아이핀에 대한 뉴스를 검색해보면 별로 진척되는 내용도, 진행되는 사항도 없는 듯 하다.

몇몇 회사들에서 아이핀을 도입하고는 있지만, 아이핀의 필요성보다는 아이핀 적용 대상이 되었기에 도입을 발표하는 과정이다.

아이핀에 대한 문제점들은 여기저기서 지적되고 있지만, 이러한 문제점에 대해서 방통위는 공식적이든, 비공식적이든 아무런 언급이 없는 실정이다.

아이핀의 도입에 대해서 관심이 필요할 듯 싶다.

다음은 국내법 또는 국내 환경과 대치되기 때문에 이슈이거나 이슈가 될 사안들을 정리한 것이다.

1. 아이핀
아이핀은 국내의 실명제를 위해 2015년부터 강제도입될 제도이다. 실명제의 경우 구글과 같은 세계적 서비스에서는 정책적으로 도입할 계획이 없기 때문에 유튜브의 경우에는 한국에서는 댓글을 쓰지 못하도록 하는 방책을 세우고 있다.

2. 공인인증서
공인인증서는 국내에서 인터넷상의 결제를 위해서 채택한 기술로 공인인증서가 갖고 있는 강력한 암호화와 다양한 기능으로 어느 정도 결제상의 안정성을 제공하고 있다. 하지만, 공인인증서는 Internet Explorer상에서 ActiveX기술을 이용해서 대부분 활용되기 때문에 실질적으로 결제를 위해서는 제한된 플랫폼에 종속되는 문제점을 갖고 있다. 실질관할부처인 행자부의 경우 IE가 국내에서 90%이상 사용되기 때문에 실질적으로 문제가 없다는 입장이지만, 다른 웹브라우저나, 외국에서 국내서비스를 사용해야 하는 경우에는 결제가 불가능하다. 또한, 최근 모바일 브라우저들의 경우 ActiveX를 지원하지 않는데, 행자부는 모바일상에서도 반드시 공인인증서만 사용해야 한다는 입장을 밝혀서 문제가 되고 있다.

3. 게임 등급제
국내에서는 저연령 사용자들을 위해서 게임에 등급제를 채택하고 있다. 폭력적이거나, 선정적인 게임의 경우 게임등급제를 통해서 사용연령의 제한을 받아야 한다. 기존에는 이러한 게임의 출시가 국내에서 이뤄지게 될 경우 영등위의 심의를 대부분 받아서 문제가 없었지만, 최근 앱스토어, 안드로아드마켓등과 같이 국가에 종속되지 않는 어플리케이션 마켓이 활성화 되면서 이러한 게임등급제와 마찰을 빚고 있다. 애플의 앱스토어는 국내의 경우 게임을 판매하지 않고 있으며, 구글의 안드로이드마켓의 경우도 국내 게임 등급제를 적용받지 않기를 원하고 있다.

4. 소셜네트워크서비스(SNS)
Social Network Service(이하 SNS)는 단순한 사생활의 전파뿐만 아니라 인터넷 미디어 매체의 대용으로 많은 사용자들이 참여하고 있는 서비스이다. 페이스북, 트위터, 블로그, 미니홈피 등등 이러한 SNS서비스는 매우 다양하고 전세계적으로 큰 영향력이 있다. 하지만, 국내에서는 실명제와 더불어 선거와 연계해서 불법적인 언론플레이의 문제점으로 인해서 서비스의 제한을 언급하는 여론이 적지 않다. 실제로 2010년 선거에서는 트위터같은 서비스에서의 선거운동을 허락하지 않는다고 했는데, 기술적으로나 정책적으로 외국의 서비스에 이러한 제약을 거는 것은 거의 불가능하다.

