‘믿었던 아이핀도 뻥뻥 뚫려’… 보안 비상

[뉴스포스트=한사흠 기자] 인터넷 상에서 주민등록번호 사용으로 인한 개인정보 유출을 우려해 도입된 아이핀(I-PIN)의 보안 문제가 심각하다. 개인정보의 안전한 보호를 위해 도입된 아이핀이지만 이 역시 허술한 보안으로 부정발급 받아 밀거래한 사건이 발생하는 등 확실한 보안 유지를 장담할 수 없기 때문이다.

본인인증 필요한 아이핀 타인명의로 발급돼
무기명 기프트카드 이용해 아이핀 부정발급
부실한 대책… 기프트카드-대포폰 조합 적발에만 초점
기존 유출 주민번호도 문제…확실한 보안대책 마련 필요
 
아이핀이란 공인받은 ‘본인확인기관’이 이용자에게 실명확인과 신원확인 등을 통해 발급하는 정보다. 인터넷 회원 가입시 주민등록번호 대신 아이핀 발급을 위한 ID(아이디)와 패스워드를 입력함으로써 주민등록번호 유출의 위험성을 줄이고 본인확인을 강화하는 효과가 있다. 방통위는 아이핀 캠페인 등을 지속적으로 추진, 아이핀 이용자 및 도입 웹사이트를 늘려 2015년부터는 주민등록번호 없는 인터넷 환경을 만들어 나간다는 계획이다. 현재 방통위는 캠폐인 기간 동안 신규로 아이핀을 발급하거나 주민등록번호를 아이핀으로 전환하는 이용자에 대해 경품을 제공하고 트위터와 미투데이를 통해 아이핀 홍보와 거리 홍보도 실시할 계획을 세우는 등 적극적 추진 의지를 보이고 있다. 이렇게 아이핀 전환을 서두르는 가운데 보안에 허점이 뚫린 것 이어서 아이핀의 조기 시행 계획에 비상이 걸렸다.

뚫려버린 아이핀

본인인증이 필요한 아이핀을 타인 명의로 발급받은 사례는 이번이 처음이다.
경찰청 사이버테러대응센터는 7일 A씨(33) 등 2명을 사전자기록위작 등 혐의로 구속하고 B씨(37) 등 6명을 같은 혐의로 불구속 입건했다.
A씨 등은 지난해 3월부터 최근까지 무기명 기프트카드를 타인 명의로 등록, 아이핀 1만1280개를 부정발급 받은 뒤 게임사이트의 계정을 불법 생성해 중국의 게임작업장 업자에게 판매하는 등 모두 3000여만원의 부당이득을 취한 혐의다.

C씨(21) 등은 지난해 1월부터 최근까지 휴대폰 인증을 대리해 줄 사람을 모집해 1건당 1000원 상당을 지급하기로 하고 1850명의 개인정보를 도용, 보인확인기관으로부터 1850개의 아이핀을 발급받아 D씨(21·여) 4명에게 각각 500여만원을 받고 판매한 혐의를 받고 있다.

경찰에 따르면 이들은 타인명의 신용카드 발급·등록, 휴대폰 대리인증 등 본인인증 절차의 허점으로 타인명의의 아이핀을 발급받았다. 기프트카드는 신용카드와 동일한 발급절차를 거치지 않는 단순 무기명가드임에도 횟수의 제한 없이 사용자의 등록·변경이 가능하다는 점도 활용했다. 이들은 또 게임작업장, 광고업자 등에게 판매할 목적으로 범행을 저질렀으며 아이핀은 한번 본인인증이 됐을 경우 추가 인증절차 없이 손쉽게 여러 계정을 생성할 수 있다는 점을 악용했다.

경찰 관계자는 “아이핀 발급기관인 본인확인기관이 개인정보 도용여부를 본인인증 수단별로 검증해야 한다”며 “관련부처, 카드사 등의 철저한 관리감독이 필요하다”고 말했다.
경찰은 중국 후난성의 아이핀 등 개인정보 판매조직에 대한 수사를 확대하고 있다. 이들은 타인명의 카드번호 2만4770개를 유출해 모두 아이핀으로 부정발급 받은 것으로 추정되고 있다고 경찰은 전했다.
경찰청 관계자는 “유출된 주민등록번호로 아이핀이 대량으로 생성된다는 심각한 문제점이 발견된만큼 의무 도입에 앞서 국내외 모든 사이트에서 아이핀이 정상적으로 도입되도록 명의 도용 아이핀 범죄조직을 뿌리뽑겠다.”고 밝혔다.

