이에 따라 정부의 아이핀 활성화 정책에 대한 논란이 또다시 재연될 것으로 전망된다.
아이핀은 주민등록번호를 대신해 본인임을 확인받을 수 있는 사이버 신원 확인번호로, 서울신용평가정보, 한국정보인증, 한국신용정보, 한국신용평가정보와 행정안전부 공공아이핀(GPIN) 등 5개 아이핀 발급기관에서 받은 아이디와 비밀번호, 본인확인정보를 이용해 웹사이트에서 본인 확인을 거치는 원리다.
특히 한국소프트웨어진흥원, 한국정보문화진흥원, 정보통신연구진흥원 등 공공기관에선 본인확인정보 외에도 아이디와 비밀번호가 동시에 노출돼 심각성을 더해주고 있다.
↑아이핀 도입 기관에서 가로챈 아이핀 정보. 본인확인숫자는 물론 아이디와 비밀번호까지 노출돼 있다.이 시각 인기 뉴스
국내 5가지 종류의 아이핀 중 3개 이상의 아이핀을 통해 아이디와 본인확인정보가 유출되는 사이트도 12개에 달했다. 이는 전체 조사대상 중 24%에 해당되는 수치다.
특히, 정부 공공기관 웹사이트에서 정도가 심했다. 이들 12개 사이트 중 9개 웹사이트가 행정안전부, 법무부 등 중앙부처와 제주도청, 부산시청, 영등포구청, 충북도청 등 자치단체였다.
PC에서 해당 웹사이트로 전송 중인 본인확인정보를 가로챌 경우, 숫자를 조작해 타인 명의로 악용할 가능성이 높다는 게 분석을 담당했던 성균관대 연구소측의 분석이다.
특히, 한국소프트웨어진흥원, 한국정보문화진흥원, 정보통신연구진흥원 등 3개 공공기관을 포함한 총 5곳 웹사이트에선 5곳 아이핀 발급기관 중 특정 아이핀을 이용했을 때 아이디와 비밀번호, 본인확인번호가 한꺼번에 노출된 것으로 조사됐다.
더욱이 이들 3개 공공기관은 현재 아이핀 활성화 정책에 강력한 드라이브를 걸고 있는 행정안전부와 방송통신위원회 산하기관이다.
이들 3개의 정보만 알면 해당 웹사이트에서 손쉽게 타인의 명의를 도용할 수 있다는 점에서 심각하다.
이는 다른 웹사이트에선 가상 주민번호 아이핀을 선택했을 때 보안서버(https://)로 접속되지만, 이들 웹사이트에선 일반서버(http://)로 연결시켜 암호화 통신이 이루어지지 않았기 때문으로 분석됐다.
이처럼 손쉽게 정보가 노출되는 정부부처나 공공기관들과는 달리, 네이버와 다음 등에선 5종류의 아이핀으로 테스트를 했을 때 이같은 허점이 전혀 노출되지 않은 것으로 조사돼 대조를 이뤘다.
한편, 국가보훈처와 제주시청, 사이버경찰청, 경남소방본부 웹사이트는 서로다른 아이핀을 이용해 중복 가입이 되는 허점이 발견되기도 했다.
이정현 의원은 "이번 조사에서 제기된 문제점은 이미 지난해 12월 한차례 제기됐던 것으로, 이제까지 전혀 개선되지 않았음을 단적으로 보여주는 사례"라며 "아이핀이 주민번호를 대체하는 수단으로 사용되기 위해서는 아이핀 자체가 가지고 있는 문제점 보완과 아이핀을 사용하는 웹사이트 점검 및 시정을 통해 안전하게 사용할 수 있도록 하는 노력이 선행돼야할 것"이라고 밝혔다.
한편, 이번 조사는 방문객 순위를 통해 107개 웹사이트를 선정해 그중 아이핀을 도입한 50개의 웹사이트를 대상으로 이루어졌다. 이중 총 39개 웹사이트가 회원가입을 위한 본인확인수단으로, 나머지 11개는 게시판 글 작성을 위한 본인확인수단으로 아이핀을 활용하고 있다.
