티스토리 뷰

최근 정부가 온라인 기반의 IT 산업을 위해저 잘한 일중 하나가 바로 주민번호 정보 폐기라고 할 수 있다. 주민번호 정보가 아직도 돈으로 인식되는 상황에서 인터넷 기반 서비스들에서 우선적으로 주민번호를 폐기토록 한 것은 매우 훌륭한 일이라는 생각이다. 다만, 아직 인터넷 서비스에 국한해서 개인정보 관리 지침이 적용되고 있는 점은 아쉬움이라고 볼 수 있다. 


오늘은 이런 주민번호 같은 개인정보 활용의 연장 선상에서 문제점을 지적해 보려고 한다. 


필자가 최근 주목하고 있는 것은 바로 아이핀 정책이다. 주민번호를 대체토록 개발 된 아이폰은 이미 시행 전부터 특혜논란과 함께 또 다른 의미의 주민번호 생성이라는 문제점이 지적되었다. 


한마디로 정의하면 여러 문제점들로 아이핀은 주민등록번호 대체 수단으로서 효과는 불분명 한데 반해, 사용에 많은 제약과 불편함을 초래해 역행하는 서비스라는 것이 아이핀 정책에 대한 논란의 주요 이슈였다. 

 



 

아이핀의 가장 큰 문제점은 역시 보안 문제라고 볼 수 있다. 인터넷 사이트 등에서 유저 개개인의 고유한 본인 인증을 위한 또 다른 의미의 주민번호 서비스라고 볼 수 있는 아이핀은, 실상 주민 번호와 마찬가지로 개인정보가 특정 서버에 기록되기 때문에 주민번호 처럼 해킹시 개인정보 유출 문제가 발생하게 된다. 


해킹되서 유출 된 주민번호처럼 개인 인증을 위해 사용 될 수 있다는 것인데, 주민번호와 다른점이 있다면 아이핀 인증시 사용하는 비밀번호를 변경할 수 있게 되어 있어서 유저가 비번 변경시 해킹 된 데이터는 사용이 제한 된다는 점일 것이다. 


조금 나아졌다고는 하지만 전국민의 개인정보를 볼모로 본인 인증을 진행하기 위한 체제로서는 뭔가 허술함이 느껴지는 대목이라고 할 수 있다. 


 

온라인 만인의 지식 제공처라는 위키백과에서도 이 아이핀 문제에 대해서 아래와 같은 지적들을 하고 있다. 


아이핀(Internet Personal Identification Number, i-PIN)은 정부가 아닌 민간 기업에서, 그 중에서도 특히 인터넷의 웹사이트에서 개인의 주민등록번호를 수집하고 이용하는 일이 많아짐에 따라 주민등록번호의 대규모 유출, 주민등록번호의 도용 및 각종 범죄 예방을 위해 한국정보보호진흥원(2009년 한국인터넷진흥원으로 통합)이 개발한 사이버 신원 확인번호 체계이다. 일종의 인터넷 가상 주민등록번호라고 볼 수 있다.


주민등록번호 등의 개인정보 유출/악용 문제는 근본적으로, 주민등록번호 같은 민감한 개인정보를 수집할 필요가 없는데도 불구하고 주민등록번호를 포함해 과도한 개인정보를 수집하는 웹사이트가 많다는 데에 그 원인이 있다. 그러나 아이핀 제도는 민간의 개인정보 수집/이용을 규제하기보다는 도와주는 제도로서, 이러한 근본적인 문제의 해결책이 되지 못한다.


방대한 주민등록번호가 다섯 개의 민간 기업에 집약되기 때문에 만약 여기에서 정보가 탈취되거나 유출될 경우 대규모 피해가 발생할 수 있다.


아이핀 발급 기관에는 개인이 어떤 웹사이트에 가입했는지가 저장되며 이 또한 민감한 개인정보라 할 수 있는데, 이러한 개인정보가 몇몇 기업에 집약된다는 새로운 개인정보 문제가 생겨난다.

 

정부가 발표한 아이핀 사용자는 허수?

최근 정부는 아이핀 사용자가 크게 늘고 있기 때문에 아이핀이 시장에 자리잡고 있다는 억지 주장을 펼치고 있다. 지난 2006년부터 도입이 된 뒤, 사용자수 2년 만에 2배 이상 늘며 시장에 안착하는듯 했으나 2011년 기준으로 발급 건수가 454만건에 불과 할 정도로 사용자가 거의 없었던게 사실이다.


그러던 것이 주민번호 폐지가 시작 된 2012년 말부터 급격히 증가하더니 지난 4월 기준으로 1천100만건을 넘기며 주민번호 대체 수단으로서 인정받고 있다고 행정안전부 개인정보보호과장은 이야기했다.

 

그런데 생각해봐야 할 것은 아이핀의 사용이 정말 자발적이었는가 하는 점이다. 


주민번호 폐기 이전에는 사실상 주민번호로 개인 인증이 진행됬기 때문에 굳이 아이핀을 사용 할 필요가 없었다. 그럼에도 정부는 무리해서 아이핀을 의무화 시켰다. 


사실상 일정 규모 이상은 의무적으로 이 아이핀을 사용하게 함으로서 사용자의 선택권을 제한한 뒤 주민번호를 폐기 했기 때문에 본인 인증 수단이 절대적으로 부족한 시장에서 자연스럽게 아이핀 사용율이 높아질 수 밖에 없었던 것이다. 


이 의무화 조치와 주민번호 폐지로 1000만건 이상의 계정이 발급 된 것이지만, 실질적인 이용자의 대다수는 휴대폰 인증이나 공인 인증서를 활용하고 아이핀을 중복 발급후 사용하지 않는다는 점에서 행안부가 제시한 것 같은 보급율 상승과 사용율 상승의 논리가 정당한 것인지 의문이 드는게 사실이다. 


