- 13자리 난수 아이핀, 주민번호 대체 수단으로 홍보.
- 아이핀 얼마나 보급되는 지가 중요한 게 아냐.
- 시스템 안전성 확인될 때까지 대면확인으로 발급해야.
- 주민번호 사용하지 않는 인터넷 생태계 만들어야.
- 정부, 핀테크 등 대통령 관심 갖는 사항에만 단기 대책 만들어.
[CBS 라디오 '시사자키 정관용입니다']
■ 방 송 : FM 98.1 (18:00~20:00)
■ 방송일 : 2015년 3월 5일 (목) 오후 7시
■ 진 행 : 정관용 (한림국제대학원대학교 교수)
■ 출 연 : 김승주 (고려대 정보보호대학원 교수)
◇ 정관용> 정부가 주민번호 대체수단으로 권장했던 아이핀(i-PIN)이 해킹 공격을 당했습니다. 무려 75만 건이 부정 발급됐고 이 가운데 17만 건은 실제 사용도 됐답니다. 공공 아이핀 시스템, 그 신뢰도가 떨어지게 됐는데 애초에 이 제도를 도입할 때부터 ‘문제가 많을 것이다’ 예측 하셨던 분입니다. 고려대 정보보호대학원 김승주 교수를 연결하죠, 김 교수님 나와 계시죠?
◆ 김승주> 네, 안녕하십니까?
◇ 정관용> 아이핀, 우선 뭐죠?
◆ 김승주> 일단 아이핀이라고 하는 것은 주민번호가 13자리지 않습니까? 이 13자리에 난수라고 보시면 됩니다. 사용자가 일단은 자신의 어떤 이름하고 주민번호를 입력하고요. 그다음에 어떤 공인인증서라든가 신용카드, 휴대전화 등을 이용해서 본인 확인 절차를 거칩니다. 그것이 끝나고 나면 13자리 난수를 발급하게 되고요. 이 13자리 난수를 주민번호 대체용 숫자로 사용하게 되는 것입니다.
◇ 정관용> 일종의 ID 같은 건데 그게 주민번호 전혀 입력 없이 이것만 넣어도 되는 식으로 대체한다, 이런 거죠?
◆ 김승주> 네, 보통 주민번호에는 거기에 생년월일, 남자냐, 여자냐, 지역 이런 정보가 들어가 있는데 아이핀 번호 자체에는 이 사람이 성인인지 아닌지 정도에 대한 정보만 들어가 있고 다른 정보는 일절 들어가 있지 않습니다.
◇ 정관용> 그런데 이게 해킹당해서 부정발급됐다? 도대체 누가 어떻게 했다는 얘기예요, 어쨌든 왜 그렇게 했다는 거예요?
◆ 김승주> 지금 사실은 해킹 경로가 구체적으로 어떻게 된 것인지 그다음에 파급효과가 어느 정도까지는 자세하게 나오지는 않은 것 같습니다. 지금 문제는 뭐냐 하면 아이핀을 발급받을 때 공인인증서를 통해서 본인인증 과정을 거친 다음에 발급을 받도록 되어 있는데요. 그 과정에 어떤 시스템 구현을 잘못해서 어떤 취약점이 발생한 것 같습니다.
◇ 정관용> 그래서요? 그러니까 한 사람이 몇 십만 개를 한꺼번에 발급받았다, 이 이야기입니까? 어떻게 된 이야기입니까?
◆ 김승주> 네, 지금 얘기는 한 사람이 2, 3일에 걸쳐서 한 75만 건 정도를 부정발급을 했고요. 이중에서 한 15, 17만 건 정도를 게임계정을 만드는 데 사용을 했습니다.
◇ 정관용> 그것은 이유가 뭐예요? 이렇게 한 사람이 몇 십만 건을 발급받아서 어떤 이득이 있는 것이죠?