5. 검색서비스의 질적향상
검색서비스는 구글, MS의 빙, 네이버, 다음과 같은 서비스들의 비약적인 발전으로 매우 다양하면서도 방대한 검색을 가능하게 하고 있다. 하지만, 국내의 관공서와 대기업들은 이러한 검색을 여러가지 방법으로 막음으로써, 사용자들의 인터넷상의 접근성을 매우 제한하고 있다. 실제로 검색되어서는 않될 자료들도 있지만, 기술상의 오남용, 기획의 부재, 막연한 불신등으로 무작정 검색을 막음으로써 사용자들은 검색이 아닌 순차적인 사이트 접속을 통해서만 정보를 접해야 하는 불편함을 경험하고 있다. 실제로 관공서에서는 검색이 제대로 되지 않기 때문에 민원인이 해당 사이트를 일일이 뒤져야만 원하는 정보를 찾을 수 있다. 중국의 경우에는 구글에게 검색의 제약을 강요함으로써 구글이 중국서비스 철수가 거의 확정적이고 있다.

기술의 발전이 반드시 좋은 것은 아니므로, 모든 기술제공자들에 따라야 하는 것은 아니다. 국내법이나 환경들도 제약만을 위한 것은 아니기 때문이다. 하지만, 이러한 기술적 발전에 따라 법도 같이 발전하고 개발되어야 하는데, 그렇지 못한다면, 국민들은 적절한 서비스를 받지 못하거나, 잘못된 서비스를 받아야만 하고, 부랴부랴 법제정과 법집행은 오히려 국민(사용자)들의 불만만 쌓이게 할 뿐이다.

IT종사자들은 기획, 개발, SI에만 힘을 쏟을 것이 아니라 기술의 발전이 법과 밀접하게 적용될 수 있도록 해야 하는 새로운 분야에도 힘을 쏟아야 한다.

초기 아이핀에 대한 취약점 분석 자료입니다. 이 자료는 이미 개선된 내용이므로 현재 내용이 크게 부각될 필요는 없지만, 아이핀을 연구하는 분들에게는 초창기 아이핀의 설계, 의도, 작동방법등을 살펴보기에는 좋은 자료입니다.

요약

아이핀 서비승에 대해서는 필요성과 문제점등이 많이 존재하고 있다. 아이핀의 경우 사회적으로 익명성과 관련된 다양한 문제들로 인해서 발생하는 비용때문에라도 어느정도 활성화에 필요한 의견들이 수렴되고 있음에도 불구하고 아직 활성화가 되지 못하고 있는 실정이다.

아이핀이 단순히 정부차원에서 실시되는 정책이기 때문에 언젠가는 실현이 될 것이라고 막연하게 생각할 수 있겠지만, 그렇기 때문에 쉽게 기능개선이나 문제점 해결이 되지 않는 부분들도 존재한다고 생각된다. 정부정책적인 부분에서의 효율성 개선은 좀 아직까지는 요원하기 때문이다.

아이핀 서비스의 활성화를 방해하는 요인들을 살펴보면 다음과 같이 요약될 수 있다.

1. ActiveX 의존적인 서비스 방식 및 단일로그인의 탈을 쓴 불필요한 로직개선 미흡
보안을 위해서 ActiveX를 쓴다고는 하지만, 아이핀이 단순하게 PC상의 웹브라우저에서만 사용될 기술이 아니라면 다양한 디바이스와 환경에서 사용될 수 있도록 하나의 기술에 종속되어져서는 않될 것이다. 하지만, 현재 본인확인기관들에서는 너무나도 손쉽게 ActiveX를 이용한 보안만을 제공하고 있다. 이래서는 현재도 불편한데 어떻게 다양한 환경에서 아이핀이 적응할 수 있겠는가. 그리고, 아이핀 2.0에서는 단인로그인 서비스를 가능하게 할 수 있는 방안을 제안했지만, 실제로 보면 단일로그인이 아니다. 조금만 개선을 하면 그나마 개선가능할텐데 그걸 못하고 있다. 본인확인기관들과의 업무협조가 제대로 되지 않거나, 그걸 해결할 만한 협력체나 방안이 없는 듯 싶다. 신뢰게이트만 조금 손을 봐도 로그인 절차가 효율적으로 변하는 것을 그림을 통해서 확인해볼 수 있다.

