태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.


2015.03.26 09:15

반쪽 대책에 그친 공공아이핀 종합대책

 이달 초 공공아이이핀(I-PIN) 개인정보 유출 사태 이후 민관합동으로 사고 원인과 해법을 논의해온 행정자치부는 25일 재발방지를 위한 종합대책을 발표했다. 이날 설명한 핵심은 프로그램 오류 수정, 시스템 보안 강화와 전면 재구축, 아이핀 사용처 축소, 부정발급·도용 근절, 아이핀 비밀번호 자주 변경하도록 권장, 보안전문가 확충 등으로 요약할 수 있다. 아이핀 제도 자체가 필요한지에 대한 진지한 고민은 찾아볼 수 없었다.

 행자부가 밝힌 대책에 따르면 현재 모든 공공아이핀 가입자는 5월1일 기준으로 본인인증을 거쳐 공공아이핀을 재발급받아야 하고, 해마다 갱신해야 한다는 것이다. 공공기관 웹사이트는 원칙적으로 회원가입 없이 이용이 가능하도록 하는 등 공공아이핀 사용을 최소화하는 방안도 들어있다. 하지만 대체로 실효성 없는 대책과 캠페인 뿐이어서 개인정보 유출을 막기에는 역부족으로 보인다.

 합동점검단장인 노병규 한국인터넷진흥원 개인정보보호본부장은 이날 “사고 원인은 공공아이핀 시스템의 설계상 오류에서 비롯됐다”는 점을 분명히 했다. 그는 “이상징후에 대한 관제체계가 없었으며, 공공아이핀을 개발한 2008년 이후 프로그램 업그레이드와 보안투자가 미흡했던 것으로 드러났다”고 말했다. 정부가 10년 가까이 심각한 결함이 있는지도 모른채 부실한 프로그램을 국민들에게 강요했다는 점을 인정한 셈이다.

 정부는 우선 현재 공공아이핀 시스템에 민간 아이핀의 해킹방지 기능을  적용하고, 2차 패스워드 같은 추가 인증수단을 도입하기로 했다. 부정 발급을 시도하는 것으로 의심되는 아이피(IP)는 접속 즉시 차단되도록 보안을 강화한다. 아울러 행자부는 이번 사고를 계기로 정부 내 보안전문가 확충에 나선다. 정보보호 전문인력은 순환보직에서 제외하되, 주기적으로 업무성과를 평가해 일정기간이 지나면 우선 승진시키는 등 관련 인사제도 개편을 검토한다.

 현재 한국에서 아이핀은 모든 웹사이트에 접근이 가능한 만능열쇠나 다름없다. 이 때문에 아이핀은 주민등록번호처럼 개인정보 유출의 표적이 될 수밖에 없다. 개인정보보호 분야 전문가인 신훈민 변호사는 “개인정보 보호의 제1원칙은 최소수집이며 이는 개인정보보호법 제3조에도 명시돼 있다”면서 “보안 강화를 논의하기에 앞서 아이핀 제도 자체가 반드시 필요한 것인지에 대한 심도 있는 논의가 먼저”라고 꼬집었다.

 정부가 밝힌 사용처 축소에는 민간아이핀이 빠져 있다공공아이핀과 보안 정도를 빼고는 기본 구조가 동일한데다, 이용자들이 실제 사용할때도 아무런 차이가 없기 때문에 동일한 개인정보 유출 위협이 존재한다. 이 때문에 민간아이핀으로 안정적인 수입을 얻고 있는 민간본인확인업체(서울신용평가정보, 나이스신용평가정보, 코리아크레딧뷰로)들에 대한 대책이 없이는 반쪽짜리에 불과하다는 지적도 나온다.



Trackback 1 Comment 0