i-PIN
1. 소개
개인정보 유출 시 피해를 최소화하고자 했던 주민등록번호 대체 인증수단. '인터넷 개인 인증 번호(Internet Personal Identification Number)의 약자다. 2014년 들어서 개인정보 유출 사건이 대규모로 빈번하게 일어나자, 정부는 이걸 바탕으로 마이핀을 만들어 주민등록번호를 완전히 대체한다고 한다.
2. 상세
2006년 정보통신부와 한국정보보호진흥원(現 한국인터넷진흥원)에서 선보였다. 당시 실명 인증이 무력화해 인증기관끼리 여러가지 본인 인증 수단을 내놓아 네티즌이 불편함을 느끼고 있었고 정부 차원에서 이를 통합할 필요성이 생긴 것이다. 당시 대형 사이트 중에는 마이크로소프트의 MSN이 받아들였다. 2009년에 아이핀 2.0이 도입되었으며 본격으로 대중들이 인지하기 시작한 것은, 일부 대형 사이트로 강제 도입을 시행하고 아이핀 전환 캠페인이 시작된 2010년이다.
2013년 들어서 대형 사이트들은 주민등록번호보다 아이핀을 권하는 상황이며, 시간이 지나 웹사이트가 주민등록번호로 인증을 하지 못하게 되자, 그 뒤로 아이핀 사용자는 증가한 편이다.
기존의 개인정보는 개별 사이트 별로 수집해서 아이핀을 통해 민감한 정보는 개별 사이트에 저장하지 않으며, 노출되더라도 그 자체로 심각한 피해를 입을 수 있는 주민등록번호나 휴대폰 번호와 달리 이론상으로는 '''아이디만 노출'''되어 개인정보 유출 시 피해를 최소화 하려고 했다.
하지만 후술할 문제점과 '''사이트 운영주체의 개인정보 수집욕구'''로, 휴대폰 번호 같은 다른 민감한 개인정보를 인증까지 요구하면서 강제로 입력하게 하고 있다. 또한 금융 관련 사이트는 금융실명제의 영향인지 아이핀으로 인증해도 주민등록번호 기반의 실명인증을 추가로 요구한다. 대표적으로 한국장학재단은 아이핀 인증으로 가입할 수 있지만 주요 업무인 장학금/학자금 대출을 위해서는 실명 인증을 진행해야 한다.
우선 아이핀을 쓰려면 SCI, NICE, '''개인정보를 유출한 범인인''' KCB 세 곳 중에서 한 곳을 택해서[1][2][3][4][5] 계정을 만들어야 한다.
보통 실명 인증을 거칠 때 가입할 수 있으며 가입 시 인증 수단으로 휴대폰, 범용공인인증서, 대면확인, 공공아이핀센터에서는 주민등록증 발급일자와 세대원정보를 기입하는 방법 중 하나를 요구한다. 가입하면 계정을 받는데, 이 계정으로 아이핀 인증을 지원하는 곳이면 어디든지 사용할 수 있다.
회원가입 등 실명 인증이 필요할 때 아이핀 인증으로 대체할 수 있으며,[6] 이때 아이디, 비밀번호와 CAPTCHA를 요구한다.
아이핀 2.0이 도입되기 이전인 2009년 이전에 가입했다면 각 기관 사이에 계정 정보를 연동하지 않아서 타 인증기관에 동일한 아이디가 있을 수 있다. 이때는 자신의 인증기관을 택하고, 원한다면 ID를 바꾸면 된다. 인증이 완료되면 계속 하던 절차를 밟을 수 있고, 인증 완료 메일을 받을 수 있다.
그리고 현재 행정안전부는 휴대폰, 신용카드 등 새로운 본인확인 수단의 등장으로 공공아이핀의 효용성이 감소함에 따라 공공아이핀 이용약관 제19조("서비스" 제공의 중지)에 의거 2018년 10월부터 공공아이핀 신규 발급과 재인증 서비스를 중단하게 된다고 한다.[7] 결국 삽질의 끝은 초라하게 끝났다고 보면 된다. 하지만 10월 이전에 발급 받은 사람에게는 계속해서 이용이 가능하다고 하며 홈페이지 발급자는 발급일로 1년, 주민센터 발급자는 발급일로 3년간 유효가 가능하며 만약 2018년 10월 31일에 주민센터에서 발급되었다면 2021년 10월 30일이 최대 기간일 것이다. 공공아이핀 계정과는 별도로 2018년 12월 이용기관의 인증 서비스가 민간 아이핀으로 이관되어 아이핀으로 관리하던 여러 사이트들에서는 대규모로 홈페이지 패치가 이루어질 것으로 판단 .
