인터넷상에서 개인정보보호를 위해 도입한 ‘아이핀(I-PIN)’을 부정 발급받아 판매한 일당이 검거됐다. 아이핀은 이미 해킹 등으로 유출된 주민등록번호의 도용을 막기 위해 만들어진 본인 실명 확인 수단으로, 명의 도용을 통한 부정발급이 확인되기는 2006년 도입 이후 처음이다.

2006년에 첫선을 보인 ‘아이핀’은 현재 3개월 평균 방문자수가 10만명 이상인 사이트에선 의무적으로 사용하고 있다. 이를 이용하는 사람은 206만명에 이른다. 정부는 2015년부터 인터넷 회원으로 가입할 때 주민등록번호 대신에 본인확인 수단으로 ‘아이핀’을 의무적으로 사용토록 했다.

2006년 첫 선 보인 아이핀 이용자는 206만명

▲ 인터넷상 주민등록번호 대체수단인 아이핀(I-PIN)이 부정 발급된 사건이 발생한 가운데, 방통위가 아이핀 발급시 본인확인 수단에서 무기명 선불카드(기프트 카드)를 제외하는 방안을 추진키로 했다

경찰청 사이버테러대응센터는 인터넷상의 주민등록번호 대체인증수단인 아이핀을 대량으로 부정발급해 판매한 혐의(사전자기록위작 등)로 장모(33)씨와 김모(21)씨를 구속했다고 6월 7일 밝혔다. 경찰은 또 같은 혐의로 박모(37)씨와 안모(22)씨를 불구속입건하고, 이들한테서 아이핀을 사들여 포털사이트 계정을 만들고 광고 메일을 보내는 데 이용한 이모(29)씨 등 4명을 불구속입건했다. 경찰에 따르면 장씨 등은 무기명 기프트카드의 번호를 이용하거나 휴대폰 대리인증을 받는 등의 수법으로 발급기관의 신원확인 절차를 통과할 수 있는 점을 노려 지난해 초부터 최근까지 타인 명의의 아이핀 1만3000여개를 발급받은 혐의를 받고 있다. 장씨 등은 부정발급받은 아이핀을 이용해 게임사이트나 포털사이트의 계정을 만든 뒤 중국의 게임 아이템 판매 조직이나 국내 광고업자 등에게 팔아넘겨 3500만원을 챙겼다고 경찰은 전했다. 경찰 관계자는 “아이핀은 내년부터 국내 모든 웹사이트에 의무적으로 도입될 예정인데 유출된 주민번호로 아이핀이 대량으로 생성된다는 심각한 문제점이 발견됐다”며 “수사결과를 방송통신위원회 등 관련부처에 알려 보완책 마련을 권고했다”고 말했다. 이번 사건과 관련, 방송통신위원회는 아이핀을 선불카드 발급을 위한 신원 확인 수단에서 제외하고, 본인 확인 절차를 제대로 수행하지 않은 카드사에 대해서는 강력한 제재를 가하도록 금융위원회측에 요청하기로 했다. ‘아이핀’이 등장한 것은 주민등록번호 유출과 도용문제가 심각해지면서 인터넷에서 주민등록번호 대신에 본인을 확인할 수 있는 대체수단이 필요하다는 지적에 따라, 정부가 마련한 것이다. 주민번호 대신 사용할 수 있는 ‘아이핀’은 정부가 지정한 발급기관에서 주민번호 대신에 사용할 아이디와 비밀번호를 발급받는다. 발급기관은 서울신용평가정보, 한국신용정보, 한국신용평가정보, 한국정보인증, 한국전자인증이다.
이렇게 발급받은 아이디와 비밀번호로 웹사이트에 가입할 수 있는 것이다. 주민번호와 달리 ‘아이핀’은 웹사이트에 저장되지 않기 때문에 주민번호처럼 유출위험이 낮아 그만큼 안정성이 보장됐던 방식이다. 특히, 서울신용평가정보 등의 발급기관에서 아이디와 비밀번호를 만들 때 개인 명의의 공인인증서나 신용카드, 휴대폰 등으로 신원확인 과정을 거치게 돼 있어 상대적으로 안전한 것으로 인식돼왔다. 방송통신위원회는 아이핀을 통한 본인확인 제도를 오는 2015년 모든 인터넷사이트에 의무 적용한다는 목표로 추진하고 있다. 이를 위해 지난해 이용자가 아이핀 발급 기관을 식별할 수 있고, 아이핀 발급시 인증단계도 3단계에서 2단계로 축소하는 등의 아이핀 2.0 버전을 출시했다. 한국인터넷진흥원 관계자는 “이번 사건은 특정 금융사에서 신원확인 절차를 거치는 방식에서 오류가 발생한 것으로 안다”며 “아이핀 발급시 대부분의 개인 신원 확인 절차는 엄격하기 때문에 주민등록번호가 있다는 것만으로 아이핀을 불법 발급받기는 힘들다”고 설명했다.

