정부가 주민등록번호를 대체하는 본인인증 수단으로 내세운 아이핀 도용사건이 끊이지 않고 있다. 최근 공공아이핀 75만건 부정발급 사건은 시스템적인 관리소홀로 불거진 일이지만 민간아이핀이라고 해도 주민번호보다 안전하다고 보기는 힘들다.
업계 관계자들에 따르면 아이핀 도용 사고가 끊이지 않는 이유는 일반적인 회원가입제 웹사이트 로그인에 필요한 ID, 비밀번호 방식이 아이핀에도 그대로 적용되고 있기 때문이다. 해킹을 통해 유출된 아이핀 계정이 마치 주민번호처럼 손쉽게 불법거래되고 있다는 점에서 근본적인 문제가 제기된다.
현재 공공, 민간아이피 발급건수는 약 2천만건에 달한다. 활용비율에 대해서는 아직 정확히 집계된 수치가 없지만 약 20%~30% 수준인 것으로 추산된다. 아이핀을 발급하는 모 신용평가기관에 근무했던 담당자에 따르면 활용률이 떨어지는 이유는 사용자들이 본인인증을 위해 입력한 휴대전화로 전송되는 문자메시지에 표시된 일회용 비밀번호를 입력하는 휴대폰 인증 방식을 선호하기 때문이다.
그럼에도 불구하고, 게임아이템거래 사이트 등에서는 오히려 휴대폰 인증보다 아이핀 인증비율이 훨씬 높은 것으로 알려졌다. 사기범들 입장에서는 공인인증서를 탈취하는 수법과 함께 대포폰을 쓰거나 대상 스마트폰에 악성코드를 설치하는 수법으로 휴대폰 인증용 문자메시지를 가로채는 방법을 악용하기도 한다. 아이핀은 ID, 비번 구조를 가진 탓에 주민번호 만큼이나 도용이 쉽다는 것이다.
실제로 과거 게임아이템거래 및 온라인 게임 관련 사이트에 근무했던 관계자는 아이템거래 사이트에서는 유독 거래에 필요한 인증 중 약 절반 이상이 아이핀을 통해 이뤄지고 있다고 설명했다. 더구나 하루 동안 10분, 20분 이내로 수십번씩 로그인을 하기 위해 아이핀 인증을 사용하는 경우가 많다며 하나의 아이핀으로 여러 계정을 만들어 여러 PC에서 다수 사람들이 별다른 제약없이 접속한다는 사실을 보여준다고 지적했다.
공공에 비해 5개 본인확인기관을 통해 이뤄지는 민간아이핀 인증이 상대적으로 안전한 것은 사실이다. 예를들어 같은 IP로 분당 5건 이상 다른 개인정보를 활용해 아이핀을 발급하려는 시도를 차단하는 등 이상행위로 의심되는 행위에 대해 모니터링이 이뤄지고 있기 때문이다.
그러나 이런 방법으로는 게임아이템거래사이트 사례에서 보듯 한 개 아이핀으로 하루에 수십번씩 서로 다른 사용자들이 본인인증을 하는 것까지 막을 수는 없다. 아이핀이 발급된 뒤에 어떻게 사용되는지까지에 대해서는 발급기관에서 일일이 파악하기 어렵다는 이유에서다. 그렇다고 게임아이템거래사이트에서 이런 부분에 대한 세세한 모니터링이 이뤄지고 있는 것도 아니다.
관련기사
- 주민번호, 없애야 하나 보완해야 하나2015.04.02
- 해킹 무방비 공공아이핀, 활용처 제한된다2015.04.02
- 공공아이핀 해킹 근본대책 "본인확인 최소화"2015.04.02
- 정부, 공공아이핀 유출 근본 대책 논의2015.04.02
전 신용평가기관 관계자는 결국 아이핀 발급기관, 활용기관이 모니터링을 강화하고, 이상거래탐지시스템(FDS) 등을 도입해 사고를 줄이는 수밖에 없다고 밝혔다.
게임아이템거래사이트에 근무했던 관계자는 온라인 상에서 개인정보에 기반한 인증 자체가 없어져야 한다며 옥션이 제공하는 비회원 구매처럼 차라리 구매번호와 구매자 전용 비밀번호만으로 거래가 이뤄질 수 있는 시스템이 필요하다고 제안했다.