리니지 주민등록번호 도용 (추가) 에서 트랙백

1. 들어가기 전에
트랙백해온 글이 게임업체 측의 책임을 강하게 비난하는 글인데 대해, 필자는 이에 대해 동의하지 않는 입장으로서

1) 온라인 게임 업체에 근무하지 않으며 특별한 이해관계도 없으나,
2) 네트워크 보안 및 보안프로토콜 설계/분석에 대해 충분한 경험이 있고
3) 정부의 정보보호 인프라 정책에 조언하는 산학연 관계 단체 및 의견수렴과정에 여러 해 동안 참여해 온 입장에서

이 문제를 보는 관점을 설명하고자 한다.


2. 문제의 개요
이 문제는 기본적으로 주민등록체제와 그 사용절차들이 컴퓨터 네트워크가 전혀 없던 시절에 만들어졌고 이것을 쓰지 않으면 우리 일상생활의 많은 일들을 할 수 없도록 뿌리내린 상태에서, 문제가 있는 줄 뻔히 알면서도 쓸 수 밖에 없어서 발생하는 사건이다.

왜냐면 개별 기업 차원에서는 법적으로 또한 관례적으로 인정되는 주민등록확인 절차를 안전하도록 바꿀 방법이 마땅치 않기 때문에, 국가 차원에서 인터넷 시대에 맞는 보다 안전한 본인확인절차를 개발 보급해 주어야 한다.

기업 차원에서 "자기 딴에는" 더 안전하다고 생각되는 신원확인절차를 독자적으로 개발하여 사용할 경우 다음과 같은 문제가 있다.

1) 주민등록 이외의 방법으로는 방대한 신원확인 서비스를 제공하는 인프라스트럭처가 없고
2) 기존의 신원확인절차를 임의로 변경하여 사용했다가 문제가 발생할 경우, 법적 보호를 받기 힘들고 모든 책임을 져야 하며
3) 고객 입장에서도 이들이 주장하는 "더 안전한 방법"이 실제로 더 안전한지, 아니면 실은 훨씬 더 위험한 것인지를 신뢰할 수 있게 평가할 수 있는 방법이 없다.

3. 주민등록증의 용례
실생활에서 사용되는 주민등록증을 이용한 신원확인절차는 세가지가 있다.

3.1. 전형적인 오프라인 방식
1) 오프라인에서 신분증을 제시하고,
2) 검사자(verifier)는 신분증에 붙은 사진과 대조해 본인인지 판별 후
3) 권한을 부여(건물에 입장, 통장재발급 등)
4) 이에 대한 기록으로 신분증 앞뒷면을 복사하여 이런 사람이 이 신분증을 들고 나타났다는 증거로 삼는다.

고전적으로 신분증을 사용하는 확인 방법은 모두 이 방식에 속한다.

3.2. 주민등록증 사본 방식
둘째로 위 제도가 널리 정착된 이후, 주민등록증을 복사하여 FAX등으로 보내도 비슷한 절차를 밟은 것으로 간주하는 관행이 나타나 자리잡았다.
이는 신분증의 사진을 본인과 대조하지 않았기 때문에 사실 "안전하지 않으나" 도용으로 인한 손실이나 위험성이 비교적 적은 분야에서 널리 채택되었다.
즉 이 방식은 신분증(혹은 그것을 복사한 것)만 갖고 있으면 본인으로 인정하는 것이며, 신분증을 도난당했을 경우 전혀 안전하지 않지만, 초창기 PC통신 서비스 등에 가입할 경우 예외없이 이런 방식이 이용되었다.

3.3. 간략화된 온라인 방식
1) 주민등록번호와 실명을 입력한다.
2) 검사자는 이를 신원조회DB에 넘겨 그 주민등록번호의 소유자 이름이 입력된 이름과 일치하는지 검사
3) 일치하면 권한을 부여(회원 가입 등)
4) 이에 대한 기록은 신원조회DB에 질의했었던 내역을 기준으로 한다.

이 방식은 3.2절을 조금 더 간략하게 만든 것으로, 신분증 사본에 있는 정보 중 주민등록번호와 실명만 사용하는 것이라고 보면 된다.
이제는 주민등록증 사본(이미지 파일?)이 필요없어졌기 때문에, 대량의 주민등록정보를 손쉽게 컴퓨터로 저장, 자동화하여 악용할 수 있는 길이 열리게 되었다.


4. 대응책
결론부터 먼저 이야기하면 다음과 같다.

4.1 사용자의 대응
기본적으로 사용자는 사이렌24 같은 명의도용방지 서비스에 가입함으로서 자신의 정보누출을 방어할 수 있다. 자기방어를 위해 사비가 들어간다는 것이 문제긴 하지만, 컴퓨터 바이러스 백신도 사서 쓸 수 있다고 생각하면 최소한의 자위 수단은 존재한다고 할 수 있다.