3. 아이핀 유효기간제 시행
2015년 2월 28일부터 3월 2일 오전까지 지역정보개발원에서 관리하고 있는 공공아이핀시스템이 해킹 공격을 받아 75만 건의 아이핀이 부정 발급되어 행자부는 민관합동으로 태스크포스를 만들어 원인을 검토한 뒤 해결책으로 재발급을 받고 해마다 갱신을 받는 대책을 마련했다고 한다.
2017년 6월부터 발급 후 1년이 지난 민간 아이핀(i-PIN)은 자동으로 폐기된다. 이에 따라 2017년 6월 이전에 아이핀을 발급받은 이용자는 매년 유효 기간을 갱신해야 한다.
4. 공공아이핀 폐지
행정안전부는 휴대폰, 신용카드 등 새로운 본인확인 수단의 등장으로 공공아이핀의 효용성이 감소함에 따라 공공 아이핀을 2021년까지 퇴출시키기로 했다.
하지만 효용성이 감소한 이유는 본인들이 자초한 일이다. 또는 의도한 바라는 주장이 있다. 복잡한 인정과 악평 그리고 사용성은 IT와 보안 쪽 전문가도 혀를 두른다. 그래서 대부분 아이핀보다 옆에 있는 휴대폰 인증을 한다. 막대한 예산이 들어가지만 이미 상품의 수명으로는 정체기인 데다가 책임 요소가 많아 폭탄 돌리기를 할 바에, 자연스럽게 퇴출하기 좋기 때문이라는 이야기가 있다.
2018년 10월부터 공공 아이핀의 '''신규 발급'''과 '''재인증 서비스'''를 '''중단'''하게 되었다. 마침 4차산업과 인증수단의 법적 완화로 아이핀 퇴출은 서로서로에게 이득인 상황이라는 견해가 있다. 공공아이핀이 중단될 뿐, 민간 아이핀 서비스는 계속 제공된다. 아이핀 도입당 기본 요금이 50만원 내외이기 때문에 민간에서 포기하기에는 아직 상품 시장이 크다. 무료로 운영되는 공공아이핀만 종료이다. 관련뉴스
모든 아이핀은 발급주체를 불문하고 연동된다. 나이스 아이핀 로그인 창에서 KCB아이핀이나 공공아이핀으로 인증해도 된다.
5. 비판
[image]
아이핀은 본인인증을 할 때 공인인증서나 주민등록번호를 쓰지 않으려고 도입되었지만 고정된 별도의 개인식별자를 본인인증용으로 사용하려고 한 시도와 개념 때문에 비판을 받고 있다. 마치 사용자 계정의 아이디를 계정의 로그인 패스워드로 사용하려고 하는 듯한 격이다.
그런데 외국 웹사이트들은 개념상 비슷하게 한다. 아이디 대신 이메일 주소로 로그인하기. 계정의 필드에만 이메일이 있을 때와 달리, 주 사용 이메일 주소를 바꾸기가 곤란해지고, 저걸 바꾸는 방법을 제공하지 않는 곳도 있다. 그러다 보니 아이핀의 실상은 허구한 날 아이핀 자체가 털리는 동네북이다.
한국은 ActiveX 때문에 키로깅이 너무나 활발해서 조금만 취약한 지역에서 로그인했다 하면 털리는 데다가 아이핀 사이트에서 털리지 않더라도 같은 ID/PW을 다른 데서 이용하면 털리기 쉽다는 점도 있다.
게다가 아이핀이 털리면 주민번호까지 털릴 수도 있다. 추천 사용방법은 귀찮더라도 필요 시마다 ID를 생성했다가 파기하는 짓을 반복하는 것이다. 물론 쉬운 방법이 아니므로 컴퓨터 관리에 좀더 신경 쓰는 것밖에 답이 없다.