아이핀 부정발급, 방통위도 ‘빨간불’

▲ 주민번호 대신 사용할 수 있는 ‘아이핀’은 정부가 지정한 발급기관에서 주민번호 대신에 사용할 아이디와 비밀번호를 발급받는다. 발급기관은 서울신용평가정보, 한국신용정보, 한국신용평가정보, 한국정보인증, 한국전자인증이다

일단 아이핀을 발급받으면 본인확인 절차 없이도 4000여 개 웹사이트에 자유롭게 가입할 수 있고, 추후 금융거래에도 활용될 예정이여서 오히려 주민번호 유출보다 더 심각한 문제를 초래할 수 있다. 이 때문에 2015년까지 금융을 포함해 모든 웹사이트에 아이핀 도입을 의무화하려는 방통위 계획에도 ‘빨간불’이 켜졌다. 김기창 고려대 교수는 “아이핀 역시 주민번호와 휴대폰 번호 데이터베이스 조합이 유통되면 발급이 쉽다”면서 “그런데도 아이핀이 고도로 안전하고 금융처럼 보안이 요구되는 분야에서도 쓸 수 있는 것처럼 떠드는 건 말이 안 된다”고 지적했다. 하지만 방통위에선 이번 유출 사건이 아이핀 자체 문제가 아니라 무기명 선불카드 발급 과정에서 본인 확인 없이 명의자를 변경한 카드사 잘못이라는 입장이다. 또 대리인 인증 방식은 명의 도용 문제 때문에 이미 지난해 7월부터 제외했고, ‘대포폰 인증’은 자신의 정보와 핸드폰을 타인에게 제공한 당사자 책임이라는 것이다. 방통위는 앞으로 선불카드를 이용한 아이핀 발급을 중지하고 ‘아이핀 도용 확인 절차’를 마련하는 등 계속 보완해 가며 아이핀 의무화 계획은 예정대로 진행하겠다고 밝혔다. 우리나라 대부분 웹사이트에서는 회원 가입이나 주요 서비스 이용시 주민번호를 입력하여 본인확인을 받도록 되어 있는 상황에서 주민번호 유출이나 도용을 방지하려고 지난 2006년 도입한 아이핀은 올해 4월 현재 네이버, 다음 등 4496개 웹사이트에서 아이핀을 본인확인 방법으로 사용하고 있고 가입자도 206만 명에 이른다. 하지만 그동안 진보네트워크, 오픈웹 등 시민단체에선 주요 웹사이트 게시판 이용시 본인 확인을 의무화한 ‘인터넷 실명제’ 자체가 주민번호 도용 문제를 더 키우고 있다고 주장해 왔다. 아이핀 방식 역시 외국에선 여러 개 웹사이트를 일일이 가입해야 하는 불편을 해소하는 ‘오픈 ID’ 개념으로 이용자 편의 차원에서 도입한 것인데, 국내에선 주민번호를 대체할 고도로 안전한 본인확인 수단처럼 변질됐다는 것이다. 김기창 교수는 “보안성이 없는 주민번호를 본인확인수단으로 쓰는 건 보안 목적보다는 (누리꾼들에게) 함부로 떠들지 말라는 거”라면서 “아이핀 제도 역시 각 서비스 사업자가 필요에 따라 자율적으로 도입하게 해야지 공인인증서처럼 의무화하게 되면 오히려 관련 기술의 발전을 가로막게 될 것”이라고 우려했다.