4.2 정부의 대응
정부도 현재의 주민등록번호-실명 기반의 신원확인 체제에 문제가 있다는 것을 잘 알고 있으며, 몇 가지 대안을 놓고 해결책을 모색하기 시작한 상태이다.

주민등록번호 없이 인증 가능해진다(아이티타임즈, 2005.11.01)

4.3 기업의 대응
앞서 2절에서 기업은 이 문제에 대해 적극적이고 독자적인 해결책을 모색하기 곤란하며, 그런 무리한 도전을 할 경우, 기업 뿐 아니라 고객에게도 피해를 줄 소지가 매우 높다는 것을 설명하였다.
따라서 기업은 정부가 제시한 대체 수단 중 자사의 환경에 적합한 것을 선택적으로 적용하는 정도가 한계라고 생각된다.


5. 명의도용방지 서비스의 얼개

5.1. 전형적인 실명제 웹사이트의 가입 절차


5.2. 명의도용방지서비스가 적용된 가입 절차


5.3. 명의도용방지서비스 가입자에게 도용이 발생했을 때
여기서의 핵심은 실명확인업체가 사전에 본인의 핸드폰번호를 등록받아 통보해 주도록 되어 있다는 것이다.

5.4. 본인이 미리 대비를 하지 않았을 때

이 경우 실명확인업체는 본인에게 연락할 방법이 없고, 웹사이트도 신규가입자라 (명의도용자일수도 있는) 가입자로부터 받은 정보 이외에는 아는 것이 없다.
즉 도용을 방지하려면, 신규가입자에게서 받은 정보 말고, 다른 경로로 확보된 본인의 연락처가 있어 대조할 수 있어야만 한다.
그런데 이 정보를 웹사이트 운영업체가 어떻게 알 수 있겠는가? 결국 모르니 대책이 없다는 것이다(이 글이 트랙백하고 있는 글의 필자처럼 "게임방 입장시 게임방 종업원이 손님의 주민등록증을 보고, 이 정보를 게임업체에게 전달/제공한다면 가능할 수도 있다. 그런데 말이 된다고 생각하는가? 게임방 직원이 경찰도 아닌데? 또 다음이나 네이버 같은 포탈 가입자는 어떻게 하라고?)


6. 주민등록정보 이용 프로세스의 개선

6.1. 주민등록번호의 유출처
그것은 대부분의 경우 회원가입단계에서 다수의 주민등록정보를 취득하게 되는 위 그림 상의 웹사이트 업체들이다. 물론 실명확인업체에서 사고가 발생할 수도 있으나, 이 업체들은 극소수인 데다가 상대적으로 보안절차도 우수하다. 상업 웹사이트들은 너무 많아서 어디서 주민등록자료 유출이 일어났는지조차 파악하기 힘들다.

따라서 꼭 주민등록번호+실명으로 실명확인을 받아야 한다면, 가입자와 실명확인업체만 주민등록번호를 볼 수 있고 웹사이트업체에겐 주민등록번호를 알 수 없게 하는 것이 바람직하다.


6.2. 주민등록번호를 이용하지 말라
또한 주민등록번호는 바꿀 수 있는 게 아니다보니, 한번 유출이 된 자료는 그 사람이 죽을 때까지 계속 유효하다. 따라서 이미 유출 수준이 심각하다면, 현재와 같은 확인과정없는 주민등록번호 이용 실명확인 기능은 무력화된다고 볼 수 있다.
그렇다고 전국민을 상대로 새로운 주민등록번호를 발급해준다는 것도 상당히 힘든 일 아니겠는가?

따라서 현재처럼 주민등록번호를 계속 사용하는 인증 메커니즘을 고수하면 유출 사고가 점점 늘어나고 유출된 자료들이 암거래되고 합쳐지는 과정에 국민 중 인터넷을 자주 사용하는 사람 대부분의 정보가 공개되어 버리게 될 것으로 예측된다.
그렇기 때문에 정부가 내놓은 대안들이 하나같이 주민등록번호를 쓰지 않는 방향을 지향하는 것이다.


7. 결론

위에서 살펴본 것처럼 주민등록번호/실명 쌍(pair)을 이용한 어떠한 종류의 확인절차도 온라인에서 사용하기에 안전하지 않으며, 도용방지 서비스 등도 미봉책에 불과하다.
따라서 빠른 시간 안에 보다 강력하고 본격적인 메커니즘으로 잘 보호되는 새로운 본인확인절차를 도입하고, 기존의 주민등록번호 사용 관행은 폐지해 나가야 한다.

이를 위한 가장 중요한 장치는 무엇이 될 지 현재로서는 확실치 않으나 공인인증서의 사용, 그리고 전자주민증의 도입이 가장 유력한 대안이다.
전자주민증은 이념적인 이유에서 반대하는 사람들이 많이 있으나, 전문가로서 한 가지는 단언할 수 있다.

"현행 제도보다 더 위험한 것은 없다"