2. 아이핀은 대체 인증 수단일 뿐
어떤 서비스를 들어가 보아도 아이핀을 쉽게 찾을 수는 없다.
국내에서 가장 큰 네이버의 경우 회원 실명 확인을 위해서 가장 먼저 할 수 있는 것은 "이름/주민번호"를 이용한 것을 첫번째로 요구하고 있다. 아이핀은 이러한 실명이 싫은 사람이 선택하는 방식인 것이다. 아이핀의 활성화를 위해서는 아이핀이 최우선적으로 인증확인방법이 되어야 할 것이다. 그렇지 않으면 누가 번거롭게 아이핀을 알려고 하겠는가.

3. 본인확인기관은 정말 믿을 수 있는 기관들인가?
아이핀은 나의 개인정보를 본인확인기관에 제공하고 거기서 발행하는 가상주민번호를 발급받아서 사용하는 것이 주된 방식이다. 그런데 나는 어찌 되었든 나의 개인정보를 본인확인기관에 제공해야 한다. 그럼.. 본인확인기관은 믿을 만한 곳인가?
본인확인기관은 사용자의 주민등록번호를 본인확인기관이 직접 관리할 수 있다. 현재 아이핀 체제에서는 그렇다. 그럼 해커들은 본인확인기관의 해킹을 통해서 정확하고 다량의 사용자 정보를 취득할 수 있는 방법이 생기고, 본인확인기관들은 이러한 해커들의 공격대상이 될 수 밖에 없다. 또한, 본인확인기관들의 보안관련된 경험이나 기술을 실제로 어디까지 믿어야 하는지도 아이핀을 사용해야 하는 국민의 입장으로 매우 우려가 되는 부분이다. 본인확인기관들이 아이핀서비스를 통해서 얻은 개인정보를 만일 마케팅에 활용하고자 한다면.... 그 후유증도 만만치 않을 것이다.

4. 아이핀도입하는데 돈이 얼마나 들길래 아직도 사업자들이 도입을 안한는 건지?
그렇다. 결국 돈이다. 아이핀 도입 매뉴얼이나 기타 관련 자료들을 보면 도입비용이 얼마않든다고 되어있지만, 최문순 민주당 의원은 2008년 9월 방송통신위원회에 대한 국정감사에서 인터넷 사업자들이 I-PIN에 적극적이지 않은 이유로 비용 문제를 언급했고, I-PIN으로 전환할 경우 업체의 규모에 따라 500만원에서 11억 원까지 비용이 들어간다는 분석을 발표하였다. 돈이 많이 드는 것이다. 또한, 도입을 하였다 해도, 본인확인기관들을 통해서 지속적으로 개인정보를 확인해야 하는 절차가 있기 때문에 건당 16~60원의 비용을 사업자들이 지불해야 한다. 방송통신위원회는 이용자수에 따른 인증비용이 연 100만원내외라고 하고 있지만, 실제 적극적으로 도입된 후에 비용은 그 이상일 것이라고 쉽게 상상이 가지 않는가?

5. 홍보 부족으로 아무도 아이핀을 모른다.
내 마누라도 모르고, 옆집사는 개똥이도 아이핀을 모른다. 결국 아무도 모르는 서비스는 아무도 쓰지 않게 된다는 것이다. 2008년 9월 16일 국회 문화체육관광 방송통신위원회 소속 한나라당 최구식 의원에게 제출한 “I-PIN 이용현황 실태조사 보고서”에 따르면 I-PIN 서비스를 채택한 Naver와 Daum에서 I-PIN의 이용률을 조사한 결과 각각 0.2%에 불과한 것으로 보고되었다. 2009년 1월 이후로 I-PIN의 누적 발급건수의 증가가 월 200건밖에 되지 않으며, 2008년 I-PIN 발급 캠페인이 끝난 직후로 실질적 증가가 둔화된 것을 알 수 있다
지상파 방송이든, 케이블방송이든, DMB방송이든, 웹배너이든, 아니면 드라마 PPL을 이용하든지간에 광고를 하고 사용하는 방법을 홍보해야 아이핀은 사용이 되어질 것이다. 그렇지 않으면 정말이지 몰라서 못쓸것이다.