◆ 김승주> 이게 왜 그러냐 하면 우리가 보이스 피싱이나 스팸을 보내는 사람들을 찾으려고 하면 쭉 수사를 진행하다가 결국 막히는 부분이 대포통장에서 막히거든요. 이 대포통장을 본인 명의로 발급받은 게 아니라 남의 명의로 발급을 받았기 때문에 추적하다가 범인을 잡을 수가 없는 거죠. 아이핀 같은 경우도 똑같습니다. 이제 아이핀을 남의 명의로 도용하거나 허위 명의를 통해서 아이핀을 발급받은 다음에 이것을 가지고 굉장히 많은 게임계정을 만들어내는 겁니다. 그리고 불법으로 만든 이 게임계정을 통해서 불법 게임아이템을 거래하는 데 활용을 하거든요.
◇ 정관용> 아...
◆ 김승주> 이렇게 되면 범위를 쭉 추적하다가 막바지 단계에 이르러서 엉뚱한 사람이 잡히거나 아니면 쫓아가 봤더니 허위의 인물이 나오는 것입니다. 결국은 범인을 잡을 수 없게 되는 거죠.
◇ 정관용> 그러니까 목적은 불법아이템 거래용이고 그것을 통해서 돈을 얻게 되는 것이고 본인을 추적할 수 없도록 하려고 이렇게 부정발급을 받는다, 이거로군요.
◆ 김승주> 네, 맞습니다.
◇ 정관용> 그런데 정부는 처음에 주민번호 대체수단으로 아이핀 시스템을 도입하면서 ‘이거는 굉장히 안전하다. 만약 이게 유출되더라도 계정을 폐지하고 변경하면 된다’ 계속 이렇게 주장해 오지 않았습니까?
◆ 김승주> 네.
◇ 정관용> 교수님께서는 처음부터 아니다라고 하셨고, 그건 또 무슨 얘기입니까?
◆ 김승주> 정부에서 이런 일이 있을 때마다 ‘아이핀은 주민번호와 다르게 변경할 수 있습니다’라고 많이들 얘기하거든요. 하지만 실제 내 아이핀 계정이 유출됐는지 모르는 사람이 태반이라는 겁니다. 일단 사고가 터져야 그걸 인지하게 되거든요. 그러므로 바꿀 수 있으니까 안전하다는 말 자체가 안 된다는 거죠. 그래서 실제로 초기서부터 대체수단을 잡고 보급하려고 하지 말고 주민번호라든가 아니면 이와 비슷한 것 자체를 사용하지 않는 인터넷 생태계를 만들려고 정부가 노력해야지 대체수단 내놓고 이걸 보급하니까 우리 할일은 끝났다. 이런 식의 접근방법은 문제가 있다라는 것이죠.
◇ 정관용> 아이핀도 어차피 주민번호에 근거해서 나온 거니까, 그렇죠?
◆ 김승주> 맞습니다.
◇ 정관용> 그러면 교수님께서는 주민번호 비슷한 것도 아예 필요치 않은 인터넷 생태계, 가능합니까?
◆ 김승주> 저는 가능하다고 보고요.
◇ 정관용> 어떻게 하면 됩니까?
◆ 김승주> 일단 정책을 내놓으려고 그러면 현황 조사를 먼저 해야 하는 게 우선이거든요. 그러면 정부는 무엇을 했어야 하느냐면 일단 전체 우리나라 시스템에서 주민번호가 사용되고 있는 데가 어딘지를 일단 전수조사를 했어야 되고요, 그다음에 이걸 아예 없앨 수 있는 분야는 어디까지 가능한지가 그다음에 이루어졌어야 합니다. 그다음에 정말로 여기에 주민번호가 쓰일 수밖에 없다, 그런 부분에 한해서 대체수단을 만들 것인지 뭐할 것인지를 연구했어야 하는 거거든요. 정보보호의 기본은 일단 지켜야할 대상 자체를 줄이는 것인데, 우리는 대체수단을 만들어버리니까 해커로서는 돈을 벌 어떤 창구가 하나 더 생긴 것이라는 말이죠. 그러니까 이런 식의 방법은 사실은 좀 굉장히 문제가 있습니다.
◇ 정관용> 그러니까 영역과 분야를 나누어서 주민번호를 꼭 써야만 할 곳을 최소화시키는 작업이 먼저 있었어야 된다?
◆ 김승주> 맞습니다.
