인터넷 기업들의 주민등록번호 대체수단 찾기가 현안으로 떠올랐다. 일부 기업 보안담당자들은 1등급 보안매체인 금융권 OTP 시스템을 기업과 연동한다면 보안과 함께 사회적 비용도 줄일 수 있어 일석이조라며 금융권과 논의를 요구하고 있는 중이다. 주민등록번호가 또 다시 기업들의 발목을 잡고 있다. (사진출처. www.flickr.com / by misocrazy)
 
SK컴즈 해킹사건으로 또 다시 주민등록번호가 도마 위에 올랐다. 급기야 SK컴즈는 9월부터 싸이월드와 네이트에서 특정 경우를 제외하고는 주민등록번호를 실명인증에만 사용한 후 저장하지 않겠다고 했고 또 기존에 수집한 주민등록번호도 파기하겠다고 밝혔다.
 
지난 11일 한나라당과 정부도 국회에서 당정 협의를 열고 개인정보보호를 위해 인터넷상에서 주민등록번호 사용을 최소화하기로 의견을 모으고 그 대안으로 인터넷 개인 식별번호인 아이핀을 전면 보급하기로 합의했다.
 
하지만 2007년 도입된 인터넷상 주민번호 대체수단인 아이핀(IPIN)의 보급률은 초라하기 그지없다. 네이트 해킹 이후 네이버의 신규 가입자가 아이핀을 사용한 비율은 1%, 다음은 0.35%에 불과하다.
 
또 아이핀은 현재까지 360만건이 발급됐을 뿐, 방통위가 2년 전부터 캠페인을 통해 올해 발급건수 목표치로 삼은 1,000만건에 크게 밑도는 실정이다.
 
이렇게 아이핀 보급이 안되는 이유는 발급과 이용에 불편함이 있기 때문이다. 아이핀을 쓸 경우 사용자들은 영문과 숫자로 된 별도의 아이디와 8자리 이상의 비밀번호를 외워야 하고, 신용카드, 공인인증서, 휴대전화, 본인확인기관의 대면 확인을 통해서만 발급되기 때문에 전국민적으로 확대하기 힘든 실정이며 이 와중에도 15,000건의 아이핀 부정발급 사건이 있었다.
 
상황이 이렇다 보니 시민들은 주민등록번호를 변경해 달라고 행안부에 요구하는 웃지 못할 일들이 벌어지고 있다. 하지만 행안부는 주민등록번호를 변경하면 동일인임을 확인하느라 사회적 혼란과 이를 악용한 사기사건들이 발생할 우려가 크다며 절대 불가방침을 고수하고 있다.
 
또 방통위는 이르면 내년부터 포털 등 인터넷 서비스 제공업체들이 회원가입시 입력한 주민등록번호를 자체 서버에 저장하지 못한다는 내용을 골자로하는 ‘인터넷상 개인정보보호 강화 방안’을 발표했다.
 
방안에 따르면 앞으로는 주민등록번호 수집과 저장을 원칙적으로 금지하고 금융거래 등 예외적인 경우에만 허용한다는 것이다. 회원 가입 때 본인 확인을 위해 주민번호를 입력하는 것은 현재와 같지만, 이를 바로 삭제 토록해 정보유출 가능성을 줄이겠다는 것이다.
 
더불어 ‘개인정보 유효기간제’를 도입, 일정기간 서비스를 이용하지 않을 경우 수집된 개인정보를 자동 삭제토록 하고, 현재 비밀번호·주민번호·계좌번호 등 다섯가지 항목에 대해서만 암호화하기로 돼 있는 것을 앞으로는 전화번호·주소·이메일까지 암호화해서 보관토록 하고 있다.
 
하지만 기업 입장에서는 난감하기만 하다. 특히 온라인 게임사와 같은 연령대별 차별 서비스를 해야 하는 기업에서는 주민등록번호를 어떻게 처리해야 할지 고민이다. 게임사 뿐만 아니라 모든 인터넷 기업들이 주민등록번호를 대체할 수 있는 방법이 무엇인지 대책마련에 골머리를 앓고 있다.
 
