아이핀도 뚫렸다?…아이핀에 대한 오해와 진실

[아시아경제 조유진 기자] 아이핀을 불법으로 발급 받아 무더기 도용ㆍ거래한 사건이 발생하면서 아이핀도 보안에 취약한 게 아니냐는 우려가 커지고 있다. 최근 카드사 정보 유출 사고 이후 정부가 주민등록번호 대신 아이핀 사용을 확대하겠다는 방침을 내놓은 가운데 아이핀을 둘러싼 오해와 진실을 짚어봤다.

아이핀은 '인터넷 개인 식별 번호'(Internet Personal Identification Number)의 약자로 인터넷에서 신분을 확인하는 데 쓰인다. 주민등록번호 제도 대안 중 하나로 2006년 도입됐다. 아이핀은 13개 일련 번호로 구성된다. 13개 숫자는 개인 정보를 담고 있지 않아 외부로 유출되더라도 피해가 없다. 또한 유출된 아이핀을 폐기하고 새로운 아이핀을 만들면 그만이다.

출처:나이스평가정보

아이핀은 안전행정부(지역정보개발원)와 민간 업체 3곳(나이스평가정보, 서울신용평가정보, 코리아크레딧뷰로)이 무료로 발급해준다. 이름과 주민번호, 아이디, 비밀번호, 이메일 주소 등을 입력하면 아이핀이 생긴다. 인터넷 사이트에 가입할 때 앞서 생성한 아이디와 비밀번호로 입력하면 가입 절차가 끝난다.

아이핀 자체는 보안 위험이 매우 낮다는 게 전문가들의 공통된 의견이다. 다만 아이핀을 생성하는 과정 등에서 보안 사고가 발생할 수는 있다. 아이핀을 발급하는 신용 정보 회사가 해킹을 당하면 아이핀 번호는 물론 주민등록번호까지 통째로 유출될 수 있다. 이번 금융 정보 유출 사고를 일으킨 신용 정보 업체 코리아크레딧뷰로(KCB)도 아이핀 발급을 위해 정부가 지정한 본인 확인 기관이었다.

본인 인증 과정에서도 명의 도용의 위험이 높다. 민간 아이핀은 '휴대폰 인증'을 통해 발급 받는데 이때 해커가 스미싱 등을 통해 본인 인증을 할 수 있다는 것이다. 이에 따라 본인 인증 방식을 다양화 해야 한다는 지적이 제기된다. 박영우 한국인터넷진흥원 개인정보보호지원팀장은 "아이핀의 보안 안정성과 본인 확인 정확성을 강화하기 위해 다각적으로 보안 강화를 검토하고 있다"고 말했다.

사용자들이 아이핀 아이디와 비밀번호를 다른 사이트와 동일하게 사용하는 것도 위험하다. 박 팀장은 "아이핀은 본인 확인 방법이기 때문에 포털이나 쇼핑몰 등 일반 웹사이트에서 사용하는 아이디나 패스워드와 동일하게 사용하는 것은 피하는 것이 안전하다"고 말했다. 아이핀을 발급 받을 때 주민번호를 입력하도록 요구하고 있어 주민번호를 대체하는 수단으로 적절한 지에 대한 논란도 있다. 하지만 아이핀이 주민번호를 대체하는 수단이어서 최초 발급 시 주민번호를 입력하는 것은 불가피하다는 게 중론이다.

조유진 기자 tint@asiae.co.kr