 

아이핀 정말 안전한가?

해킹 기법이 날로 고도화 되는 가운데 사실상 기업이 아무리 보안에 돈을 쓴다고 해도 미국의 CIA나 FBI급 보완을 유지하긴 힘든게 사실이다. 하물며 아이핀은 국가도 아닌 민간 기업 4~5곳에서 운영되고 있다. 


KISA의 경우 만약 이 기업들이 가진 아이핀 정보가 해킹이되 노출되도 비번 변경으로 주민번호 보다는 안정성을 유지하고 있다는 측면을 강조하며 아이핀의 사용을 정당화 시키고 있다. 차라리 그럴 것이라면 본인 인증이 굳이 필요 없는 체제로 만드는 것이 더 나을 뿐더러.. 핸드폰 인증이나 각 카드사의 정보를 활용하는 카드 인증이 더 효과적이지 않겠냐란 반론도 가능하다. 


안전성이 우선이라고 한다면, 본인 인증을 위해 개인정보를 민간 기업에 쌓아 놓고 관리하는 기법이 아닌 좀 더 공증이 가능하면서 사용자 편리성에 우선을 둔 손쉬운 방법을 채택 할 수 있게 하는게 더 현명하다는 이야기가 나오고 있다. 


실제 비번이나 계정 변경등이 용이하더라도 해킹 사실 인지도 어려울 뿐더러 사용자가 피해 사실이 입증됬을때 문제 대응이 가능하다는 문제가 노출된 점은 해결되지 않고 있는게 현실이다.


다시 말하면 아이핀은 안전하지 않으며, 본인 인증 수단으로 사용하기엔 기술적인 문제점과 함께 인증 체계 자체에서도 다양한 문제점을 드러내 사실상 불필요한 서비스를 누군가의 이익을 위해서 강제하고 있는 것이나 다름 없다는 이야기다. 

 


아이핀의 진정한 문제점은?

기본적으로 아이핀 사용을 위해서는  나이스신용평가정보, 서울신용평가정보, 코리아크레딧뷰로, 행안부의 공공아이핀 등 4곳에서 계정을 발급받아야 하고, 웹사이트 이용시 별도의 인증 과정을 거쳐서 사용해야 한다. 


또한, 이 시스템을 이용하기 위해서는 애초 주민등록번호를 필요로 한다. 때문에 제2의 사이버 주민번호라는 이야기가 나오는 것이다. 


그리고 이 아이핀을 이용을 위해서 이요하는 발급 기관인 가입 사이트 목록을 수집 할 수 있고, 사용 패턴도 검출해 낼 수 있는 위험성을 가지고 있다. 더 심각한 것은 4개 기업의 독과점 형성과 정부로 부터 묵인 받은 의무란 타이틀로 100억 이상 매출과 100만 이상의 사이트에서 손쉽게 인증 비용을 받으며 안정적 수익 구조를 이어가고 있다. 


첫째 과도한 개인정보의 민간 위탁의 문제점과 둘째 독과점 시장 제공은 물론 의무화로 날개를 정부가 달아준 꼴이다. 

 

동일 선상에서 놓고 평가할 수는 없지만, 공인인증서 문제와 일부 상충되는 문제가 발생하고 있다. 정부 스스로 특정 이익 집단에 법적으로 시장 형성과 안정적 수익을 보장해주고 있는 꼴이라는 이야기다. 


국가가 관리해도 믿기 힘든 판국에 사설 평가정보 업체에 개인정보를 내 맡긴 꼴이 아닐 수 없다. 특히 아이핀 인증을 지원하는 4개 기관을 보면, 신용평가정보를 다루는 업체와 연관성이 높다는 점을 알고 있다. 


이 기업들이 어떤일들을 하는지 확인해 보면, 이들 기관에 담겨 있는 1000만 이상의 사용자 정보가 잘못활용 될 경우 어떤 문제가 발생 할 수 있을지 알 수 있는 대목이 아닐까 싶다. 


 

결론, 아이핀도 사라져야 할 구시대 유물..

일부에서는 본인 인증 대체 수단의 부족으로 아이핀이 필요하다고 이야기한다. 하지만 기본적으로 주민번호는 미국의 사회 보장 번호와 같인 국가 시스템 체계에 사용되는 정보라 아예 사용을 금지해야 한다. 


본인 인증을 온라인 같은 업체에선 굳이 필요하지 않기 때문에 주민번호를 폐지한 것이다. 때문에 본인 인증이란 허울에 가려 아이핀 사용을 장려하는게 앞뒤가 맞지 않는다는 생각을 잊지 말아야 하며, 웹 쇼핑 같이 본인 인증을 위해 굳이 인증 수단이 필요하다면, 이미 사회적으로 암묵적 합의가 이루어진 간편한 휴대폰 인증이나 신용카드 인증 같은 수단으로 충분히 대체가 가능하다고 볼 수 있다. 


실제 제품을 구매하는 과정을 보면 결국 쇼핑후 장바구니에서 결제 할 때는 본인 인증이 아닌 카드 인증으로 카드 결제가 이루어지는 경우가 대다수라는 점을 인식하면 아이핀이 굳이 필요 없다는 생각을 갖게된다. 


오히려 이 본인 인증은 국가와 기업들이 다양한 온라인 규제와 네티즌 활동을 제약하기 위한 수단으로 활용하는 체제일 수 있다는 점이 더 다가오며, 공인 인증서 폐지와 Active X 제거와 함께 아이핀 제거도 같이 추진해야 하지 않는가 생각된다.



해당 글은 iamday.net의 IT칼럼(http://www.iamday.net/apps/article/talk/2629/view.iamday)에 기고 된 글입니다. 

댓글