◇ 정관용> 그러면 지금 방금 설명해 주셨던 이는 아이핀 가지고 불법 게임아이템 같은 것을 거래하면서 돈 버는 것, 그 게임사이트의 계정 있잖아요. 이거는 사실 주민등록번호 없어도 되는 거 아닙니까?
◆ 김승주> 그렇죠. 지금 그러니까 사실은 왜 그게 들어가느냐 하면 우리가 성인 확인 그러니까 아동청소년보호법에 성인인지 아닌지 확인을 하도록 되어 있거든요.
◇ 정관용> 맞아요, 게임 연령제한이 있으니까.
◆ 김승주> 또 그거 외에도 사실은 본인 확인을 요구하는 게 굉장히 많습니다. 그런데 과연 그러면 이것이 본인 확인이 꼭 필요한 분야냐 하는 것을 한번 생각해볼 필요가 있거든요.
◇ 정관용> 그러면 이제 교수님 같으면 앞으로 정책의 기조나 방향은 어떤 식으로 잡아서 어떤 순서로 바꾸어 나갈 생각이십니까?
◆ 김승주> 지금 사실은 개인정보 관련한 부분도 그렇고요. 요새 한창 이슈가 되고 있는 핀테크 관련한 부분도 그렇고 우리 정부는 대통령이 관심을 갖는 사안에 대해서는 너무도 단기적인 대책을 빨리빨리 만들어내려고 하는 그런 조급함이 있습니다. 그런데 이러면 안 되거든요. 단편적으로 미국 같은 경우가 미국의 연방정부 시스템이 계속해서 해킹을 당한다는 말이죠. 그래서 제일 처음에 한 게 뭐였느냐면 미국의 연방정부 시스템이 외부 인터넷과 연결된 접점이 몇 개인지를 카운트하는 작업부터 먼저 했습니다. 그다음에 이거를 최소한으로 줄일 수 있는 대책을 먼저 내놓았고 줄일 수 있는 데까지 줄인 다음에 그 줄인 부분에 대해서 정보보호 대책을 강구했거든요. 이런 본질적언 어떤 대책, 본질적인 어떤 현황파악을 하려고 노력할 필요가 있습니다.
◇ 정관용> 실태파악부터 시작해야 한다?
◆ 김승주> 맞습니다.
◇ 정관용> 아이핀은 그러면 지금 당장 없애버리는 것이 맞습니까? 지금 현실적으로는 아이핀이 이미 한 개당 2000원 식으로 여기저기서 거래가 되고 있다면서요?
◆ 김승주> 네, 일단 아이핀 시스템에 대해서 본질적으로 시스템 자체에 취약점이 없는지 재검토할 필요가 있고요. 그다음에 아이핀에 보면 본인 확인하는 방법이 휴대전화, 신용카드, 공인인증서, 대면확인 이런 것들이 있습니다. 그런데 사실은 대면확인이 가장 좋은 수단이거든요.
◇ 정관용> 물론이죠.
◆ 김승주> 그래서 정부가 자꾸 아이핀을 몇 건 보급했다라는 숫자놀음 때문에 자꾸 이걸 널리 보급하는 데만 집착할 것이 아니라 일단 시스템이 안전하다는 게 확인될 때까지는 다른 어떤 인증수단보다는 대면확인을 통한 어떤 발급에 좀 더 집중할 필요가 있어 보입니다.
◇ 정관용> 당분간이라도 대면확인 아니면 이제 안 된다, 이런 식으로 차단할 필요가 있다?
◆ 김승주> 그렇죠. 최근에 재발급을 통한 해킹이 많이 이뤄지고 있거든요.
◇ 정관용> 그리고 근본적으로 우리 인터넷 생태환경을 철저히 점검하는 현실 파악하는 것부터 다시 시작하자, 이 말씀이네요.
◆ 김승주> 네, 맞습니다.
◇ 정관용> 갈 길이 멉니다. 고맙습니다.
◆ 김승주> 감사합니다.
◇ 정관용> 고려대학교 정보보호대학원 김승주 교수의 도움 말씀이었습니다. 갈 길이 멀더라도 정말 안전하게 될 때까지 차근차근 가야 한다는 이 말씀, 정말 가슴에 남는군요.
[CBS 시사자키 홈페이지 바로 가기]