공공아이핀 해킹 근본대책 "본인확인 최소화"

일반입력 :2015/03/11 15:44

손경호 기자

공공아이핀이 해킹을 통해 부정발급돼 악용되는 사건이 발생하면서 근본대책으로 인터넷 상 본인확인을 최소화해야한다는 주장에 다시 힘이 실리고 있다.

지난 5일 행정자치부는 공공아이핀 75만건이 해킹을 통해 유출돼 이중 12만건이 게임사이트 가입, 계정도용 등에 악용됐다고 발표했다.

보안전문가들은 공공아이핀 발급시스템에 사용된 프로그램을 잘 설계했다면 막을 수 있었던 공격이었다고 지적했다. 이와 관련 김석진 행정자치부 공공서비스정책관(국장)은 공공아이핀 부정발급은 시스템과 관리, 운영상 문제가 모두 원인이 됐다고 말했다.

해킹사건이 발생했을 때 책임을 규명하고, 필요한 대책을 강구하는 것은 가장 기본적인 조치다.

그러나 공공아이핀 사건에서 봐야하는 보다 근본적인 문제는 과거 민간아이핀, 주민번호 유출 사건에서 보듯 여전히 국내 웹사이트에서 과도하게 개인정보를 수집하고 있다는 태생적 한계다.

진보네트워크 오병일 활동가는 인터넷실명제가 폐지됐는데도 불구하고 인터넷 상에서 굳이 필요하지 않은 본인확인이 광범위하게 쓰이고 있다고 지적했다. 주민번호가 기반이 되는 아이핀을 써야한다면 이 역시도 아주 제한적인 범위에서만 쓰일 수 있게 해야 한다는 설명이다.

그는 인터넷뱅킹, 온라인 등본 발급 등 본인확인이 반드시 필요할 경우는 예외로 두더라도 용도별, 분야별로 다양한 인증수단을 적용해야 한다고 밝혔다. 예를 들어 일반 상점에서 물건을 산 뒤에 포인트 결제를 위한 확인 수단으로 휴대폰 뒤 4자리 번호를 알려달라고 요청하는 것과 같이 최소한의 정보만 제한적으로 수집할 수 있도록 해야 한다는 의견이다. 구글, 페이스북, 트위터 등의 경우 물건구매를 할 때 조차도 별도의 본인확인을 요청하지 않는다.

아이핀의 경우 유출이 의심될 경우 재발급 받거나 사용을 제한할 수 있다는 점에서 주민번호보다 안전한 것은 사실이다.

그러나 본인확인을 요청하는 관련 법들이 여전히 공직선거법, 셧다운제, 성인인증 등에서 남용되고 있는 실정이다. 개인정보보호법이 발효된 이후에도 지난해 초 주민번호를 수집할 수 있게 허용한 법이 1천개가 넘는 것으로 파악되고 있다.

인터넷 서비스를 제공하고 있는 기업들이 수집한 회원정보를 활용할 목적으로 다른 웹사이트에서도 활용할 수 있는 범용개인식별수단인 주민번호, 아이핀 등을 요구하는 것도 과도한 본인확인을 부추긴다.

염흥열 순천향대 정보보호학과 교수는 아이핀의 경우 웹사이트를 운영하고 있는 업체에서 여러가지 연계 서비스를 활용할 목적으로 사용하고 있다고 설명했다. 염 교수에 따르면 페이스북, 구글 등은 'ID 페더레이션(federation)'이라는 기술을 적용해 한 곳에서 로그인을 하면 다른 곳 서비스를 활용할 수 있게 하는 싱글사인온(SSO) 기능을 구현한다.

그러나 네이버 등 포털 사이트를 포함한 거의 모든 웹사이트가 주민번호 앞자리 혹은 뒷자리, 아이핀 등을 통한 개별적인 본인확인을 거치고 있다. 번거로운데다가 유출됐을 때 다른 웹사이트에 악용될 가능성이 높아지는 것이다.

국제 표준인 ISO/IEC 29115가 규정한 '실체 인증 보증 프레임워크(Entity authentication assurance framework)'에 따르면 인터넷 상 본인확인 수준은 크게 4가지 등급으로 구분된다.

먼저 가장 낮은 등급인 LoA(Level of Assurance)1에서는 아예 본인확인 없이도 서비스를 활용할 수 있는 수준을 말한다. 구글, 페이스북 등이 여기에 해당한다. LoA2는 본인확인과 함께 암호학적으로 안전한 인증을 사용하도록 권고하고 있다. LoA3에서는 본인확인, ID, 비밀번호 외에 스마트폰 등 다른 수단을 추가로 활용하는 투팩터 인증, LoA4는 본인확인에 더해 하드웨어 보안토큰까지 사용하라고 하고 있다.

무조건 웹사이트 가입 시 주민번호 앞자리 혹은 뒷자리, 아이핀 등을 써야하는 우리나라와는 다른 양상이다.

관련기사

물론 글로벌 환경에서도 인터넷 서비스에 대한 보안성 강화는 화두다. 미국의 경우 2011년부터 버락 오바마 대통령이 '국가아이덴티티전략(National Identity Strategy)'을 추진한 결과 온라인으로 중요한 정보를 주고 받을 때 LoA3/4 등급을 쓰라고 한 바 있다. 유럽에서도 지난해 7월 전자신분증을 사용할 때 미국과 유사한 보안등급을 유지하게 하는 규정이 논의 중이다.

주목할 점은 구글, 페이스북 등은 여전히 본인확인이 필요없는 LoA1 등급을 유지하고 있다는 사실이다.