. 열세자리 본인확인정보가 유출되었을 때 쉽게 변경할 수 있어 안전하다고는 하지만, 이용자가 본인확인정보가 유출 여부를 실시간으로 인지하기 어렵고 인지한다고 해도 변경하기 어려울 수도 있다. 게다가 유출된 후 조치를 취하는 사이에 발생하는 문제에는 대처할 수가 없다. 이 부분은 원타임 패스워드 개념으로 매번 다른 아이핀 번호를 발급하여 유출되어도 문제가 없도록 완벽하게 개선되었으면 한다.

방송통신위원회에서 이달 중 신규가입자에게 주민등록번호 이외의 본인확인 방법을 제공하는 것을 의무화한 정보통신망법 시행령 개정안을 마련하여 의결할 것이라고 한다. 이렇게 되면 일정 규모 이상의 웹사이트-대상 웹사이트는 1,000여 곳이 될 것이라고 한다-는 회원가입 시 주민등록번호를 입력할 필요 없이 아이핀이나 공인인증서, 휴대전화 등을 사용하여 본인확인을 하게 된다. 이 개정안은 규제개혁위원회 등의 심사와 국무회의의결을 거쳐 내년 초에 시행될 예정이라고 하니 인터넷을 통한 주민등록번호의 유출이 어느 정도 줄어들 것으로 기대된다.

그러나, 유출되고 있는 개인정보는 주민등록번호뿐 만이 아니다. 보통 웹사이트에 가입할 때 이름과 주민등록번호는 물론이고 이메일, 주소, 집전화 번호, 핸드폰 번호 등을 함께 요구한다. 더 나아가서는 취미나 결혼기념일 등의 추가적인 개인정보를 요구하는 곳도 있다. 이용약관에 개인정보의 수집 및 이용에 대해서 그 용도가 애매모호한 문구를 삽입하여 개인정보수집을 정당화하고 있으며 이를 거부 할 때는 웹사이트 가입 자체를 할 수가 없다.

이렇게 수집된 개인정보는 마케팅 목적으로 사용되거나 역시 애매한 동의를 통하여 제3자에게 넘어가기 일쑤이다. 이렇게 억지로 수집한 개인정보를 관리 또한 허술하게 하여 해킹을 당해서 외부로 유출되니 이용자로써는 하소연할 데도 없고 참으로 답답할 뿐이다. 한국정보보호진흥원에 따르면 올해 7월 현재 회원 가입 때 주민등록번호 등 개인정보를 입력하는 사이트는 조사 대상 1만2007곳 중 1만22곳(83.5%)이며, 개인정보 수집 사이트는 2005년 36%에서 2006년 50%, 2007년 60%로 계속 늘어나는 추세라고 한다.

그림 3 개인정보 입력 요구 사이트 - 한국정보보호진흥원 2008년


이 문제를 해결하기 위하여 2004년 노회찬의원을 필두로 하여 무려 5개의 개인정보보호법안이 지난 17대 국회에 제출되었으나 제대로 토론 한번 못해보고 2008년 5월 국회임기 만료로 자동 폐기되고 말았다. 그러나, 지난 8월 한나라당 이혜원의원, 10월 민주당 변재일의원 등이 다시 개인정보보호법을 발의하였으며 입법 예고된 정부안을 포함하여 총 세 개의 안을 두고 국회에서 논의될 예정이다. 이번 18대 국회에서는 개인정보보호법이 꼭 통과되어 무분별한 개인정보수집행위가 금지되었으면 하는 바램이다.

적절한 보안장치 구축 시급
개인정보보호법이 제정되고 아이핀 등 주민등록번호 대체 수단이 적용되어도 시스템이 적절한 보안장치를 갖추지 못하면 해킹을 통하여 개인정보가 유출될 우려는 여전히 남는다. 얼마 전 한나라당 이정현의원과 성균관대 정보보호연구소가 조사한 바에 의하면 아이핀 도입 웹사이트 50개 중 32곳에서 해킹을 통하여 본인확인정보가 쉽게 유출될 수 있는 것으로 나타났다. 이렇게 가로 채어진 본인확인정보는 다른 웹사이트의 인증 등으로 사용할 수 있다고 한다. 이번 조사에 따르면 주로 정부기관에서 본인확인 정보가 유출될 수 있는 허점이 있었으며, 다음과 네이버와 같은 대형포탈에서는 문제가 없는 것으로 나타났다. 이는 아이핀을 도입한다 해도 시스템이 올바르게 구축되지 않으면 무용지물이 됨을 나타낸다. 시스템이 보안지침을 따라서 구축되도록 하고 정확히 검증하여야 할 것이다.

현재 매출액 100억 이상, 일일 평균 이용자가 100만 명 이상인 업체는 정보통신망 침해사고를 예방하기 위해서 “정보보호 안전진단”을 의무적으로 수행하도록 되어있다. 그리고, 개별 사업자가 개인정보가 안전하게 관리됨을 인증 받을 수 있도록 “개인정보 영향평가”와 “정보보호관리체계인증”이 있다. 그러나, 그 대상이 너무 협소하거나 의무사항이 아니어서 실효성이 떨어진다. 이와 같은 시스템 감리나 운영에 대한 감사가 개인정보보호법에 포함되어 개인정보의 무분별한 수집과 그 허술한 운영에 대해서 국가가 적극적으로 개입해야 할 시점이다.

그림3에서 보았듯이 83%의 웹사이트가 개인정보를 요구하고 있다. 대형포털 사이트들, 그리고 신용카드를 결제 수단으로 사용할 수 있는 사이트를 운영하고 있는 회사들에서 경제활동인구인 2,400만 명 이상의 개인정보를 이미 소유하고 있을 것으로 예상할 수 있다. 이미 유출되어 거래되고 있는 개인정보만도 1,000만 명 이상으로 추정되고 있다. 거의 전 국민의 개인정보가 알게 모르게 떠돌아 다니고 있다고 해도 과언이 아니다.

지금부터라도 취할 수 있는 조치를 취하여 개인정보가 유출되거나 도용되는 피해를 막아야 한다. 더 이상의 대형 개인정보 유출 사고가 있어서는 안될 것이다. 이를 위해서 제도적 장치가 기반이 되어야 함은 두 말 할 나위 없다. 주민번호 대체 개인식별 수단을 통해 주민등록번호 사용범위의 축소, 주민등록번호를 대체할 수 있는 본인확인방법의 제공 의무화, 개인정보수집의 제한과 관리기준강화 등 개인정보의 무분별한 수집과 수집된 개인정보를 철저히 관리할 수 있는 제도가 법제화되어야 할 것이다.

개인정보 보호에 대해서 사회적으로 공감대가 형성되고 정부의 추진 의지로 개인정보보호법안이 검토되고 있는 현 시점에서 모쪼록 현실적이고 합리적인 방안이 마련되기를 바란다.@

칼럼니스트                 황용석 | 안철수연구소 프로그래머

 

현재 인터넷을 통하여 알게 모르게 이루어지는 공격에 대응하기 위하여 시스템 가상화를 통하여 단말의 보안성을 높이기 위한 연구를 진행하고 있다. 새롭게 “IT 칼럼니스트”에 합류하게 되었으며, 최근에 관심분야는 Virtualization, Behavior Detection, Parallel Computing이다.