본인확인 집착이 만든 덫, 아이핀이 뚫렸다

정부가 주민등록번호 대체수단이라며 사용을 독려해 온 공공아이핀(I-PIN)이 해킹 공격에 무너졌다. 75만건에 이르는 아이핀이 부정 발급됐다. 정부는 그동안 아이핀이 주민등록번호를 대체함으로써 개인정보보호에 이바지할 것이라고 홍보해 왔지만 이번 사고를 계기로 신뢰를 잃게 됐다. 행자부는 지금도 아이핀 발급을 계속하고 있지만 보안전문가들은 예견됐던 일이 발생한 것이라며 아이핀 정책 자체를 전면 재검토해야 한다고 지적한다. 

　행자부에 따르면 공공아이핀 시스템이 해킹 공격을 받은 것은 2월 28일부터 3월 2일 오전까지였다. 주민등록번호 도용에 따른 아이핀 부정 발급은 있었지만 공공아이핀 시스템 자체가 외부 공격에 뚫린 것은 이번이 처음이다. 행자부는 지난 주말 급격히 아이핀 발급량이 증가하자 경위를 조사한 결과 해킹 및 부정 발급 사실을 확인했다.

　해킹은 ‘파라미터 위변조’라는 수법으로 공공아이핀 시스템 취약점을 공격했다. 공공아이핀에 가입하려면 공인인증서로 본인인증을 거쳐야 하는데, 본인인증이 정상적으로 이뤄진 것처럼 시스템이 오인하도록 데이터(파라미터값)를 변조해 본인인증을 사실상 건너뛰었다. 행자부에선 “파라미터 위변조 방지는 민간에는 다 돼 있는 초보적인 부분”이라고 밝혔지만 “왜 초보적인 대비도 없었던 것인가”라는 질문에 대해서는 즉답을 피했다.

　현재까지 부정 발급된 공공아이핀은 약 75만건이다. 이 가운데 12만건은 유명 게임사이트 세 곳에서 신규 회원가입이나 이용자 계정 수정·변경 시도에 사용됐다. 행자부는 부정 발급된 공공아이핀 전부를 긴급 삭제했다. 또 게임사이트 운영업체에 통보해 신규회원은 강제 탈퇴 조치하고, 이용자 계정을 수정한 회원 아이디는 사용을 잠정 중지시켰다. 행자부 개인정보보호정책과장 장한은 “게임 아이템 탈취 등 실질적인 피해 사항은 지금까지 보고받은 게 없다”고 말했다.

　행자부는 기존에 유출된 주민등록번호와 이름으로 실명확인을 하는 단계를 거쳤는지 여부는 아직 확인하지 못했다. 이번 해킹공격에는 2000개가 넘는 국내 아이피(IP)가 동원됐고 중국어 버전 소프트웨어도 사용됐다. 행자부는 “짧은 시간에 대규모로 이뤄진 것으로 봐서 조직적인 범행으로 본다”면서 “내부 관계자 공모 가능성은 전혀 없다”고 단정했다. 재발가능성을 묻는 질문에는 “없다고 단정해서 말할 수는 없다”고 밝혔다.

　공공아이핀 부정발급에 대한 행정자치부의 기본적인 입장은 “프로그램의 취약점을 악용한 것이며, 이로 인한 피해는 거의 없다”는 것으로 요약된다. 반면 그동안 아이핀 정책을 비판해온 전문가들은 “취약한 것은 아이핀 그 자체이며, 개인정보유출 피해는 이미 예견됐다”고 꼬집는다. 가령 진보네트워크센터 활동가 오병일은 “아이핀을 통해 본인 확인을 하겠다는 발상 자체가 2012년 8월 제한적 본인확인제를 위헌이라 규정한 헌법재판소 판결을 부정하는 것”이라고 말한다.

　정부는 2012년 헌법재판소가 제한적 본인확인제를 위헌으로 판결하고 주민등록번호가 대량으로 유출되는 사고가 잇따르자 2013년부터 공공아이핀 사용을 본격 장려했다. 현재까지 약 430만명이 공공아이핀을 발급받았다. 하지만 이번 해킹사고는 공공아이핀 역시 주민등록번호처럼 대량유출될 수 있고 도용도 가능하다는 걸 드러냈다. 아이핀을 부정 발급받은 뒤 오프라인용 아이핀인 마이핀(My-PIN)을 발급받는 것도 기술적으론 가능하다.