◇금융권 OTP시스템 개방해서 같이 좀 씁니다=여기서 나온 방안 중 하나 눈에 띄는 것이 있다. 바로 금융권에서 사용하는 1등급 보안매체인 OTP(One Time Password 일회용비밀번호) 시스템을 기업에서도 사용할 수 있도록 열어달라는 요구가 나오고 있다.
 
모 인터넷기업 보안책임자는 “주민등록번호와 같이 고정된 번호는 유출되면 답이 없다. 유동적인 넘버로 본인확인도 가능하고 효과적인 보안도 가능한 금융권 OTP 시스템을 일반 기업에서도 사용할 수 있도록 해준다면 본인인증과 보안에 큰 도움이 될 것”이라며 “또한 금융사이트 이용시 OTP를 현재 많은 이용자들이 사용하고 있기 때문에 이용자 입장에서는 추가비용 없이 하나의 OTP로 금융과 인터넷 이용을 동시에 사용할 수 있어 편리할 것”이라고 제안했다.
 
또 다른 기업 담당자는 “금융권에서 사용하는 OTP 하나로 금융업무와 인터넷 이용시 본인확인과비밀번호 인증에 이용할 수 있다면 사회 전반적인 비용절감도 가능하다”며 “금융권과 조율해 시스템적으로 처리해야 할 문제나 비용문제를 합리적으로 정한다면 기업입장에서는 환영”이라고 말했다.
 
그는 또 “금융권 OTP 시스템을 기업이 사용한다면 현재 주민등록번호 대체수단인 아이핀에 하나가 더 추가돼 이용자들의 선택사항이 늘어나게 되고 업체입장에서는 본인인증과 계정도용을 막을 수 있는 중요한 시스템을 확보하게 된다”고 덧붙였다.
 
하지만 모 기업 보안담당자는 “금융권 OTP가 기업과 공동으로 사용하게 되면 기업 입장에서는 유리한 점이 많긴 하겠지만 은행 입장에서는 절대 환영할 만한 일이 아닐 것”이라며 “왜냐하면 인터넷 기업들이 금융 OTP시스템을 사용하고 그것이 확산돼 많은 사람들이 이를 사용하게 되면 사이버 범죄자들의 주요 해킹 타깃이 금융권 OTP 시스템에 집중될 수 있기 때문이다. 그렇게 되면 OTP 시스템마저도 위험해 질 수 있다”고 반대의견을 표했다.
 
은행권에서도 입장은 마찬가지다. 모 금융기관 OTP 담당자는 “기업들의 입장은 이해가 된다. 또 시스템적으로 금융권 OTP 시스템과 기업 시스템을 연동하는 것은 문제가 안된다. 또 비용도 협의하면 될 것”이라며 “하지만 금융권 OTP 시스템이 일반 인터넷 기업과 연동된다면 틀림없이 공격 타깃이 된다. 이렇게 되면 금융권 OTP 시스템 마저 위험상황에 빠질 수 있기 때문에 은행은 절대 반대”라고 입장을 정리했다. 긁어 부스럼 만들기 싫다는 입장이다.
 
또 다른 관계자는 “현재 금융권에서도 OTP 시스템을 여러 보안장치중 하나로 보고 있다. 100% 완벽한 보안이 된다고 할 수 없기 때문에 OTP 시스템 하나로 완벽하게 보안이 된다고 생각하면 안된다”며 “일반 인터넷 기업과 연동은 아무래도 힘들 것”이라고 말했다.
 
현재 금융권 OTP시스템은 금융보안연구원에서 관장하고 있으며 지난 2009년 초 사용건수가 230만건에서 2010년 초 370만건, 지난 7월에는 520만 건으로 점차 사용률이 증가하고 있다.
 
또한 기업에서도 일부 이용자들에게 OTP를 보급하고 있지만 금융권 처럼 본인인증이 되지는 않는다. 계정도용 정도를 막기위한 수단으로 사용되고 있다. 일부 업체에서는 SK컴즈 해킹 사건이후 OTP 사용자가 늘고 있다고 한다.
 
기업에서는 은행이 금융권 OTP 시스템 사용에 대해 무조건 안된다고 못박기 보다는 보다 진지한 논의를 해보는 것이 어떤가라는 입장이다. 하지만 보수적인 금융권에서 이를 받아 들일지는 미지수다. [데일리시큐=길민권 기자]