'명의도용'에 해당되는 글 1

  1. 2010/06/07 ‘아이핀’ 발급체계 허점 노출

해킹 등으로 유출된 주민번호를 이용해 타인의 명의로 ‘아이핀(I-PIN)’을 대량 부정 발급한 사건이 발생했습니다.  

이 사건으로 방송통신위원회가 개인정보보호 대책으로 적극 추진해온 ‘아이핀(i-PIN)’의 발급체계상의 허점이 처음 드러나게 됐습니다.

‘아이핀’은 인터넷상에서 과도한 주민등록번호 수집으로 인해 커지는 개인정보 유출 피해를 근절하기 위해 주민번호를 사용하지 않고도 인터넷사이트 회원으로 가입하고 이용할 수 있는 본인확인수단입니다.

인터넷상에서 주민등록번호 수집·이용이 과도하게 이뤄지는 상황에서 주민번호 대신에 ‘아이핀’을 사용해 심각한 개인정보침해사고의 근원인 인터넷상에서 주민번호 사용을 줄여나가고, 해킹 등으로 유출된 주민번호 도용 피해도 막자는 취지에서 지난 2005년 정보통신부가 만든 것입니다.

그런데 ‘아이핀’이 명의도용, 개인정보침해에 악용됐습니다.

‘아이핀’을 발급하려면 서울신용평가정보, 한국신용정보, 한국신용평가정보, 한국정보인증, 코리아크레딧뷰로 등의 본인확인(인증)기관 사이트에서 주민번호와 성명, 비밀번호 등을 입력한 후, 공인증서나 신용카드, 휴대전화 번호, 대면확인 방식을 골라 신원확인 절차를 거치면 됩니다. 

이번에 경찰에 검거된 일당은 유출된 주민번호와 휴대폰 대리인증, 대포폰과 무기명선불카드(기프트카드)로 아이폰 발급에서의 신원확인 절차를 모두 통과해 총 1만3000여 개의 ‘아이핀’을 발급했다고 합니다.

또 부정발급한 아이핀을 이용해 게임사이트나 포털사이트 계정을 만들고 광고메일을 보내는데 이용됐습니다.

대리인증은 명의도용 우려가 제기돼 지난해 방통위는 청소년과 외국인의 경우에만 허용하는 방식으로 제한했습니다.

문제는 기프트카드와 대포폰인데요. 기프트카드는 한 카드사가 발급하는 기프트카드가 횟수의 제한 없이 사용자의 등록·변경이 가능하다는 허점을 노려 신원확인 방식에 사용했기 때문입니다.

이 카드사는 신용카드번호가 아닌 기프트카드를 ‘아이핀’ 발급을 위한 본인확인 수단으로 사용한 것을 허용했습니다. 신용카드를 이용한 ‘카드인증’ 방식에 기프트카드를 써도 되는 것이 참 의아합니다.  

방통위는 이에 대해 “금융위원회의 판단을 기대하겠다”는 입장입니다. 또 “원래는 기프트카드를 신원확인에 이용하려면 공인인증서를 통한 인증 절차를 거쳐야 하는데, 본인확인 절차를 제대로 거치지 않고도 수수료를 받고 이를 아이핀 발급 수단으로 이용하도록 했기 때문에 해당 카드사에 강력한 제재를 요청할 것”이라고도 방통위 담당과장은 말했습니다.

아이핀 정책을 제대로 펼치기 위해선 주무부처인 방통위와 금융위원회 등 금융감독당국과 세부적인 협조와 그에 맞는 관리감독이 선행됐어야 했는데, 미비했던 것입니다.

대포폰을 이용할 경우에는 완전히 사전에 막기는 어렵고, 다만 스팸 대책과 연관해 대포폰 전화번호로 발급된 아이핀을 추적·검증해 사후에 사용중지 조치를 수행한다는 방침입니다.

결국 이번 사건은 인터넷상에서 주민등록번호를 대체하는 본인확인 수단으로 전국민이 사용할 수 있도록 하려면 총체적인 관리체계를 더욱 개선해야 할 필요가 있다는 점을 보여줬습니다. 

방통위는 그간 ‘아이핀’ 이용을 활성화하기 위해 편의성을 개선하는데 중점을 둬 왔는데요, 총체적인 보안관리체계 수립에도 더 박차를 가해야 할 것입니다.  이번에 발견되지 않은 허점이 있을지도 모릅니다.

또 이미 그간에도 본인확인기관의 보안성, 이들의 법적근거 미비 등 신뢰성 우려가 제기되지 않은 것도 아니기 때문입니다. 

개인정보보호를 위한 ‘아이핀’ 활성화의 선결조건은 다름 아니라 ‘아이핀’ 발급·운영·관리·사용체계 전체의 신뢰성이 담보돼 있어야 합니다. 

더욱이 2015년까지 인터넷상에서 ‘아이핀’을 의무사용토록 하려면, 전국민이 인터넷상의 ‘주민번호’로 대신 사용토록 하기 위해선 안전성이 보장돼야 할 것입니다.

그래도 부정발급으로 확인된 ‘아이핀’을 즉각적으로 사용중지 조치할 수 있다는 게 다행스러운 감은 있습니다. 가능하다면 경찰 수사나 이용자들의 ‘우연한 발견’에 의해서가 아니라도 부정 발급·사용된 ‘아이핀’을 즉각 확인해 걸러낼 수 있다면 좋겠습니다.  

2010/06/07 18:40 2010/06/07 18:40