주민번호 안 쓰는 인터넷 세상, 신원확인은 어떻게?

2013년 2월 18일부터 포털, 게임, 인터넷 쇼핑몰 등 정보통신서비스 제공자(이하 사업자)는 정보통신망법 개정(2012년 8월 18일 개정, 6개월 계도기간 후 시행)으로 더 이상 가입자 주민등록번호를 수집할 수 없게 됐다(일부 경우 제외). 해킹 같은 외부 공격이나 관리자 부주의 등으로 인한 개인정보 대량 유출을 막기 위해서다.

불과 몇 년 전 우리나라 대형 사이트에서 개인정보가 대량으로 유출된 적이 있다(SK커뮤니케이션즈 3,500만 명, KT 870만 명, 넥슨 1,350만 명 등). 이렇게 유출된 정보는 이름과 전화번호를 이용한 보이스 피싱, 주민등록번호를 도용한 회원가입 등에 악용될 수 있다. 실제로 한 외국 사이트에는 한국인 이름과 주민등록번호 등의 개인정보가 게시돼있고, 이를 이용한 회원가입 절차까지 정리돼있다.

이런 문제 때문에 정보통신망법이 개정된 것이다. 이번 법 개정안이 시행되면서 사업자는 신규가입자의 주민등록번호를 더 이상 수집할 수 없으며, 이미 수집한 정보도 폐기해야 한다. 이를 통해 개인정보 유출로 발생할 수 있는 피해를 어느 정도 예방할 수 있을 것이다.

그런데 만약 주민등록번호를 사용하지 않는다면, 사업자는 사이트에 가입하려는 사용자의 신원을 어떻게 확인할 수 있을까? 그리고 성인 콘텐츠(사행성, 폭력성, 선정성 등)에 대한 접근할 수 있는 사용자를 어떻게 구별할 수 있을까? 지금부터 주민등록번호 대체수단과 달라진 인증방식에 대해서 알아보자.

주민등록번호 대체수단 및 가입 인증수단

휴대폰 인증
휴대폰 인증은 지난 2012년 12월 28일, 방송통신위원회(이하 방통위)가 이동통신 3사를 본인확인기관으로 지정하면서, 휴대폰 번호와 생년월일을 주민등록번호 대체수단으로 사용할 수 있게 됐다. 기존의 아이핀이나 범용공인인증서 등의 인증수단은 보급이 부족해 주민등록번호를 완전히 대체하기에 무리가 있었다. 때문에 국민 대부분이 사용하는 휴대폰을 인증수단으로 사용해, 사용자의 불편을 줄인 것이다(아이핀 보급 496만 건, 범용공인인증서 보급 319만 건, 휴대폰 보급 5,345만 대, 2012년 11월 기준, 방송통신위원회).

사용자는 본인인증 창에 이름, 생년월일, 휴대폰 번호 등 최소한의 개인정보만 입력한 뒤, 휴대폰에 전송되는 인증번호를 입력하면 본인인증이나 실명인증을 할 수 있다. 또한 주민등록번호를 입력하지 않기 때문에 명의도용 같은 사고를 사전에 방지할 수 있는 것이 장점이다. 다만, 휴대폰 번호와 이름 등 일부 개인정보를 입력하기 때문에, 이 정보가 유출된다면 보이스 피싱 등에 악용될 수 있다.

범용공인인증서
우리가 일반적으로 인터넷 뱅킹 등에 사용하는 무료 공인인증서는 본인인증용으로 사용할 수 없는 '용도제한용'이다. 만약 공인인증서로 본인인증까지 하고 싶다면 '범용공인인증서'를 유료로 발급받아야 한다. 개인용 범용공인인증서는 1년에 4,400원(부가세 포함)으로 이용할 수 있으며, 매년 갱신해야 한다. 이것 하나로 인터넷 뱅킹, 온라인 주식거래, 전자민원, 본인인증 등 다양한 용도로 사용할 수 있다. 한국정보인증(www.signgate.com), 한국전자인증(www.crosscert.com) 등에서 발급받을 수 있다.

다만 사용자가 신청서류를 상공회의소 등에 직접 방문/제출해야 하므로 번거롭다(최초 신청시 1회). 뿐만 아니라 휴대폰 인증이나 아이핀 같은 무료 인증방법을 두고 유료 인증방법을 사용할 사람은 많지 않기 때문에 주민등록번호 대체수단으로 많이 사용될지는 의문이다.