2014년 초에는 아이핀을 관리하는 기관 중 하나이자 위 항목에 언급된 코리아크레딧뷰로(KCB)의 차장 박 모 직원이 카드사 개인정보 유출사건을 일으키는 사태가 발생했다. 이로써 관리 기관의 내부 통제 역시 매우 중요한 문제로 떠올랐다. 게다가 한 번 해킹당하면 끝인 걸 교과서로 홍보한다. 이쯤 되면 도둑고양이에게 생선 맡기는 수준이나 다름없다.
신용정보사의 아이핀을 발급받을 때는 오로지 국내에서 개통한 휴대폰, 국내에서 발급받은 범용 공인인증서와 주민등록증[8] 혹은 여권[9] 등으로만 본인 인증을 할 수 있기 때문에 '''해외동포나 외국인들은 아예 아이핀을 요구하는 한국 웹서비스를 쓰지 못하게 되었다.''' 굳이 얻으려면 한국에 체류하며 외국인 등록번호를 얻고 휴대전화나 은행 계좌를 개설하는 방법밖에 없다. 이건 약간 억지도 있는데, 대한민국 국적을 잃은 동포들은 국적상실과 동시에 폐기된 주민번호를 써서 국내 웹사이트에 본인인증해선 안 된다. 재외국민의 이용 불편은 여전히 문제지만.
특히 인증절차가 생각보다 복잡하고 피가 거꾸로 솟게 만드는 만큼 오류가 나는 일이 꽤 있어서[10] 관리 기관에 직접 전화나 메일로 문의를 해 봐야 하는 번거로운 상황이 자주 벌어진다. 게다가 인터넷 익스플로러를 제외한 다른 브라우저는 사용할 수 없다. 만악의 근원인 액티브X를 사용한 키보드 보안 프로그램 설치가 필수이기 때문이다.[11]
그나마 민간사업자가 아닌 행정자치부에서 운영하는 공공 I-PIN 사이트에서는 공인인증서(금융거래를 위한 무료)나 주민등록확인시스템(본인과 주민등록등본에 기재되어있는 세대원 한명의 주민등록증 발급일자 필요)으로 발급이 가능하므로 해외거주자도 발급은 받을 수 있게 해놨다. 그런데 해킹 방지 목적인지 해외 IP 차단 옵션이 기본으로 켜져 있으며 일단 로그인을 해야만 옵션을 끌 수 있다.
이걸 모르고 가입은 되었다는데 로그인이 안 된다는 사람이 부지기수. 일반 웹사이트에서 본인의 IP가 차단되면 아예 대문에서부터 접속이 안 되거나 아이피 차단 관련 오류가 출력된다는 게 상식이지만 아이핀의 해외 IP차단은 대문이 아니라 로그인 이후부터 작용하며, 차단되었을 때 브라우저에 하얀 화면만 뜨고 아무런 오류창이 나오지 않는다. 때문에 해외 IP 차단 때문이라는 걸 알기가 어렵고 안다고 해도 로그인이 안 되니 풀 수가 없다.
이 때문에 해외 IP가 차단되었다면 해당 기간 영업시간 중 [12] 에 연락을 해서 해외 접속제한을 풀어달라고 요청하거나 VPN을 동원해야 하는 등 온갖 삽질을 하게 만들어놨다. 게다가 고정아이피만 제한을 영구히 풀 수 있으며, 유동아이피는 매번 전화로 풀어달라고 요청해야한다.
여기에 더불어 유동아이피는 접속제한을 푸는 데 걸리는 약 24시간(전화로 신청하면 다음날 19시 정도에 해제해준다) 동안 아이피가 바뀌지 않도록 컴퓨터를 절대로 끄지 말고 켜놓으라는 매우 친절한 안내를 해준다... 해결방법을 로그인 직후 오류 문구에 함께 띄워라도 주면 좋은데 그런 글도 없다. 오류 문구가 해커에게 도움을 줄 수 있다고 판단했는지도 모른다.
해외에서 아이핀 인증을 할 때 IP가 차단되었는데 딱히 차단되었다는 글이 뜨는 게 아니고 "요청이 실패하였습니다. 다시 시도해주세요."라는 문구가 뜨면서 '로그인 재시도→이유 없이 저 문구가 뜨는 현상 반복(사실 해외 IP라 차단된 상태)→포기'라는 정말 미쳐버리는 상황이 발생한다. 액티브X와 더불어서 인증 자체를 포기해야 하는 상황.
