본문
Essay | 시시콜콜 |
# 야누스의 두얼굴 - 아이핀의 인증 | |
2015년 3월 5일 아직 꽃샘 추위가 채 가시 전에
또 하나의 사건이 발생했다.
1. 아이핀(I-PIN) 해킹 사건 |
2015년 3월 5일 75만개의 아이핀이 무단으로 발급되는 해킹이 발생했다.
아이핀 발급에 필요한 인증 단계를 우회하는데 이용한 해킹 기술은 단순 '파라미터 값 변조'를 통해 개인인증을 우회했다.
그리고 인증 단계 이전의 개인정보 입력 절차에서는 실제 주민등록번호를 이용했다. 인증 절차를 우회한 이후 2000개의
국내 IP 와 자동화 악성 프로그램을 사용하여 75만개에 이르는 아이핀을 불법으로 발급 받았다.
그 중에서 12만개 가량의 아이핀 아이디를 이용하여 주로 게임 업체에 신규 계정을 생성하거나 기존의 아이디를 변경하는데 악용됐다. 이로 인해 개인의 피해는 물론 업체에서 해당 아이핀으로 발급된 계정에 대한 제재가 가해짐에 따라서 서비스에 지장이 발생했다.
이번 해킹 사건이 의미하는 바는 매우 크다. 과거 주민등록번호로 인한 개인정보가 유출되는 수준을 넘어선, 단순하게 취약점으로 인한 해킹 사례가 아니라 국가에서 관리하는 '인증 시스템'에 대한 신뢰가 무너져내렸다.
2. 아이핀의 문제점 |
▲ 아이핀(I-PIN) 의 로고
사실 아이핀은 태생에서 부터 이미 많은 문제를 품고 있었다.
기존의 주민번호는 생년월일과 성별 등 개인의 고유정보를 그대로 노출하고 있었다. 또한 재발급이 불가능하여 한번 유출되면
사회 여러 곳에서 범죄에 노출되기 쉬웠다. 이러한 주민등록번호의 문제점을 해결하기 위해서 만들어진것이 바로 아이핀이다. 아이핀은 개인정보를 제외하고 난수화를 통해 개인 식별번호를 만들고, 재발급이 가능한 형태로 만들어졌다.
2014년 8월7일 부터 법령으로 허가된 사안이 아니면 주민번호 수집을 원칙적으로 금지하는 '주민번호 법정주의'를 시행하고 있다. 주민번호 수집 금지조치에 따라 '대안'으로 나온 것이 바로 아이핀이다. 온라인 사이트에서는 개인식별 및 인증번호로 아이핀을 사용토록 하고 있으며 행정서비스 등을 위해서는 공공아이핀을 발급받아 사용하도록 정부는 독려하고 있다.
하지만 정부가 안전하다고 말한 아이핀은 사실 기존의 주민등록번호와 크게 달라진게 없었다. 아이핀 발급 과정에서 개인정보를 다시 사용했다는 점 자체에서 이미 헛점은 존재하고 있었다. 이는 여전히 공격의 대상에서 벗어나지 못했다는 뜻이다.
핵심은 '인증'이라는 시스템 그 자체에 있다.
3. 인증의 두 얼굴 |
▲ 로마의 신 '야누스의 모습'
로마의 신 야누스는 흔히 두 얼굴을 가진 모습때문에 양면성의 대명사로 쓰이고 있다.
아이핀은 '인증'이라는 측면에서 두 가지의 얼굴을 가지고 있다.
인증은 분명히 필요한 시스템이다. 하지만 그 이전에 생각해야 할 부분은 '현재 인증을 사용하고 있는 곳이 정말로 인증이 필요로 하는가?' 라는 부분이다. 내가 인터넷을 통해서 무엇을 살때, 내가 누구인지 굳이 말해야하는 인증이 정말로 필요로 할까?
대표적인 예로 얼마전 정부는 해외에서 국내 쇼핑몰을 이용하는데 공인인증서와 같은 인증이 필요없게 만들겠다고 말했다.
해외 쇼핑몰을 이용해본 적이 있는가? 그들이 원하는 것은 단지 신용카드 정보 밖에 없다.
왜 대한민국에서는 내가 누구인지 '인증'을 해야 물건을 살 수 있는지 생각해 봤는가?
개인의 정보는 최대한 노출되지 않는게 좋다. 그렇다면 개인정보를 포함하고 있는 일련번호를 통한 인증은 없는게 좋은게 아닌가? 필요도 없는 곳에서 개인을 일련번호를 통해 '인증' 하려는 사회 시스템 자체에 문제가 있는 것이다.
이러한 인증의 문제점을 해결하기 위해서는 의사결정 과정에서 전수조사를 통해 인증이 정말로 필요한 곳이 어디인지 조사하고 개인정보를 최대한 줄이는 새로운 인증 수단을 구축해야한다. 최소한의 정보를 가진 '인증'을 최대한 사용하지 않는 방향으로 만들자는 의미이다. 보안은 시스템에 존재하는 모든 취약점을 막을 수 없다. 다만 취약점을 최대한 수용 가능한 수준으로 낮추는데 그 목표가 있다. 따라서 '인증' 또한 무분별한 사용을 최대한 줄여서 보호해 할 대상 자체를 줄이자는 것이다.
야누스는 왜 얼굴이 두개일까? 그 이유는 야누스가 '처음과 끝의 신'이자 '문의 신'이기 때문이다. 과거 로마 사람들은 문에는 앞뒤가 없다라고 생각했기 때문에 야누스의 얼굴도 두개라고 생각했다. 또한 야누스는 적의 침입을 막아주는 문을 지키는 '수호신' 으로 그려진다. 지금 우리가 사용하고 있는 '인증'이 우리를 안전하게 보호해주는 수호신의 얼굴인지, 아니면 오히려 또다른 허점의 얼굴인지 생각해봐야 할 것이다.
* 읽어볼 거리
▶ 본 글이 조금이도 도움이 됐다면 더 많은 사람들이 볼 수 있게
▶ '로그인이 필요없는' 공감 ♡ 버튼을 눌러주세요.
'시시콜콜 잡담' 카테고리의 다른 글
| 야누스의 두얼굴 - 아이핀의 인증 (0) | 2015.03.07 |
|---|---|
| 토요일 토요일은 게임이다! 1994 ~ 2014 (0) | 2014.12.30 |
| The Hour of Code - 코딩 배우기 캠페인 (0) | 2014.12.20 |
| 이미테이션 게임 (The Imitation Game) - 앨런 튜링 (0) | 2014.12.18 |