아이핀
아이핀(i-PIN, 인터넷 상 개인식별번호)은 사용자가 인터넷 상에서 주민등록번호 대신 사용할 수 있는 '아이디'와 '비밀번호다'. 아이핀을 발급하는 기관을 '본인확인기관'이라고 부르며, 2013년 2월 현재, 3개의 민간기관과 1개의 공공기관이 아이핀을 발급하고 있다. 사용자가 본인인증수단으로 아이핀을 선택하면, 본인확인기관에 등록한 아이디와 비밀번호를 주민등록번호처럼 쓸 수 있다. 이처럼 아이핀은 주민등록번호 유출을 원천적으로 차단할 수 있어 개인정보를 보다 안전하게 지킬 수 있다. 현재 다음, MSN, 네이버 등 266개 사이트에서 사용할 수 있다. 한국인터넷진흥원 아이핀(i-pin.kisa.or.kr)에서 아이핀 발급기관과 아이핀을 도입한 사이트를 확인할 수 있다.

아이핀 발급 민간기관
서울신용평가정보 / 나이스신용평가정보 / 코리아크레딧뷰로
아이핀 발급 공공기관
공공아이핀센터

이메일 인증
주로 해외 사업자가 많이 사용하는 가입인증방식으로, 국내 사업자도 일부 사용하고 있다. 사용자가 회원 가입할 때 이메일 주소를 입력하면, 그 이메일 주소로 가입인증 링크 받아 회원 가입을 마무리하는 방식이다. 이메일 인증의 가장 큰 장점은 사용할 수 있는 이메일 계정만 있으면 개인정보 자체를 입력하지 않아도 된다는 것이다. 만약 필자처럼 인증 전용 이메일 계정을 만들어 사용한다면 개인정보가 유출될 가능성을 대부분 막을 수 있다. 다만 이 인증 방식은 한 사람이 수십 개의 아이디를 만들어 악용할 수 있다는 단점이 있으며, 개인정보가 전혀 없어 주민등록번호 대체수단으로는 사용할 수 없다.

달라진 회원가입 방식

회원가입 방식은 어떻게 달라졌을까? 3대 포털 사이트를 중심으로 알아보자. 사진에 노란색으로 표시한 부분은 각 사이트가 요구하는 개인정보다.

네이버는 생년월일과 이름, 성별 등의 간단한 개인정보를 요구한다. 그리고 휴대폰이나 유선전화를 통해 가입인증을 거쳐야 한다(이는 악의적인 대량가입을 막기 위한 조치다). 여기에 비상(비밀번호 재발급, 아이디 분실 등)연락용 이메일만 입력하면 된다 만약, 가입자가 성인 콘텐츠나 유료 콘텐츠를 이용하고 싶다면, 콘텐츠 이용시 아이핀 등을 입력해 실명확인과정을 거쳐야 한다(최초 1회).

다음(Daum)에는 이메일 인증이나 휴대폰/유선전화 인증을 통해 가입할 수 있다. 인증 과정만 거치면 아이디와 비밀번호만 지정해 가입절차를 마칠 수 있다. 네이버에 비해 가입절차가 간단하고, 입력해야하는 개인정보가 적다. 성인 콘텐츠나 유료 콘텐츠를 이용하려면 네이버와 마찬가지로 아이핀, 휴대폰 인증, 범용공인인증서, 신용카드 등으로 실명확인과정을 거쳐야 한다.

네이트는 현재 SK플래닛으로 통합회원가입을 해야 한다. SK플래닛 아이디 하나로 많은 사이트(네이트, 11번가, 멜론 등)이용하기 때문에 네이버나 다음에 비해 동의해야 하는 이용약관이 많다.

다음과 마찬가지로 회원가입시 이메일 인증이나 휴대폰 인증을 거쳐야 한다. 입력해야 하는 개인정보는 이름, 생년월일, 이메일 주소, 휴대폰 번호 등이다. 성인 및 유료 콘텐츠 이용시 휴대폰이나 아이핀으로 실명확인을 해야 하며, 2013년 2월 25일 현재 범용공인인증서와 신용카드 인증 서비스는 준비 중이다.

글 / IT동아 이상우(lswoo@itdonga.com)