이때는 프록시 서버를 이용해서 우회하는 게 최선이다.(해외에서 I-PIN 인증) 요약하면 대한민국에 존재하는 프록시 서버를 이용하여 해외에 거주중이지만 내가 입력하는 아이핀이 대한민국에서 입력되는 것처럼 한다는 이야기다. 하지만 '''해외에 있는데 본인명의 휴대전화 ARS인증'''을 하라는 사이트보다는 양반이다.
끝내는 정부가 국민 개개인의 정보를 국민들이 우려할 정도로 자주 유출되는 허술한 곳에 모아 보관해서 주 목적이었던 개인정보 보호 개선의 성과를 크게 이루지 못했다. 또한 그냥 목적만을 생각한 채 상당히 미숙한 등록 절차나 운영 설계를 보여주면서도 아이핀을 여러 국내 웹서비스에 강제시켜 외국인들과 해외동포 이용자들의 발길을 끊은 것을 물론이고 국내 이용자들마저 사용에 불편함을 주고 있다.
이러다 보니 본인인증이 필요할 때 아이핀만 사용하는 사이트는 일부 외국계를 빼면 거의 없고[예외] 휴대폰 문자로 일회용 개인번호를 받아 사이트에 입력하는 휴대폰 인증 같은 다른 본인인증 수단과 같이 사용하는 일이 대부분이다.[13] 좀 더 큰 사이트는 여러 가지 본인인증수단을 같이 지원하는 곳도 많다.
대한민국의 양대 포털인 네이버와 Daum에서 실명 인증은 국내에서 개통한 휴대폰으로만 가능하며, 해외 거주자, 동포, 외국인들에게는 유일한 인증 수단으로 여권 사본과 정보를 요구했지만 2018년 7월 기준 현재는 해외의 휴대전화번호여도 인증이 가능하게 바뀌었다.
여권을 이용한 본인확인은 대부분 거주여권(PR)만 인정하므로, 일반 방문여권(PM)를 가지고 있는 유학생이나 해외거주민은 이용할 수 없다. PR 여권 하나 만들면 그만이지 할 수도 있겠지만, PR 여권을 안 만드는 사람들이 단지 귀찮아서 그러는 것이 아니다.(여권 항목 참고)
해외 주요도시에 거주하는 유학생이나 해외거주민도 재외공관에서 범용 공인인증서를 신청하여 발급할 수 있다. 2017년 10월 현재 웬만한 재외공관에서 신청이 가능하다. 또한 이미 일반 공인인증서를 가지고 있어서 인터넷뱅킹이 사용 가능하다면 재외공관에 방문할 필요 없이 범용공인인증서를 발급할 수 있다. 범용공인인증서를 발급받았다면 그걸로 아이핀을 가입하는 것이 사실상 유일한 방법.
2015년 이후 2차 비밀번호를 강제로 만들어야 하며, 일정 시간이 지난 뒤 2차 비밀번호를 반드시 변경해야 아이핀 서비스를 이용할 수 있다. 일정 기간이 지난 뒤 인증을 하려 하면 2차 비밀번호를 변경하는 단추만 나타나게 되는데, 누른 뒤 변경하지 않겠다는 취소단추는 있으나 누르면 인증이 완전히 취소되고 다시 인증을 하려하면 또 2차 비밀번호를 변경하라는 문구만 출력된다.
해당 아이핀 절차가 하도 복잡하고 문제가 많은 나머지 공공기관 업무나 사이버 접수 같은 일은 물론, 아이핀 문제로 범죄신고를 하지 못하는 등의 문제도 굉장히 심각하다.
2016년 6월 1일부터 2차인증을 의무화 시행하고 있다. 2차 비밀번호, 모바일 OTP(아이핀 앱 설치 필요), 그래픽인증 중 1가지를 선택해서 사용할 수 있는 듯.