6. 아이핀은 국내에 한정된 서비스 모델이다.
주민등록번호를 대체한다는 것 자체가 매우 한정된 모델이기 때문이다. 단순한 로그인을 위한 과정이 아니라 실제 사람을 확인하겠다는 것이기 때문에 다른 외부 서비스들과 연계가 않된다. 연계가 않되면 국내야 법으로 어떻게 사용되겠지만, 외국의 서비스들과는 매우 불편한 관계가 형성된다. 그나라 법과도 불편해지고, 서비스 연동을 위한 기술협력도 불편해진다. 서비스 모델의 기본프레임을 다시 설정해서 확장성 있게 서비스를 다시 설계해야 한다. 그렇지 않으면 차후에 더 많은 비용을 발생시키게 될 것이고, 서비스는 고사될 가능성도 갖게 될 것이다.

7. 그래도 결국 주민등록번호는 사용이 된다.
아이핀의 목적이 주민등록번호를 사용하지 못하게 하는 것이지만, 온라인이에 아무리 아이핀이 활성화 된다고 해도, 오프라인에서 돌아다니는 주민등록번호로 인해서 온라인의 아이핀은 해킹당할 가능성이 매우 높게 된다. 아이핀의 해킹은 주민등록번호를 포함한 정보를 알수만 있다면 쉽게 해킹이 가능하기 때문이다. 기존의 주민등록번호체계의 변화가 매우 중요하다.

이렇게 아이핀의 활성화에 장애가 되는 문제점들은 적지 않으며, 이러한 문제점들을 해결하지 못하면 아이핀의 활성화는 아이핀의 장단점을 떠나서 쉽사리 정착되지 못할 것이다.

아이핀의 형식적인 도입배경은 웹서비스간에 공공연히 만연하는 익명성의 문제점으로 인한 사회적 비용의 증가를 억제하고, 주민등록번호의 유출로 인한 개인정보피해를 막기 위해서 정보통신부를 중심으로 시작된 개인인증번호 서비스로 현재는 방송통신위원회에서 주관하여 진행중인 프로젝트이다.

아이핀의 실질적인 도입배경은 2002년 노무현 민주당 후보가 민주당 대통령 후보가 되는 과정에서 인터넷을 통한 선거참여가 발단이 되었다. 노무현 민주당 후보가 당내의 부진한 세력을 결집시킨 것이 인터넷을 통한 선거참여인단의 활동이였고, 이러한 인터넷의 도움을 통해서 결국 대통령으로 당선이 되었다. 이러한 사태를 통해서 한나라당에서는 불법일 수 있는 인터넷을 통한 선거운동을 막기 위해서 실명제를 활성화 할 수 있는 방안을 모색하기 시작하였고, 이것이 실질적인 아이핀의 도입의 시발점이 되었다. 즉, 아이핀의 목적은 실명제를 실현함으로써 게시판등에 익명으로 불법이 될 수 있는 글들을 쓰지 못하게 하는 것이 가장 큰 목적이였다. 그와 함께 개인정보유출의 문제점을 가장 크게 갖고 있는 주민등록번호를 대체하는 것도 또다른 목적이 된 것이다.

현재 방송통신위원회는 2015년까지 인터넷에서 주민등록번호를 전면적으로 사용하지 않는 것을 목표로 하는 "인터넷 상 주민등록번호 대체수단(I-PIN)이용 활성화 기본 계획"을 2008년 4월 31일 발표하였으며, 기존의 아이핀 문제점을 개선한 아이핀 2.0을 개발 보급하고 있다.

I-PIN 서비스의 도입 경과는 아래와 같다.