　행자부는 아이핀 해킹사고의 의미를 축소하기에 급급하다는 비판을 받고 있다. 2일 상황을 인지한 뒤 사흘이 지난 5일 오전 11시50분이 되어서야 언론에 보도자료를 배포했다. 오후 기자간담회에선 책임자끼리 서로 말이 다르거나, 본인 말을 뒤집었다. 가령 처음엔 “본인확인과 공인인증서 단계를 건너뛰었다”고 설명하다가 나중에는 “기존에 유출된 주민등록번호와 실명을 확인해 본인확인을 거쳤다”고 한 뒤, 결국 “본인확인은 거친 것으로 추정한다”고 오락가락했다.

　진보네트워크센터는 5일 긴급논평을 통해 “아이핀은 애초에 도입되지 말았어야 했다”고 강조했다. 오병일은 “해킹피해를 최소화하려면 정보수집을 최소화하는 것인데 아이핀은 불필요한 본인확인을 강요한다”면서 “주민등록번호가 문제인 것은 만능열쇠이기 때문인데 아이핀도 또다른 만능열쇠로 기능한다면 주민등록번호와 동일한 문제가 발생할 수밖에 없다”고 말했다.

유출은 있어도, 책임은 없다! (위 이미지의 내용은 ‘가정적인 상황’을 슬로우뉴스에서 풍자한 것입니다)

진보네트워크센터가 5일 발표한 논평

아이핀 해킹 대책, 아이핀을 비롯한 본인확인제도 폐지가 답이다 

공공아이핀 시스템이 해킹을 당해 75만 건이 부정 발급되는 사고가 발생하였다. 아이핀은 정부가 ‘주민번호 대체수단’으로 도입하고 적극 권장한 제도다. 행정자치부는 ‘피해가 거의 없어!’라고 불을 끄기에 급급하지만, 이번 사고는 안전행정부가 지금까지 권장해 온 아이핀 시스템이 얼마나 취약한 것인지 보여준다. 

정보사회에서 해킹 사고는 불가피한 측면이 있다. 오히려 그렇기 때문에 개인정보 보호를 위한 가장 중요한 원칙 중의 하나가 ‘최소 수집의 원칙’이다. 아예 수집을 하지 않으면 유출될 위험도 없기 때문이다. 

이런 측면에서 아이핀은 애초에 도입되지 말았어야 할 제도이다. 첫째, 아이핀은 인터넷에서의 불필요한 본인확인을 촉진하는 제도다. 구글, 페이스북, 아마존 등 해외 주요 사이트들은 본인확인 없이도 운영이 되고 있는데, 유독 한국에서만 본인확인을 요구하고 있다. 둘째, 아이핀은 ‘주민번호 대체수단’으로 도입되었지만, 그 자체가 또 다른 ‘만능키’로 역할 하고 있다. 아이핀이 유출되면, 이용자가 가입한 여러 사이트가 한꺼번에 뚤리게 되고, 이 때문에 아이핀 역시 해커들의 표적이 되고 있는 것이다. 애초에 아이핀이 도입되지 않았다면, 나아가 불필요한 본인확인 자체가 없다면, 이에 따른 해킹이나 개인정보 유출, 명의 도용 사고 등도 발생하지 않을 것이다. 

인터넷 실명제가 위헌 결정을 받았지만, 행정자치부는 여전히 본인확인 시스템을 고집하고 있다. 이는 익명 표현의 자유 보호를 위해 인터넷 실명제에 대해 위헌 결정을 한 헌법재판소 결정의 취지에도 배치되는 일이다. 이번 해킹 후 대책 논의에서 행정자치부는 “아이핀 발급, 인증체계 보안 취약점을 긴급점검, 개선조치 하고, 전문기관을 통해 아이핀 시스템 전면 재구축 방안 등을 검토”하겠다고 밝혔다. 또 다시 완벽한 보안을 하겠다고 헛된 다짐을 하겠다는 것인가? 

올해 UN 표현의 자유 특별보고관은 ‘익명성과 암호화’에 대한 보고서를 발표할 예정이다. 한국이 또 다시 인터넷 인권 침해국으로 거론될 가능성이 높다. 불필요한 본인확인의 강제는 이용자의 표현의 자유와 프라이버시를 침해하는 것이기 때문이다. 한국의 인터넷을 본인확인의 담장으로 둘러싸는 것이 박근혜 정부의 창조경제인가?

2015년 3월 5일 

진보네트워크센터