그래픽인증
[image]
인증값을 0, 6, 3, 8로 설정했다면 첫 번째 값(0)에 6, 3, 8값을 순차적으로 드래그
초기에는 보안플러그인을 요구하지 않았지만, 어째서인지 가면 갈수록 보안 플러그인 요구하는 게 많아진다는 것도 문제. IE에서 ActiveX를 요구하더니 곧이어 크롬이나 파이어폭스 쪽에서도 플러그인 설치를 강요하는 해괴한 현상이 펼쳐지고 있다.
그 밖에도 2차 인증설정이라고 내놓은 게 공인인증서, 본인+세대원 주민등록증 발급일자 확인,[14] 동사무소 등 공공기관 직접 방문(…)이니 그냥 말 다 했다.
게다가 아이디나 비밀번호를 잃어버리면 한 번에 다 안 보여주고 2차인증으로 공인인증서나 세대원 주민등록증 발급일자 확인을 요구하니 불편하기 짝이 없다. 공인인증서가 자기 컴퓨터나 휴대폰 내에 있다면 또 모를까 그게 아니라면 그냥 닥치고 공인인증서 발급절차부터 밟아야 하니 그냥 혈압이 확 올라온다. 기본 절차만으로도 충분히 복잡해서 욕 먹고 있는데, 아이디/비번 찾기까지 복잡하니 한 번 잊어버릴 때 공인인증서나 주민등록증 발급일자 확인수단이 없는 상황이라면 정말 곤란하기 그지없다.
게다가 대법원의 가족관계증명 시스템과도 연계가 안 되어 있어서 14세 미만 아동의 아이핀 발급이 필요할 때 등본상 세대주-자녀가 아니면 죄다 주민센터 방문밖에는 발급 방법이 없다. 이건 심각한 문제인데, 대부분의 가정을 단순히 부모와 자식만이 사는 핵가족으로만 보고 3대가 같이 산다든지 부모가 없고 조부모와 같이 사는 아동이라든지 등등일 경우의 수는 모조리 다 차별당하는 것이다.
결정적으로 2차인증을 괜히 끼워넣어서 안 그래도 비효율적인 일처리를 더 비효율적으로 만든 셈.
거기다가 비밀번호 입력 몇번이라도 틀리면 가차없이 IP 밴을 먹여버리는 게 아프리카TV 블랙 리스트기능이 울고 갈 정도. 이용자의 분노와 빡침은 덤이다.
6. 해결책
6.1. 주민등록번호를 개인인증용으로 쓰지 않기
아이핀의 문제점 중 하나는, 중앙 서버가 털렸을 때 주민등록번호가 함께 누출되고, 이로 인해 심각한 수준의 본인인증 수단 도용피해를 입을 수 있는 것이다.
주민등록번호는 한번이라도 누출 시 지속으로 피해에 노출된다. 왜냐하면 원래 여러 사람을 서로 구분하는 개인 식별수단으로 만들어진 주민등록번호를 마치 비밀번호처럼 개인을 확인하는 개인 인증수단으로 사용하고 있기 때문이다. 공개 키인 ID의 일부를 비밀 키인 암호로 쓰는 상황이다.
그러므로 그 해결책은 주민등록번호를 개인식별자(identifier)로만 사용하고 개인인증용(authentication)으로는 쓰지 않는 한편, 아이핀을 비롯한 개인인증 수단을 위한 개인식별 시스템은 따로 마련하는 것이다.
그러면 주민등록번호가 본래 목적대로 공공연히 공개된다 해도 타인으로 신분을 도용하는 데 주민등록번호를 사용할 수 없으므로 번호 유출의 부작용이 없어진다.
한편, 주민등록번호가 공개됨으로써 사생활이 추적되는 문제는 HMAC 해시 등으로 추적이 불가능하게 할 수 있다.
6.2. 다른 인증 방법
당장 아이핀을 대체할 수 있는 개인인증 시스템은 공인인증서, 휴대전화 번호인증, 신용(체크)카드 인증이 있다. 이러한 것들도 유출 시 피해를 입을 수 있지만, 주민등록번호에 비해 쉽게 변경 및 폐기가 가능하다. 다만 연락처로서 사용하는 휴대전화 번호는 사실상 변경이 쉽지는 않은데[15] 공인인증서나 카드번호 등, 손쉽게 변경할 수 있는 수단만으로 본인인증을 할 수 있는 곳이 드물기 때문. 주민등록번호 인증과 같이 휴대전화 번호를 상대방에게 공개하지 않는다면 어느 정도 아이핀의 대체 목적과 맞을 지도 모르겠다.
