민간아이핀은 사전에 대비해 막은 공격을 정부에서 운영하는 공공아이핀이 막지 못했다는 사실에 국민들에게 계속 질타받고 있는 상태다. 그렇다고 민간아이핀이 공공아이핀보다 무조건 안전하다고 말할 수도 없다. 문제는 아이핀 발급 시스템을 지속적으로 업그레이드하고 유지보수했느냐는 것이다.

해킹 기술은 나날이 눈부시게 발전한다. 그렇게 때문에 공격기술에 대한 유지보수와 업그레이드는 계속해서 이루어져야 한다. 민간아이핀은 영리를 목적으로 하기 때문에 유지보수나 업그레이드에 투자를 많이 할 수 밖에 없다. 그러나 공공아이핀은 시스템 구축, 확장에만 급급하고 유지보수까지는 예산이 뒷받침 되지 못하고 있다는 지적이다.

정보보호업체가 불만을 가지는 것이 바로 이 부분이다. 제품을 살 때 제값을 주고 사지도 않고, 공격기술을 패치하는 업그레이드에 대한 비용부담을 제대로 하지 않으려 하고, 사고가 나면 누구에게 책임을 물어야할 지도 애매하다.

현재 우리나라는 유지보수에 7~8% 비용을 책정하고 있지만 외국에서는 통상적으로 20% 이상의 비용을 지불한다. 정부가 내년부터 유지보수 비용을 15% 이상으로 책정하겠다 발표했지만 그전에 정부가 아이핀과 관련해서 유지보수 비용을 얼마나 책정하고 있었는지 되돌아볼 필요가 있다.

과다한 본인인증 문제, 주민번호 제도 개편의 시작점 될까

한국인터넷진흥원(KISA)에서 지난해 만 14세부터 59세까지의 인터넷 사용자 및 스마트폰 보유자 1,372명을 대상으로 설문조사를 실시한 결과 개인 인터넷 이용자의 88.6%는 아이핀을 인지하고 있으며, 아이핀을 인지하고 있는 사람의 73.5%는 아이핀을 발급받았고, 45.7%는 아이핀을 사용하고 있는 것으로 조사됐다.

그러나 일각에서는 공격자가 파라미터를 변조한 점, 중국어 버전 프로그램을 이용한 점, 단기간에 75만 건의 아이핀을 발급한 점, 2천여 개의 국내 IP를 동원했다는 점을 들면서 해커가 서버까지 침투했을 가능성을 제기하고 있다. 서버에 침투했다면 이번 아이핀 부정발급 피해자 이외에도 기존에 아이핀을 발급받은 사용자들의 아이핀이 유출됐을 가능성을 배제할 수 없기 때문이다.

이번 사태와 관련해 개인정보보호범국민운동본부(이하 범국본) 측은 “전 국민의 주민번호가 유출돼 있다시피 한 상황에서 주민번호만 있으면 발급이 가능한 점과 본인인증을 받아야 하는 인증값을 변조해 본인확인이 되지 않아도 아이핀 발급이 가능한 현행 시스템에 문제가 있다”며, “해당 시스템을 설계한 기관과 운영기관이 함께 책임져야 할 것”이라고 전했다.

또한 범국본 측은 “아이핀 시스템 개선과 함께 주민번호 제도 개편이라는 근본대책 마련을 위해 노력해야 한다”고 덧붙였다. 지난해 주민번호 제도를 개편해야 한다는 목소리가 계속해서 나왔지만 정부는 개편이 쉽지 않다는 이유를 들며 딱히 이렇다 할 움직임을 보이지 않았다.

지난해 카드3사 사태 이후 주민번호 개편을 위한 자문회의, 대책회의, 공청회 등이 개최됐지만, 지금까지 뾰족한 대안이 아직 나오지 않은 상황이다. 이번 사건 이후, 행자부에서 주민번호 일제정리를 실시할 계획으로 알려졌지만 근본적인 대책 마련은 쉽지 않아 보인다.

이번 공공아이핀 부정발급 사태로 인해 주민번호 제도 개편뿐만 아니라 본인인증 축소, 유지보수 비용에 대한 인식 개선 등 그동안 말도 많고 탈도 많았던 여러 문제들이 수면으로 떠오르게 됐다. 이번 사태가 그간 쌓였던 문제들을 하나씩 풀어나갈 수 있는 기회로 작용해야 할 것으로 보인다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>