민간 이양 등 근본적 수술 검토해야 말썽 많은 주민등록번호를 대체하기 위해 아이핀이라는 제도를 도입한 지 8년이 지났다. 그렇지만 아이핀은 도입 초기부터 또 하나의 주민등록번호라는 비난을 받았다. 사고도 이어져 아이핀의 신뢰성이 훼손됐다. 아직도 아이핀이 뭔지 모르는 국민이 많다. 5000만 인구 중 아이핀 발급건수가 여태 2000만 건에 미치지 못한다. 휴대전화 인증 등 다른 대체수단에 비해 보급률이 현저히 낮다. 그런데도 아이핀 제도를 꼭 유지해야 하는지 물어보고 싶다.
아이핀 제도는 언제 터질지 모르는 뇌관과 같다. 아이핀 발급기관은 합법적으로 주민등록번호를 수집해 보관할 수 있다. 코리아크레딧뷰로 직원이 2014년 초 온 나라를 떠들썩하게 만든 카드정보 유출 사고에 연루됐다. 이렇게 자체 내부통제에도 어려움을 겪는지라 늘 대형사고가 예고된 셈이다.
아이핀을 부정한 방법으로 발급받을 길이 많다. 타인의 개인정보를 수집해 부정하게 발급받을 수도 있다. 이번에는 2006년 LG전자 채용 사이트, 2014년 KT에서 개인정보가 유출될 때 쓰인 파라미터 위·변조 기법이 동원됐다. 다음에는 또 어떤 방법이 사용될지 아무도 모른다.
아이핀 발급에도 많은 어려움이 있다. 해외 교포들이 신청할 때는 더 불편하다. 국내에서 발급받은 범용 공인인증서와 주민등록증 혹은 여권이나 국내에서 개통한 휴대전화 등으로만 본인 인증을 할 수 있기 때문이다. 자국민에게도 사각지대가 있는데 외국인이야 더 말할 나위가 없다. 또한 인터넷 익스플로러를 제외한 다른 브라우저도 사용할 수 없다.
특정 사이트에 가입할 때 주민등록번호 대신 아이핀을 사용할 수 있다. 그러자고 아이핀을 만들었다. 그렇지만 물품 구매 후 결제할 때 주민등록번호를 요구하는 곳도 있다. 주민등록번호를 사용하지 않게 하겠다던 원래의 취지가 무색해진다.
이번 부정발급 사태는 공공 아이핀에서 발생해 더 충격이 크다. 14세 미만 아동들은 오로지 공공 아이핀만 신청할 수 있다. 공공 아이핀 시스템에 청소년의 주민등록번호가 가장 많이 보관돼 있을 수 있다. 그런데 가장 믿을 수 있어야 할 시스템이 가장 믿을 수 없는 시스템이 됐다는 데 문제가 크다.
2007년 아이핀 시스템이 개발된 이후 해마다 두 차례 행자부가 취약점을 점검했다고 한다. 그렇다면 형식적인 점검에 그쳤을 가능성이 있다. 물론 사전점검에서 모든 취약점을 다 찾아낼 수는 없다. 그렇지만 이미 알려진 파라미터 위·변조라는 문제점을 간과했다는 점에서 변명의 여지가 없다.
김형중 고려대 정보대학원 교수·사이버국방학 |
사전 점검을 통해 시스템의 취약성을 발견하지 못했더라도 마지막 관문에서 실시간 모니터링이 제대로 이뤄졌어야 한다. 평소보다 지나치게 많은 요청이 쇄도하면 이상상황임을 간파했어야 한다. 물론 아이로니컬하게도 급격히 아이핀 발급량이 증가하자 경위 조사를 하다가 해킹 및 부정 발급 사실을 인지했다. 상시 모니터링이 아쉬운 대목이다.
이제 근본적인 시각에서 아이핀 문제를 볼 필요가 있다. 아이핀은 정보통신 강국이라 자부하는 한국이 만든 갈라파고스적 유물이다. 아이핀보다 더 편리한 휴대전화 인증 등 다른 대체방법에 밀리는데도 아이핀을 꼭 고수해야 하는지 자문해야 한다. 더구나 보급률을 높이기 위해 대형 사이트에 아이핀 사용을 은근히 강요하는 일이 없어야 한다. 아이핀이 꼭 필요하다면 정부는 국민이 납득할 논리를 다시 개발해야 한다. 그리고 공공 아이핀 시스템의 안전성을 민간 시스템보다 더 높이거나 그렇게 할 수 없다면 관리체계를 일원화하고 시스템을 아예 민간에 이양해야 한다.
김형중 고려대 정보대학원 교수·사이버국방학
[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]