[개인정보 위험하다 ③]갈길 먼 ID관리…돌파구 찾자

책을 사기 위해 온라인 서점을 방문했던 A씨는 최근 황당한 경험을 했다. 해당 사이트에 가입하기 위해 주민등록번호를 입력하자 '이미 등록된 이용자'라는 메시지가 뜬 것이다.

하지만 정작 A씨는 해당 사이트를 이용한 적도, 또 가입한 적도 없었다. 자신도 모르는 사이에 주민등록번호를 도용당한 것이다. 이 때문에 A씨는 한참 동안이나 해당 사이트에 가입할 수가 없었다.

평소 미국 온라인 서점인 '아마존'을 애용하는 A씨는 "외국 사이트의 경우 본인 확인을 위해 주민등록번호 같은 민감한 개인정보를 요구하는 경우는 없다"며 씁쓸해 했다.

A씨처럼 자신도 모르게 주민등록번호를 도용당하는 사례가 급증하고 있다. 사실 온라인 상의 주민등록번호 유출 문제는 어제 오늘 제기된 일이 아니다.

정보통신부가 2006년 한해동안 10만3천개의 웹사이트 및 구글 데이터베이스(DB)를 검색한 결과, 27만8천357건의 주민등록번호가 온라인 상에 그대로 떠다니는 것으로 조사됐다.

정통부 정보보호기획단 김지원 사무관은 "노출된 주민등록번호는 다른 사람의 아이디(ID), 주소 등 개인정보를 조회하고 검색하는 키(Key) 값으로 활용될 우려가 있다"며 "각종 범죄에 악용될 수 있어 대체 수단 마련이 시급하다"고 말했다.

◆사이트 가입 '통과의례' 돼버린 주민등록번호

주민등록번호 노출에 대한 위험성이 오래 전부터 지적돼 왔지만 실상은 좀처럼 개선되지 않고 있다. 회원 가입시 주민등록번호 입력이 '통과의례'처럼 받아들여지고 있기 때문이다.

현재 포털사이트를 비롯한 대부분의 인터넷 사이트가 회원 가입시 주민등록번호를 요구하고 있다. 사용자가 해당 서비스를 이용하기 위해서는 '울며 겨자먹기' 식으로 주민등록번호를 입력할 수밖에 없다.

처음에는 개인정보 입력이 껄끄러웠던 사용자들도 한 두 번 반복하다 보니 이젠 거부감이 사라졌을 정도다.

◇주요국의 개인식별번호 현황

한국정보보호진흥원(KISA)이 2007년 7월 인터넷 사업자를 대상으로 주민등록번호 수집 여부를 조사한 결과 주요 223개 사이트중 91.5%인 205개 사이트가 주민등록번호를 수집하고 있는 것으로 나타났다. 특히 이 중 온라인 마켓플레이스, 종합쇼핑몰, 게임포털 등 인터넷상에서 구매나 거래가 이뤄지는 사이트는 예외 없이 전부 주민등록번호를 수집하고 있었다.

사정이 이렇다보니 정통부는 주민등록번호 유출과 오·남용을 막기 위해 '인터넷상의 주민등록번호 대체수단 가이드라인'을 개정하고, 주민등록번호 대체 수단인 '아이핀(i-PIN)을 내놨다.

아이핀은 개인에게 '인터넷상 개인식별번호'를 부여해 온라인에서 본인을 확인받을 수 있도록 하는 것. 정통부의 적합성 평가를 받은 본인확인기관에서 아이핀을 발급받고, 이를 이용해 회원가입을 할 수 있다.

사용자는 정통부의 적합성 평가를 거친 본인확인기관(한국정보인증, 한국전자인증, 한국신용정보, 한국신용평가정보, 서울신용평가정보)에서 최초 아이핀을 발급할 때만 주민등록번호를 제공하고, 이후 다른 인터넷 사이트 가입할 때는 아이핀을 이용하면 된다.

◆주민등록번호 대체 수단 아이핀, '첩첩산중'

이처럼 정통부가 아이핀 보급을 확산시키기 위해 야심적으로 나서고 있지만 이용률은 저조하기만 하다. 무엇보다 인터넷 사업자들이 도입을 꺼리고 있기 때문이다. 그러다 보니 개인 이용자들 역시 아이핀에 별다른 관심을 보이지 않고 있다.

한국정보보호진흥원(KISA) 기술지원팀 김진원 팀장은 "인터넷 사업자의 경우 본인 확인 외에도 맞춤서비스 제공, 신규서비스 개발 등 사업자 편의성 및 마케팅 차원에서 주민등록번호를 활용, 아이핀 대체를 달가워하지 않는 상황"이라고 말했다.

◇아이핀(i-PIN) 도입 웹사이트의 유형분류(2008.2.1)

이밖에 아이핀 활성화를 위한 걸림돌은 산적해 있다. 전자결제사이트의 경우 아이핀을 도입하더라도 이용자가 금융거래를 하기 위해서는 주민등록번호를 입력해야 한다. 해당 사이트 관계자는 어차피 주민등록번호를 입력해야 한다면 굳이 아이핀을 도입할 필요가 없다고 반문한다.

