2011년 8월 1일 월요일

아이핀도 위험하긴 마찬가지입니다.

SK발 해킹 소식, 그리고 SK발 주민번호 삭제 기사로 인해 요즘 주민번호 삭제가 이슈화 되고 있는 것 같습니다. 어쨌든 개인고유번호인 주민번호를 DB에서 삭제한다는 건 반가운 일입니다.

불행히도 법적인 한계로 인해 현금/금융거래에 이용된 정보는 주민번호를 연계해서 5년간 기록을 남겨야 하는 점이 좀 걸립니다만 법 개정을 통해서 바꿀 수도 있는 부분이니 계속 범개정을 주장해야 할 듯 합니다.

그런데 이 주민번호 삭제 건으로 정부에선 아이핀을 밀어붙일 생각인가 봅니다. 이전부터 아이핀(i-PIN)도입에 대한 이야기가 있었기 때문에 예상했던 수순입니다.

저는 아이핀도 위험하고, 아이핀 시스템의 또 다른 문제점에 대해 지적해 보고자 합니다. 정확한 지식이 없어서 잘못된 내용일 포함될 수도 있는 만큼 잘못된 부분은 알려주세요.


아이핀이란


i-PIN(Internet Personal Identification Number). 한국에서만 쓰이는 시스템에 영어로 이름을 지었다는 건 좀 안타깝군요.

간략하게 정리하자면, 아이핀은 주민번호와 1:1로 대응되는 개인 고유번호 입니다. 주민번호 대신 쓸 수 있는 개인ID 입니다. 개인은 아이핀을 발급 받아서 주민번호 대신 이용할 수 있습니다. 주민번호를 직접 이용하지 않아도 되기에 주민번호가 직접적으로 유출될 수 있는 것을 미연에 막을 수 있습니다.

문제점: 아이핀은 주민번호와 동급의 개인식별코드이다.

아이핀도 어차피 고유번호


아이핀도 어차피 개인에게 부여되는 고유번호라는 점을 주목해야 합니다. 아이핀이 유출되면 아이핀을 사용하는 모든 사이트에서는 주민번호와 동일하게 명의도용이 가능해집니다. 결과적으로 주민번호가 가지고 있던 문제점을 고스란히 이어받게 됩니다.

문제점: 아이핀이 유출되면 주민번호 유출과 거의 동급의 문제를 발생시킬 수 있다.

중앙 집중 관리


발급된 아이핀 정보가 어디에서 관리되는지 정확히는 모릅니다. 정부의 한 시스템에 아이핀이 집중 보관되고 이를 대행사가 이용하는 형태가 되는지, 아니면 대행사에 각자의 아이핀도 저장되고 이것도 중앙관리 서버에 저장되는지 잘 모릅니다.

하지만 중요한 점은 어딘가에서 집중 관리된다는 의미입니다. 이제 해커는 개인정보를 노리기 위해서 개개 사이트 서버를 해킹하는게 아니라 아이핀 정보가 보관되어 있는 서버를 해킹하려 할 겁니다.

만약 아이핀 정보를 관리하는 서버가 해킹당한다면 어떻게 될지 생각해 보셨습니까? 상상만 해도 끔찍합니다.

문제점: 중앙집중관리 형식인 이상 하나의 서버가 해킹당할 경우 개별 사이트가 해킹 당하는 경우 보다 피해가 더 크고 광범위할 것이다.

독점 웹의 위험성


오래전부터 지적되어온 Active-X에 관한 이야기입니다.

현재도 실명확인을 위해서는 Active-X를 이용해야 합니다. 이 과정에서 키보드 보안과 방화벽, 그리고 백신 까지도 설치될 수 있습니다. 그런데 이건 MS 윈도우 에서 Internet Explorer를 이용해야만 하는 문제가 발생합니다.

아이핀의 경우 오래전에 본 기억으로 OS를 가리지 않고 서비스 하겠다 라는 이야기를 본 적이 있긴 있습니다만, 문제는 발급과정에 있을 거라고 생각됩니다. 발급 기관에서는 분명 위 같은 Active-X 뭉터기를 의무적으로 이용해야 한다고 할 것입니다.

결국 윈도우 외의 사용자들은 아이핀 발급을 봉쇄당할 지도 모르겠지요.

또한 이러한 차별로 인해 국내 PC의 OS는 윈도우 점유가 계속될 것이고, 윈도우 보안문제점이 발견될 때 마다 국내의 많은 사용자들은 악성코드 출현에 계속 떨어야 합니다. 만약 신종 악성코드가 출현해서 순식간에 많은 윈도우를 감염시킨다면 상상하기도 싫은 일이 발생하게 됩니다.

문제점: 최소한 발급 과정에서 사용자 및 OS/브라우저 차별의 가능성을 가지고 있다.

중요한 것은 저장하지 않는 것


아이핀도 주민번호와 같이 위험합니다. 아이핀을 저장하는 것도 주민번호 저장과 동일한 위험성을 가지고 있습니다.

개인정보 유출 시의 문제점을 최소화 하기 위해서는 개인정보를 과도하게 요구하는 것을 금지시켜야 하고 개인정보를 저장할 때도 꼭 필요한 것만 저장할 수 있도록 법적으로 강제해야 합니다. 가급적 실명확인 제도를 철폐해서 개인특수정보가 저장되는 일이 없어져야 합니다.

또한 의무적으로 주민번호가 꼭 저장되어야 할 곳이라면 그 곳이야 말로 아이핀으로 대체해야 합니다. 최소한 주민번호 직접 노출에 비하면 문제는 덜할테니깐요.

물론 아이핀도 고유번호이니 어떠한 경우라도 저장해야 할 경우에는 암호화를 의무적으로 해야 합니다.

이런 사항이 지켜지지 않는 이상 아이핀도 어차피 위험합니다.

최근 글

문재인 정부가 경제를 죽인다는 황교안

연일 보수세력의 현 정부 공격이 계속되고 있다. 특히 소득주도성장은 처음부터 끝까지 물고 늘어지고 있는 먹이감(?)으로 보이나보다. 이번 글도 이 내용의 연장선으로, 아래 기사에서 출발한다. "문재인 정권이 자유시장 경제를 망가뜨리고 있...

일주일간 인기글