한편 OTP 등등 소유물 인증이나, 아이폰의 터치 ID 등등 보안성이 높은 생체인식 방법을 공공기관이나 은행 등등 믿을 만한 기관의 대면 인증과 섞어서 정보의 형태를 탈피한 인증 시스템이 개발되어야 한다.
7. 사건사고
- 2010년 6월, 불법 유출된 주민등록번호로 아이핀을 발급한 사례가 적발됐다.(관련 기사)
- 2015년 3월, 아이핀 발급 사이트중 하나인 공공아이핀이 해킹당해서 75만 건의 부정발급이 발생했다고 한다.(관련 기사)
- 공공 아이핀 해킹사건으로 아이핀 탈퇴자가 이틀 간 천여 건이 넘어다고 한다.(관련 기사)
- 2015년 3월 10일 정부는 공식사과한 다음 대책을 마련하기로 했다.(관련 기사)
- 2015년 5월 1일부터 본인확인 재인증을 거쳐야 사용할 수 있다.(관련 기사)
8. 그 외
[1] 아이핀 2.0 도입 이전에는 한국정보인증과 한국신용평가정보(현재는 나이스신용평가정보와 합병)를 포함해 6곳이었고, 연동 따위는 하지 않고 있었기 때문에 '''각각 일일이 가입해야 했다.'''[2] 한국인터넷진흥원에서 발급 시 공공아이핀센터를 제외한 세 곳 중 무작위로 하나가 선택된다.[3] 저 중에서 인지도가 높은 곳은 나이스아이핀. 우리가 알고 있는 아이핀 로고도 사실 나이스아이핀로고이다... [4] 공공아이핀은 군사지방 IP를 해외IP로 인식하는지 오류가 발생한다. 나이스 아이핀은 정상 인증 된다.[5] 2018년 10월 31일부터 공공아이핀은 신규 생성 및 재발급, 유효기간 연장이 불가능하다.[6] 아이디/비밀번호 찾기는 해당 계정이 아이핀으로 인증되었거나 전환되어 있어야 한다. 아니라면 타 인증수단을 이용.[7] 단, 민간 아이핀은 계속해서 서비스 중이다.[8] 행정안전부 공공아이핀 전용. 본인뿐만 아니라 주민등록상 세대원 중 1명의 주민등록증 역시 가지고 있어야만 가능하므로, 1인가구에서는 사용할 수 없다.[9] 재외국민 전용으로 일반 여권이 아닌 거주 여권(PR여권)만으로 가능하다. PR여권 제도는 2017년 12월 21부로 폐지되었다.[10] 예를 들어 세대원 주민등록번호 발급일자를 제대로 입력해도 다시 확인하라고 뜨고 다시 입력하면 입력정보가 틀린다고 나오고 메인 화면으로 되돌아간다.[11] 2016년 8월 기준 Java를 사용하는 것으로 확인. 다만 크롬에선 자바를 설치하라고 해서 설치했더니 또 자바를 설치하라고 뜬다.[12] 보통 한국시간 평일 9시-18시[예외] 아프리카TV는 한다. 14세미만 회원가입에서 확인되었다. 배틀넷도 아이핀만으로 인증이 된다. 마이크로소프트도 성인 인증 시 아이핀만 사용한다. PS4(Sony Entertainment Network) 사이트도 아이핀만으로 인증이 된다. 의무경찰 홈페이지에서 실명인증 시에는 아이핀으로만 인증이 가능하다.[13] 본래 넥슨도 본인인증 방법으로 아이핀과 휴대폰 인증을 제공했으나 어느 날부터 휴대폰 인증만 남았는데 그것이 바로 아이핀 도용 문제 때문이다. 넥슨도 인정할 만큼 얼마나 보안 수준이 낮은지 보여준다. 다만, 메이플스토리에서는 마이핀 인증도 받는다. [14] 운전면허증 발급일자는 인정되지 않는다는 점을 유념하자. 오직 '주민등록증' 발급일자만 인정된다.[15] 3개월 이내의 번호이동은 제한되어 있으며, 당장 수시로 전화번호를 바꾸는 사람을 당신이 어떻게 생각할 지를 생각해본다면...