또 최근 사용자가 많은 사이트에서 제한적 본인확인 수단으로 주민등록번호를 사용한 마당에 아이핀이 제대로 활성화 될 지 의문이라는 비판도 있다.

각 부처별로 따로 진행되는 아이디 관리도 문제다. 행자부가 인터넷 본인 확인 서비스인 'G-PIN'을 보급함에 따라 부처별로 ID관리 업무가 중복, 혼선을 빚고 있는 것. 결국 감사원이 중재에 나서 정통부와 행자부가 두 서비스를 통합하는 방향으로 합의를 봤지만, 최근 정부 조직 개편과 맞물려 향방을 알 수 없게 됐다.

KISA 기술지원팀 김윤정 수석연구원은 "정통부가 개인정보유출 방지 대안으로 아이핀을 제안했지만, 궁극적인 목적은 인터넷상에서 무분별한 주민등록번호 수집을 막는 것”이라며 "법 제도가 근간이 돼 사회적 인식이 바뀔 수 있도록 해야 한다"고 말했다.

정통부가 법 제도 정비에 나섰지만 이마저 쉽지 않다. 하루 이용자 수가 10만명 이상되는 사이트는 주민등록번호 대신 회원가입을 할 수 있는 방법을 의무적으로 제공할 것을 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정통망법)' 개정안에 포함시켰다. 개정안이 상정을 앞두고 있지만, 원래 목표였던 올 2월 임시국회 통과는 어렵다는 분위기다.

◆국가적 차원의 디지털ID관리 시급

오늘날 인터넷 사용자가 관리해야 하는 디지털 형태의 ID는 기하급수적으로 증가하고 있다. 그러다 보니 사용자들은 ID관리에 골머리를 앓고 있다. 자신의 ID를 기억하지 못해 동일한 ID와 패스워드를 반복적으로 사용하고 있는 것.

이 경우 하나의 ID와 패스워드만 유출되더라도 모든 서비스에서 사용자의 계정이 유출될 수 있다. 또 온라인 서비스 제공자가 사용자의 개인정보 관리를 소홀히 할 경우엔 해킹 등의 위협에 무차별 노출될 수밖에 없다.

최근 하나의 아이디로 여러 사이트를 이용할 수 있는 '오픈아이디‘가 효율적 ID관리의 대안으로 부상하고 있다. 사용자의 식별자로 URL을 사용하기 때문에 친숙하고 쉽게 이용할 수 있다는 장점이 있다.

하지만 오픈아이디는 사용자가 하나의 ID로 여러 서비스를 이용하기 때문에 오픈아이디를 채택한 사이트간(RP) 공모를 통해 사용자 행동을 감시당할 우려가 있다. '빅브라더' 문제가 발생, 사용자 프라이버시를 침해할 수 있다는 것. 또 오픈아이디를 발급해주는 업체와 채택한 사이트간 신뢰성 미흡으로 인해 '피싱 사고' 등의 부작용도 배제할 수 없다.

◆사용자 동의·사용자 제어·사용자 중심 삼박자 갖춰야

사용자의 ID 정보를 관리하는 국가적 차원의 디지털ID관리 시스템을 마련해야 한다는 목소리가 힘을 얻고 있다. 현재 전 세계적으로 디지털ID관리 기술 및 시스템에 대한 논의가 활발히 진행되고 있다. 유럽은 'i2010 전자정부 실행계획'에 따라 2010년까지 범유럽 차원에서 운용할 수 있는 디지털ID 관리 시스템을 구축하고 있다. 또한 표준화를 위한 연구도 적극 추진하고 있다.

정통부는 산재해 있는 아이디를 효율적으로 관리하고, 나아가 정보공유 개념으로 확장하기 위한 방안을 강구중이다. 그간 지적됐던 아이핀 사용자 편의성 문제를 개선하고, 각기 다른 본인확인기관 시스템을 하나로 통합하는 모델을 구상하고 있다.

또 정통부, ETRI, 마이크로소프트(MS)는 차세대 ID관리 방안인 '전자ID지갑' 공동 연구에 한창이다. 전자ID지갑은 전자 인증에 필요한 개인정보를 마치 지갑처럼 언제 어디서든 꺼내 이용할 수 있는 사이버상의 디지털 지갑이다.

염흥렬 정통부 정보보호PM(순천향대 교수)은 "사용자 동의 하에, 사용자 제어 하에, 사용자 중심으로 정보를 공유하는 ID관리 시스템을 만들고 있다"며 "시스템 설계에 있어 보안은 1순위지만, 보안에 가장 취약한 것은 '사람'임을 잊지 말고, 사용자 개개인이 보안 의식으로 무장하는 것이 최선의 방법"이라고 말했다.

서소정 기자의 다른 기사 보기

• '주민번호 팔아 선물도 받고'

• '보이지 않는 위험'…휴면 아이디