정부가 주민번호를 대체할 개인인증 수단으로 확대하고 있는 '아이핀(i-PIN)'도 개인정보 해킹이 가능한 것으로 나타났다. 특히 국내에 제공되는 5개의 아이핀 중 행정안전부에서 제공하는 개인식별번호가 개인정보 노출 빈도가 가장 높았다.
'아이핀'이란 주민등록번호를 대신해 본인임을 확인받을 수 있는 인터넷상의 가상 개인식별번호다. 내년부터 하루 평균 이용자수 10만 이상의 게시판을 운영하는 모든 웹사이트에선 아이핀을 의무화해야 한다. 현재 아이핀을 발급해 주는 공인기관은 한국신용정보 등 5개 업체다.
1일 한나라당 이정현 의원(문화체육관광방송통신위원회)이 성균관대학교 정보보호연구소에 의뢰한 '주민번호대체수단 도입 사이트 서비스 운영 현황 조사'에 따르면 조사대상 50개 사이트 중 32개 웹사이트에서 주민번호대체수단 '아이핀'의 아이디(ID)나 본인확인 정보가 노출되는 것으로 나타났다.
특히 이 같은 정보 노출 문제는 이미 지난해 12월 지적됐지만 지금까지 개선되지 않았다는 지적이다. 당시 정보보호진흥원이 연구 결과를 내고 점검 및 조치를 했다고 밝혔으나 지난달 점검한 결과 정보유출 문제가 여전한 것으로 나타난 것이다.
조사 결과를 구체적으로 보면 국내 다섯 종류의 아이핀 중 3개 이상의 아이디(ID), 본인확인정보가 유출되는 웹사이트는 12곳으로, 조사대상 50개 중에서 24%를 차지했다. 이 12개 사이트 중 9개는 행정안전부, 법무부 등 중앙부처와 제주도청, 부산시청, 영등포구청, 충북도청 등의 지방자치단체였다.
특히 행정안전부에서 제공하는 인터넷상의 개인 식별번호인 '지핀(G-PIN)'이 5개의 아이핀 중 정보 노출이 가장 많았다. 지핀은 20개 사이트에서 아이디가, 22개 사이트에선 본인확인정보가 노출됐다.
또 한국신용평가정보의 가상주민번호 아이핀은 아이디와 비밀번호가 각각 5개 사이트에서, 한국신용정보(NICE)의 아이핀은 본인확인정보가 11곳에서 노출됐다.
아이핀의 문제로 비밀번호가 노출되는 경우, 조사결과 한국신용평가정보의 '가상주민번호 아이핀'은 5건이 유출된 것으로 집계됐다. 심지어 이 5건의 경우 아이디, 비밀번호, 개인정보가 모두 노출됐다. 특히 여기에는 한국정보문화진흥원, 한국소프트웨어진흥원, 정보통신연구진흥원 등 정보통신관련 전문기관들이 포함돼 있었다.
정보가 노출된 웹사이트는 'http://'로 시작하는 일반서버로 연결돼 암호화가 이뤄지지 않기 때문이다. 정보가 노출되지 않은 다른 웹사이트에선 가상주민번호 아이핀을 선택했을 때 'https://'로 시작하는 보안서버로 연결된다. 웹사이트 운영자가 개인정보를 수집, 전송할 때 이를 암호화시키지 않는 것은 정보통신망법(정보통신망 이용 촉진 및 정보보호 등에 관한 법률) 위반이다.
이번 조사를 진행한 성균관대 정보보호연구소 김승주 교수는 "본인확인정보가 노출되면 전송 자료를 붙잡아서 다른 사람의 자료로 변경, 전송이 가능하기 때문에 타인의 정보를 악용할 수 있는 수단이 될 수 있다"고 우려했다.
이와 관련해 이정현 의원은 '아이핀이 주민번호를 대체하는 수단으로 사용되기 위해선 아이핀 자체가 가지고 있는 문제점을 보완하고, 아이핀을 사용하는 웹사이트를 점검해 국민들이 안심하고 사용할 수 있게 정부가 노력해야 할 것"이라고 말했다.
이에 대해 방송통신위원회 조영훈 개인정보보호과장은 "개인정보 노출은 '아이핀'의 문제가 아니고 이를 운영하는 웹사이트의 보안서버 문제"라며 "개인정보를 암호화해 전송하는 보안서버 관리가 더욱 철저히 이뤄져야 한다"고 설명했다.
이번 조사는 방문객 순위가 많은 107개 웹사이트를 선정, 그 중 아이핀을 도입한 50개의 웹사이트를 대상으로 이루어졌다.
/skjung@fnnews.com 정상균기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지