[뉴스토마토 류석기자] 공공 아이핀(I-PIN) 시스템에서 75만개의 아이핀이 공격자(해커)들에 의해 부정발급 되는 사태가 발생하면서, 아이핀의 신뢰도가 땅에 떨어졌다. 전문가들은 아이핀을 비롯한 범용 개인식별번호에 대한 필요성 자체에 의문을 제기하고 나섰다.
아이핀은 정부가 인터넷 상에서 주민번호를 대신해 본인 확인을 할 수 있도록 하기 위해 만든 범용 개인식별번호다. 아이핀을 통해 본인 확인을 하고 웹사이트에 가입하는 등의 용도로 사용된다.
6일 현재까지 정부조사에 따르면 이번에 부정발급된 아이핀 중 12만개가 3개 게임사이트에서 사용됐다. 정확한 부정발급 경로와 실제 피해 규모는 아직 파악되지 않고 있어, 2차 피해 발생도 우려된다.
이런 상황에서도 소관부처인 행정자치부(행자부)는 부정발급된 아이핀에 대해서만 삭제조치를 취하고, 아이핀의 신규 발급은 계속 진행하고 있다.
현재 행자부 산하 지역정보개발원은 공공아이핀시스템 전면 재구축 방안 등을 검토 중이다. 또 민간 아이핀에 대해서도 안전성 강화를 위해 방송통신위원회가 2차 인증을 의무화하는 방안을 추진할 계획이다.
◇아이핀.(사진=행자부 홈페이지)
◇공공 아이핀 시스템 해킹..민간 아이핀은 괜찮나?
현재 아이핀은 행정안전부나 민간 신용평가사에서 발급받을 수 있으며, 공공 아이핀과 민간 아이핀의 용도는 차이가 없다.
일부에서는 민간 아이핀이 공공 아이핀에 비해 보안성이 높다고 주장하기도 한다. 해커가 공공 아이핀과 민간 아이핀을 동시에 공격하더라도 민간 아이핀 시스템은 보안성이 우수해 뚫리지 않을 것이라는 주장이다.
신용평가사 측도 민간 아이핀 시스템은 주기적인 보안점검과 보안강화를 진행해 왔기 때문에 공공 아이핀 시스템에 비해 보안성이 우수하다고 설명한다.
신용평가사 관계자는 "이번에 발견된 공공 아이핀 시스템의 취약점은 우리 시스템에서는 없었고, 만약 동일한 공격을 받았다 하더라도 막을 수 있었다"고 말했다.
반면 아이핀을 비롯한 범용 개인식별번호 시스템자체가 보안에 근본적인 취약성을 가지고 있기 때문에, 민간 아이핀이라고 해서 안심할 수는 없다는 반론도 나온다.
김승주 고려대 정보보호대학원 교수는 "민간 아이핀이 설령 이번 공격을 견뎌낸다고 하더라도, 해커가 새로운 취약점을 공격해 들어오면 뚫리는 것은 다를 바 없다"고 지적했다.
◇"보안 언제든 뚫려..개인식별번호 자체를 없애야"
전문가와 시민단체들은 아이핀 시스템이 주민등록번호에 기초하고 있는 만큼 그 실효성에 근본적인 의문을 제기해 왔다. 아이핀이 인터넷 상에서 또 다른 '만능키' 역할을 하고 있다는 것이다. 실제로 아이핀이 노출되면 이를 통해 가입한 여러 사이트에 저장된 개인정보가 유출될 수 밖에 없다.
아울러 개인식별번호 시스템은 언제든 뚫릴 수 있다는 인식을 갖고, 꼭 필요하다면 피해를 줄이기 위해 개인 식별변호의 활용 범위를 최소화해야 한다고 말한다.
아예 이번 아이핀 시스템 해킹 사태를 계기로 정부 주도로 범용 개인식별번호를 부여하는 체계를 없애야 한다는 주장도 나온다. 정부가 나서서 인터넷 상 본인확인을 강요하는 것 자체에 문제가 있다는 것이다.
오병일 진보네트워크센터 사무국장은 "주민번호 대체수단인 아이핀도 주민번호와 같이 개인을 식별할 수 있는 번호이기 때문에, 아이핀이 노출되면 주민번호가 노출되는 것과 다르지 않다"라며 "아이핀이라는 시스템이 없었다면 이런 사고도 없었을 것"이라고 아이핀 제도의 폐지를 주장했다.
정부가 너무 성급하게 주민번호수집 금지를 한 것이 문제라는 지적도 나온다. 정부 방침에 따라 업계가 아이핀을 서둘러 도입할 수 밖에 없었고, 이 때문에 이번 사태가 일어났다는 것이다.
김승주 교수는 "기본적으로 정부가 아이핀이라는 주민번호 대체 수단을 너무 성급하게 내놓은 측면이 있다"며 "정부에서 주민번호 수집 금지를 권고하고, 업계에 자체적인 대체 방안을 고민해보라고 했다면, 좀 더 보안이 강한 대체 수단이 나왔을 것"이라고 말했다.