기프트카드 명의 확인 부족, 일부 신용카드 사이트 문제점도 나타나  

[보안뉴스 오병민] 개인정보 노출을 최소화하고 주민등록번호 이용을 줄이기 위해 아이핀의 보급이 추진되고 있는 가운데, 아이핀(i-PIN)의 허점을 노려 개인정보를 도용한 일당이 경찰에 붙잡혔다.

이번 사건은 본인인증이 필요한 아이핀을 타인 명의로 발급받은 피의자의 첫 적발사례로 의미가 있다. 아이핀은 이용자가 주민번호 제공 여부를 선택하도록 하고, 웹사이트의 본인확인 기능을 강화하여 주민번호 도용을 방지하는 제도이다. 그러나 타인명의 신용카드 발급/등록, 휴대폰 대리인증 등 본인인증 절차의 허점으로 타인 명의의  아이핀을 발급받을 수 있었다는 문제점을 노출했다.

특히 본인인증 수단으로 충분할 것으로 여겨졌던 신용카드가 도용된 명의로 인증됐다는 데서 문제점을 노출했다. 그동안 신용카드와 휴대폰, 공인인증서는 대면확인에 버금가는 신원확인 후 이용할 수 있는 것이기 때문에 본인인증 수단으로 사용되어 왔다. 그러나 기프트(Gift, 무기명 충전식 선불 카드)카드는 신용카드와 동일한 발급절차를 거치지 않는 단순 무기명 카드임에도 본인인증 수단으로 이용된 심각한 문제점 존재하는 것으로 파악됐다.

특히 ‘A 카드사’는 무기명 기프트 카드를 인터넷 등록할 때 로그인하는 공인인증서 명의와 입력하는 등록자 명의가 달라도 등록이 가능한 것으로 파악돼 범행에 이용됐다. 경찰에 따르면, 단 2장의 기프트 카드로 6만621명이 등록돼  i-PIN발급에 사용된 것으로 파악됐다.

아울러 ‘B 카드사’는 타인 명의로 인터넷 발급신청과 동시에 부여된 카드번호가 실제 발급되지 않았음에도 웹페이지의 허점으로 유출되어 아이핀 발급에 사용된 것으로 밝혀졌다.

그리고 주민번호 입력보다 아이핀이 인터넷 사이트 회원가입에 수월하다는 것도 문제점으로 지적되고 있다. 피의자들은 아이핀 자체 보다는 아이핀을 통해 생성한 포털/게임사이트 계정을 게임작업장, 광고업자 등에게 판매할 목적으로 범행을 한 것으로 전해졌다.

특히 포털/게임사이트들은 여러 개의 계정을 만들 경우에는 주민번호를 입력해 추가 인증을 받거나 비밀번호를 요청하는 등 절차 복잡하지만, 아이핀은 한번 본인인증이 되면 추가 인증절차 없어 손쉽게 여러 계정을 생성할 수 있어 피의자들이 범행에 이용한 것으로 드러났다.

따라서 경찰은 아이핀 발급기관(신용평가 회사 등 본인확인기관)과 관련부처의 철저한 관리감독 필요하다고 주장했다. 각각의 인터넷 사이트는 직접 개인정보를 수집/사용하던 때와는 달리 아이핀의 부정발급 여부를 알 수도 없이 여러 계정이 손쉽게 생성되기 때문이다. 따라서 아이핀 발급기관이 개인정보 도용 여부를 본인인증 수단별로 철저히 검증하는 등 엄격히 확인해야 한다고 지적했다.

결국 본인인증 수단의 미비로 인한 개인정보 도용 부정발급 아이핀은 제도 근간을 무력화 할 수 있으므로 관련부처의 철저한 관리감독이 필요하다는 주장이다.

경찰청 사이버테러대응센터 측은 “방송통신위원회 등 관련부처, 본인확인기관, 카드사 등 유관기관과 함께 이번 수사를 통해 확인된 문제점 등을 검토해, 보다 안전한 아이핀 제도가 시행되도록 노력해야 할 것”이라며 “향후 대포통장과 대포폰의 경우처럼 악용되지 않도록 아이핀 발급에 있어서 명의 대여 방지를 위한 관련법령을 검토하도록 하는 한편, 특히 i-PIN 이외에 동일한 본인인증 절차를 필요로 하는 여타 인터넷 사이트 등에서도 발생할 수 있는 유사범죄에 대해 적극 대처할 방침”이라고 전했다.
[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>