행자부, 유출 방지 종합대책

이달 초 공공아이핀(I-PIN) 개인정보 유출 사태 이후 민관 합동으로 사고 원인과 해법을 논의해 온 행정자치부가 25일 재발 방지를 위한 종합 대책을 발표했다. 핵심은 프로그램 오류 수정, 시스템 보안 강화와 전면 재구축, 아이핀 사용처 축소, 부정 발급·도용 근절 등이다. 아이핀 비밀번호를 자주 변경하도록 권장하고 보안 전문가를 확충하겠다는 계획도 포함됐다. 하지만 아이핀 제도 자체가 필요한지에 대한 진지한 고민은 찾아볼 수 없다는 게 전문가들의 지적이다.

행자부가 밝힌 대책에 따르면 현재 모든 공공아이핀 가입자는 5월 1일 기준으로 본인인증을 거쳐 공공아이핀을 재발급받고 해마다 이를 갱신해야 한다. 공공기관 웹사이트는 원칙적으로 회원 가입 없이 이용이 가능하도록 하는 등 공공아이핀 사용을 최소화하는 방안도 들어 있다. 하지만 대체로 실효성 없는 대책과 캠페인 성격에 그쳐 개인정보 유출을 막기에는 역부족이라는 평가가 나온다.

합동점검단장인 노병규 한국인터넷진흥원 개인정보보호본부장은 이날 “사고 원인은 공공아이핀 시스템의 설계상 오류에서 비롯됐다”는 점을 분명히 했다. 그는 “이상 징후에 대한 관제 체계가 없었으며 공공아이핀을 개발한 2008년 이후 프로그램 업그레이드와 보안 투자가 미흡했던 것으로 드러났다”고 말했다. 정부가 지난 7년 동안 심각한 결함이 있는지도 모른 채 부실한 프로그램을 운영해 온 셈이다.

정부는 현재 공공아이핀 시스템에 민간 아이핀의 해킹 방지 기능을 적용하고, 2차 패스워드 같은 추가 인증 수단을 도입하기로 했다. 부정 발급을 시도하는 것으로 의심되는 아이피(IP)는 접속 즉시 차단되도록 보안을 강화한다. 아울러 행자부는 이번 사고를 계기로 정부 내 보안 전문가 확충에 나선다. 정보보호 전문 인력은 순환 보직에서 제외하되 주기적으로 업무 성과를 평가해 일정 기간이 지나면 우선 승진시키는 등 관련 인사제도 개편을 검토하기로 했다.

현재 한국에서 아이핀은 모든 웹사이트에 접근이 가능한 만능열쇠나 다름없다. 아이핀이 주민등록번호처럼 개인정보 유출의 표적이 될 수밖에 없는 이유다. 개인정보보호 분야 전문가인 신훈민 변호사는 “개인정보 보호의 제1원칙은 최소 수집이며 이는 개인정보보호법 제3조에도 명시돼 있다”면서 “보안 강화를 논의하기에 앞서 아이핀 제도 자체가 반드시 필요한지에 대해 심도 있는 논의를 해야 한다”고 꼬집었다.

정부가 밝힌 아이핀 사용처 축소 대상에는 민간아이핀이 빠져 있다. 민간아이핀은 보안 정도를 빼고는 공공아이핀과 기본 구조가 동일한 데다 이용자들이 실제로 사용할 때도 아무런 차이가 없기 때문에 동일한 개인정보 유출 위협이 여전히 존재한다. 이 때문에 민간아이핀으로 안정적인 수입을 얻고 있는 민간본인확인업체들에 대한 대책 없이는 반쪽짜리에 불과하다는 지적도 나온다.

강국진 기자 betulo@seoul.co.kr