부실한 대책

이번 아이핀 부정발급 사건을 계기로 관리상의 문제점 등을 면밀히 살펴봐야 한다는 지적이 속출하고 있다.
방송통신위원회는 내년 3월 말부터 일일평균이용자수가 포털은 5만명 이상, 게임 및 전자상거래는 1만명 이상인 사이트 총 1039개를 대상으로 아이핀 도입을 의무적용하기로 한 상황이어서 시급한 대책이 필요하다.

경찰청 사이버테러대응센터 관계자는 “카드사가 관리를 소홀히 한 것이 원인이지만 국민들은 아이핀 발급기관의 책임이라고 생각하기 쉽다”며 “내년부터 많은 사이트에서 아이핀이 의무 도입되는데, 아이핀 관리에 대한 감독을 철저히 해야 국민들이 안심하고 사용하게 될 것”이라고 말했다.

부정발급 실태에 대해 발급기관들도 대응을 철저히 한다는 방침을 내세우고 있다. 한 아이핀 발급기관 관계자는 “올 초부터 아이핀 부정 발급에 관한 민원이 접수돼 경찰청에 수사를 의뢰했다”며 “이번 사건을 계기로 이용자들이 아이핀 발급에 대해 우려하는 일이 없도록 유관기관들과 긴밀히 논의하고 있다”고 말했다.

방송통신위 관계자는 아이핀 부정발급 피해를 예방하기 위해 ‘아이핀 도용 확인절차’를 인터넷에서 구현해 이용자가 자신 명의로 발급된 아이핀을 확인하고 부정 발급된 아이핀을 신고할 수 있도록 할 방침이다. 부정 발급된 아이핀으로 가입된 웹사이트 계정도 사용 중지토록 인터넷 사업자에게 요청할 방침이다.
오상진 과장은 “이번에 불법 도용된 아이핀은 5000개 수준으로 심각성은 인정하지만 기존의 주민번호 오남용 사례에 비하면 양호하다”며 “이번 사건을 계기로 아이핀을 더욱 안전한 제도로 발전시켜 주민등록번호 유출에 따른 문제를 해소하도록 노력하겠다”고 말했다.

방송통신위 관계자는 아이핀 사용자 대책에 대해 인증발급기관들과 충분히 논의했다고 입장을 밝혔지만 논의를 통한 뾰족한 대책이 없는 것이 사실이다. 현재로서는 수사기관과 협조를 통해 대포폰으로 판명된 전화번호를 이용한 아이핀에 대해 사용중지 조치를 취하는 것이 전부이고 나머지 부분은 이용자 스스로 확인에 나서야 하는 실정이다.

면밀한 검토 필요

카드업계는 기프트카드의 발급과정의 문제보다 보안성이 결여된 채로 아이핀이 사용되는 점을 지적하고 있다. 카드사 관계자는 “기프트카드는 본래 선물로 발행되는 카드인데 명의자가 없는 것은 당연하다”며 “그것을 악용해 나타난 결과는 발급과정상의 문제가 아닌 보안성이 결여된 아이핀 자체의 문제”라고 말했다.
즉 기프트 카드와 대포폰 차단은 부차적인 문제일 뿐이지 얼마든지 해커들이 다른 수단을 통해 아이핀 유저의 정보를 빼낼 수 있다는 것이다. 카드사에 책임을 떠넘기는 것으로 사태의 심각성이 해결됐다고 하는 것은 무책임한 태도라는 것이다.

전문가들은 이미 유출된 주민번호로도 아무 문제 없이 아이핀을 발급 받을 수 있기 때문에 아이핀의 불법 발급을 근본적으로 막을 수는 없다며 문제의 심각성을 지적한다. 게다가 이미 유출된 주민번호가 어느 정도인지 파악할 길이 없기 때문에 이에 대한 사전 대책이 절실하다고 강조하고 있다.

또 업계 관계자는 “아이핀 발급 기관에서 정보 유출될 우려도 존재한다”며 “보다 안전한 시스템을 구축하는 것이 아이핀 활성화의 전제조건”이라고 밝혔다. 즉 지금의 허술한 보안준비 태세에서 곧바로 제도 시행에 들어간다면 아이핀 불법 도용에 따른 피해가 고스란히 이용자들에 돌아갈 우려가 크다는 것. 이 때문에 보안업계 전반에서는 허점을 이미 보인 아이핀에 대한 완벽한 보안시스템을 갖춘 뒤 제도를 본격적으로 시행해야 한다는 의견이 설득력을 얻고 있다.