주민번호대체수단인 아이핀(i-PIN)을 도입한 사이트에서도 정보노출이 이루어지고 있는 것으로 조사됐다.
한나라당 이정현 의원(문화체육관광방송통신위원회)이 성균관대학교 정보보호연구소에 의뢰한 ‘주민번호대체수단 도입 사이트 서비스 운영 현황 조사’에 따르면 조사대상 50개의 사이트 중 주민번호대체수단(아이핀)의 정보노출이 이루어지고 있는 웹사이트가 32곳에 이르렀다.
이번 조사는 방문객 순위를 통하여 107개 웹사이트를 선정, 그 중 주민번호 대체수단을 도입한 50개의 웹사이트를 대상으로 이루어졌다.
웹사이트상의 문제로 ID나 본인확인정보가 유출되는 사이트는 32곳이었으며, 국내 5 종류의 아이핀 중 3개 이상의 아이핀에서 ID, 본인확인정보가 유출되는 사이트는 조사 대상 50곳 중에서 12곳으로 24%에 이르렀다. 이들 12개 사이트 중 대다수는 행정자치부, 법무부 등 중앙부처와 제주도청, 부산시청, 영등포구청, 충북도청 등의 자치단체였으며 그 수는 9곳이었다.
행정안전부의 공공아이핀인 G-PIN의 경우 20개 사이트에서 ID가 노출 되었고, 22개 사이트에서는 본인확인정보가 노출되어 5개의 아이핀 중 가장 노출 빈도가 높았다. 한국신용평가정보의 가상주민번호 아이핀은 ID노출 5곳, 비밀번호 노출 5곳, 본인확인정보 19개였으며, 한국신용정보의 NICE 아이핀은 본인확인정보 노출 11곳으로 뒤를 이었다.
조사를 진행한 성균관 대학교 산학협력단 김승주 교수는 “본인확인정보의 노출은 전송 자료를 붙잡아서 다른 사람의 자료로 변경, 전송이 가능하여 타인의 정보를 이용할 수 있다”며 이는 타인의 개인정보를 조작․악용할 가능성에 대해 우려의 목소리를 냈다.
아이핀의 문제로 비밀번호가 노출되는 경우는, 조사결과 한국신용평가정보의 ‘가상주민번호 아이핀’은 5건의 유출이 집계되었다. 심지어 이 5건의 경우 ID, 비밀번호, 개인정보가 모두 노출 되었으며 특히 한국정보문화진흥원, 한국소프트웨어진흥원, 정보통신연구진흥원 등 정보통신관련 전문기관들이 포함되어 있었다.
참고로 다른 웹사이트에서는 가상주민번호 아이핀을 선택했을 때 “https://"로 시작하는 보안서버로 연결되지만, 정보가 노출된 웹사이트에서는 ”http://'로 시작하는 일반서버로 연결됐다. 이 때문에 암호화 통신이 이루어지지 않아 정보가 노출된 것이다.
이번 조사에서 제기된 문제점들은 이미 지난 해 12월, 한국정보보호진흥원이 동일 연구기관에 의뢰해서 발표된 ‘주민번호 대체수단 서비스 개선 방안 연구’에 의해 이미 지적되었던 것들이다. 한국정보보호진흥원측은 이 연구 결과가 나온 이후 점검 및 조치를 했다고 밝혔으나 9월 25일 점검 결과 이와 같은 문제점들이 여전히 존재하는 것으로 나타났다.
이에 이정현 의원은 ‘아이핀이 주민번호를 대체하는 수단으로 사용되기 위해서는 아이핀 자체가 가지고 있는 문제점 보완과 아이핀을 사용하는 웹사이트 점검 및 시정을 통해 안전하게 사용할 수 있게 정부가 노력해야 할 것’이라고 밝혔다.