광범위한 개인정보 수집 자체를 근절시켜야
소 잃고 외양간 고친다고 나무라지만 그나마 외양간이라도 제대로 고쳐 놨다면 최악만은 면한 셈이다. 그보다 더 난감한 경우가 외양간 고친다고 설레발치다가 결국 제대로 고치지도 못하고 엉뚱한 짓만 하다가 끝났을 때다. 몇 년 전 옥션, 하나로텔레콤 등 잇달아 터져 나오고 있는 인터넷상의 개인정보 유출 사고가 딱 그 모양이다. 이쯤 되면 소 몇 마리 잃어버린 정도가 아니라 가히 온라인 국가재난 수준의 사태다. 정부도 나름대로 신속하게 개인정보보호 대책을 마련하면서 외양간 고치기에 나섰다. 지난 2006년 방송통신위원회는 포털 등 인터넷 사이트의 주민등록번호 수집을 제한하고 대체수단으로 아이핀(I-PIN) 도입을 의무화하겠다고 밝혔다. 아이핀이란 ‘인터넷 개인 식별 번호(Internet Personal Identification Number)’의 약자로 주민등록번호를 대신해 본인임을 확인받을 수 있는 온라인 신원확인 번호를 말한다. 나이, 성별, 본적지 등 인적정보를 담고 있는 주민등록번호와 달리 아이핀은 단순한 13자리 난수로 구성되어 있고, 변경 및 폐지가 가능하기 때문에 개인정보 보호에 유효하다는 것이다. 그러나 아이핀이 개인정보보호를 위한 근본적인 대책이 되기는 힘들다. 일단 사용자들이 주민등록번호를 대신할 아이핀을 발급받으려면 신용정보회사에 자신의 주민등록번호를 제공해야 한다는 난센스가 발생한다. 신용정보회사의 개인정보 관리는 과연 믿을 만한지, 만약 아이핀이 유출된다면 그 피해를 막을 방안은 있는지 의문이다. 뿐만 아니라 아이핀으로 가입한 회원이라 하더라도 인터넷 서비스를 이용하려면 또 다시 주민등록번호를 제공해야 하는 경우가 많다는 문제도 있다. 인터넷 쇼핑을 하려면 전자 상거래법 규정에 따라 주민등록번호를 입력해야 하며, 게시판에 댓글을 쓰려면 인터넷 실명제를 규정한 정보통신망법에 따라 또 주민등록번호를 입력해야만 한다. 결국 사용자 입장에서는 제공하는 개인정보만 더 늘어날 뿐이니 오히려 불안감만 더 커질 수밖에 없다. 더욱 근본적인 문제는 이번 조치로 국가가 주민등록번호에 관한 제반 권한을 아이핀을 발급하는 몇몇 민간업체에게 이관해주는 꼴이 된다는 점이다. 신용정보업체는 주민등록번호를 이용한 아이핀 발급비용으로 수익을 취할 뿐 아니라, 사용자들이 아이핀을 통해 가입한 인터넷 사이트의 목록까지 취득할 수 있게 된다. 결국 국가는 자신이 담당해야 할 개인정보보호의 책임을 신용정보업체에 이관하고, 그 대가로 업체에 독점적인 상업적 이익을 보장해주는 거래가 오고가는 셈이다. 허술한 정보보안은 이번 사태의 2차적 원인에 불과하다. 1차적 원인은 주민등록번호를 포함해 과도한 개인정보가 곳곳에서 수집되고 있는 현실, 그리고 그것을 합법적으로 보장해주고 있는 지금의 법제도에서 찾아야 마땅하다. 주민등록번호를 아이핀으로 대체한다고 해서 문제가 해결되지는 않는다. 다른 어느 나라에서도 유례를 찾아볼 수 없는 광범위한 개인정보 수집 자체를 근절시켜야 한다.

‘아이핀’ 유지되어야 할 필요 있나
장여경 진보네트워크센터 활동가는 스웨덴, 프랑스 등 선진국의 국민식별제도의 예를 들며 “우리나라처럼 국민식별번호를 민간에서 넓게 사용하는 나라는 찾아볼 수가 없다”면서 “종신불변성의 특성을 가지고 있어 언제든 악용될 수 있는 주민번호를 공공기관은 물론 민간에서도 두루두루 사용하기에 사태가 심각해진 것”이라고 진단했다. 김학웅 변호사(법무법인 창조)는 “박정희 전 대통령이 5·16 쿠데타 이후 간첩, 범죄자 색출을 위해 만든 관련법이 주민등록번호 제도의 모태가 됐다”며 “국민을 잠재적 범죄자 취급하는 것도 아닐 것인데 현재 이 제도가 유지돼야 할 필요성이 있는가”라고 반문했다. 한국인터넷기업협회 성동진 차장은 “완전 폐지가 어렵다면 정보가 유출된 사람들의 주민등록번호를 바꿀 수 있도록 하는 조치를 한 뒤, 한 번 유출된 주민번호를 쓸모없게 만들어 주민번호 수집 수요 자체를 없애야 한다”고 말했다. 장여경 활동가는 ▲주민등록번호 변경을 원하는 사람은 변경할 수 있도록 하고 ▲주민번호를 납세 등 공적 업무 시에만 사용하도록 하며 ▲독립적인 개인정보 보호기구 설립 등의 대책을 내 놓았다. 그는 “개인정보를 확보하는 것이 기업의 경쟁력이 되면서 ‘수요’가 늘어나 (개인정보가) 상업적으로 매력이 있는 상품이 돼버렸다”며 “기술적인 부분이 아닌 근본적 문제를 먼저 해결해야 한다”고 말했다. 정부 측은 주민등록번호 제도가 악용될 소지를 줄이는 방향으로 법제를 개선하겠다고 밝혔다. 조영훈 방송통신위원회 개인정보보호과장은 ▲정보유출 기업에 행정형벌과 과징금을 동시에 부과하고 ▲주민등록번호를 사용하지 않고 사이트에 가입할 수 있도록 하며 ▲기업이 피해 사실 인지시 반드시 공지하도록 하는 법 개정을 적극 추진 중이라고 말했다. 한편 일련의 사태에 대해 기업과 언론의 인식 전환을 요구하는 의견도 제기됐다. 김홍선 안철수연구소 부사장은 한국에서 보안이 인터넷 사회의 핵심적 인프라라는 인식이 결여됐다면서 “IP(인터넷)TV, VoIP(인터넷 전화) 등 향후 인터넷을 통한 커뮤니케이션이 확대된다면 보안에 대한 위협이 더욱 커질 것으로 예상되는 만큼 회사 경영자나 고위 임직원들의 인식이 제고돼야 한다”고 주장했다. NM