주민번호 대신 아이핀을 확대한다고?

일반입력 :2014/02/16 17:51    수정: 2015/03/06 11:18

손경호 기자

주민등록번호 대신 쓸 수 있는 인증 수단으로 사용자들의 외면을 받고 있는 아이핀을 확대 적용한다는 얘기가 나와 논란이 예상된다.

아이핀을 오프라인에서도 쓸 수 있게 한다는 얘기도 들리는데, 이는 비현실적일 뿐더러 사용자 혼란과 불편을 심화시키는 땜질식 처방이라는 지적도 있다.

13일 유정복 안전행정부 장관은 국회 정무위원회 '개인정보 대량유출 관련 실태조사 및 재발방지를 위한 국정조사' 기관보고에 참석해 아이핀을 오프라인에서도 확대하는 방안을 강구하겠다고 말했다.

유 장관의 발언에 대해 전문가들 사이에선 아이핀이 운영되는 시스템에 대한 기본적인 이해가 없는 상태에서 나온 발상이라는 지적들이 쏟아졌다.

'인터넷 개인 식별 번호(Internet Personal Idetification Number, i-PIN)'를 의미하는 아이핀은 인터넷에서 주민번호 대신 개인을 확인하기 위한 대체수단으로 지난 2005년 도입됐다.

주민번호와 다른 점은 유출됐을 경우에 재발급 받을 수 있기 때문에 상대적으로 안전하다는 점이다. 이러한 장점은 오프라인에서는 '독'이 될 수 있다.

회원가입 등을 위해 아이핀용 ID와 비밀번호를 입력하면 각 사이트 마다 13자리 숫자로 이뤄진 '가상식별번호'가 부여된다. 그러나 사용자는 13자리 번호를 몰라도 된다. 13자리 번호는 서비스 제공 업체가 아이핀 발급 기관을 통해 해당 사용자가 본인이 맞다는 것을 확인하는데 사용된다.

그러나 오프라인에선 얘기가 달라진다. 유 장관의 발언은 아이핀용 13자리 번호를 갖고 오프라인에서 주민번호 대신 쓸 수 있게 한다는 건데, 오버라는 지적이 만만치 않다.

우선 사용자는 온라인과 달리 은행, 동사무소, 병원에 갈 때마다 서로 다른 13자리 번호를 외우고 있어야 한다.

아이핀 전문가 A씨에 따르면 인터넷 상에 활용되고 있는 아이핀은 한번 만들면 ID와 비밀번호는 그대로 쓰이지만 13자리 번호는 가입한 사이트마다 제각각이다. 그런 만큼, 실제 현장에서 주민번호 대신 아이핀 번호를 쓰자는 것은 비현실적이라는 것이다. 외우기도 쉽지 않고, 적용하는 프로세스도 만만치 않다는 것이다.

오프라인 아이핀 도입 검토에 대해 국내 보안업계 관계자는 오프라인에서 아이핀을 고집하는 것 자체가 말이 안 되는데다가 공격자들에게 주민번호 대신 다음에 훔쳐내야할 대상은 아이핀이라고 지목해주는 것이나 마찬가지라고 주장했다.

염흥열 순천향대 정보보호학과 교수는 아이핀에 사용되는 13자리 번호는 웹사이트에 가입하거나 재발급할 때마다 달라지는 번호라며 이 번호를 오프라인에서 주민번호를 대체하는 식별수단으로 활용하려면 지금과 달리 달라지지 않는 번호로 변경시켜야 한다고 지적했다.

아이핀에는 13자리 번호 외에 CI(연계정보)값, DI(중복가입방지정보)값도 생성된다. 이 번호는 13자리 번호와 달리 웹사이트, 인증기관 모두에 공통으로 저장되는 고유값으로 각각 88바이트, 64바이트 값을 가진다. 안행부에서 아이핀의 오프라인 도입을 검토한다면 13자리 번호보다는 CI, DI값을 활용하는 방안을 찾는 것이 낫다는 지적이다. 그러나 이것 역시 불편하기는 마찬가지라는 얘기가 많다.

아이핀 자체적으로도 보안성에 문제가 있다. 처음에 공공아이핀, 일반아이핀을 발급받으려면 공인인증서, 주민등록확인시스템(주민번호, 세대원 주민등록증 발급일자 필요), 휴대폰 인증, 신용카드 인증 등을 거쳐야 한다. 적어도 다른 사람이 아이핀을 발급하지 못하도록 추가적인 인증을 거치도록 한 것이다.

관련기사

문제는 발급받고 나서는 기존 사이트에 접속하기 위해 ID, 비밀번호를 입력하듯 사용된다는 점이다. 온라인쇼핑몰을 예로 들면 가입을 위해 주민번호를 입력하는 대신 아이핀용 ID, 비번을 입력하는 식이다. 이 때문에 아이핀용 ID와 비밀번호도 도용될 수 있다. 실제로 온라인에선 아이핀 정보가 도용됐다는 글들이 심심찮게 올라오고 있다.

이외에도 아이핀은 까다로운 등록절차, 액티브X 기반 보안모듈 설치로 인한 불편함 등으로 인해 사용자들로부터 외면받아왔다. 이런 가운데 아이핀을 오프라인에서도 확대 적용한다는 얘기가 나오면서 일부 사용자들 사이에서는 차라리 주민번호를 쓰겠다는 말까지 나오는 실정이다.