● I-PIN 서비스 도입 검토 : 05.02

● 본인확인기관 선정기준 마련 : 05.08

● I-PIN 서비스 도입에 관한 전문가 논의 : 05.10

● 관공서를 통한 시범서비스 실시 : 06.08

● I-PIN 서비스 도입개시(인터넷상 주민등록번호 대체수단 가이드라인 정책 수립 발표) : 06.10

● I-PIN2.0 서비스 도입 : 09.07

아이핀의 시장 상황을 살펴보면 그렇게 좋지많은 않다. 아이핀을 실질적으로 도입한 사이트들이나 서비스가 그렇게 활성화 되어 있지 않기 때문이다. “주민등록번호 외 회원가입수단 도입 대상 사업자 공시 (2009.6)”를 살펴보면 방송통신위원회는 2008년 10월 1일부터 12월 31일까지 일일 평균 이용자수가 포털 5만 명 이상, 게임, 전자상거래, 기타 1만 명 이상인 정보통신서비스 제공자 웹사이트를 선정하여 I-PIN을 도입해야 하는 웹서비스 제공자로 규정하였다.[13] 총 1039개 웹사이트에 911개 사업자가 선정 되었고, 2009년 6월 26일부터 2010년 3월 27일까지 9개월 동안 “정보통신망 이용촉진 및 정보보호 등에 관한 법률” 제 23조의2에 따라 주민등록번호 외의 회원가입 방법을 제공하는 준비기간을 설정하였다.
포탈의 경우 총 16개 웹사이트의 14개 사업자가 선정 되었다. 게임업체의 경우 총 48개 웹사이트에 43개 사업자가 선정이 되었다. 그밖에 전자상거래는 총 198개 웹사이트에(184개 사업자), 기타 777개 웹사이트(670개 사업자)가 선정 되어 I-PIN 서비스를 도입하였거나 준비 중에 있다.

방송통신위원회의 이러한 발표에 대하여 시장에서는 개인정보유출 및 도용에 들어가는 비용을 절감할 수 있다는 반응도 있으나, 실효성에 의문을 제기하는 목소리도 적지 않다. I-PIN 서비스에 가입 하여도, 이벤트 참여나 아이템 구매를 하기 위해서는 또 다시 개인정보를 확인 받아야 하는 절차 때문에 이중 확인 절차가 발생하며, 이것은 I-PIN 서비스의 도입취지에 어긋난다는 것이다. 특히 게임업체의 경우 이러한 이중절차는 아이템 구매에 따른 수익구조에 있어서 매우 불리한 상황을 만들 수 있어서 꺼리는 입장이다.

 

구 분	I-PIN1.0	I-PIN2.0
본인확인기관수	5 개	4 개(그린버튼 제외됨)
로그인 방식	I-PIN 번호, I-PIN ID를 본인확인기관의 정책에 따라서 선별적으로 사용	I-PIN ID만을 이용해서 로그인
본인확인기관 확인방식	사용자가 자신의 I-PIN ID에 맞는 본인확인기관을 인지하고 있어야 함. 모를 경우 검색을 통해서 해당 본인확인기관을 찾아야 함	신뢰 게이트를 통해서 본인확인기관을 I-PIN ID를 이용해서 자동으로 검색해줌
I-PIN 번호 알림	본인확인기관의 정책에 따라서 I-PIN번호를 가입시 알려주기도 하며, 사용자는 I-PIN 번호를 인지하고 있어야 함.	I-PIN 번호를 기본적으로 알려주지 않음. 발급내역 조회 등에서는 본인확인기관에 따라 알려주기도 함.
I-PIN 할당방식	사용자별 I-PIN할당방식과 (사용자+서비스)별 I-PIN할당 방식 혼용	사용자별 I-PIN할당방식으로 통일
I-PIN UI	본인확인기간에 따라 처리 프로세스가 다를 수 있었으며, 가이드라인의 정도가 강하지 않음.	대부분의 처리 프로세스를 통일하였고, 일관된 UI제공 정도가 강함.
본인확인절차	본인확인기관에 따라 본인확인절차의 차이가 있음	공인인증서, 신용카드, 휴대폰, 대면확인, 이메일로 통일된 본인확인절차 제공
연계정보 제공여부	별도의 연계 정보를 제공하지 않음(DI만 제공)	연계정보 제공을 통해서 다른 사이트에서 사용자의 별도 로그인 없이 인지 가능(CI별도 제공)
오프라인 연계 정도	오프라인과의 연계가 불가능	CI변환모듈 지원을 통해서 오프라인 지원 가능

아이핀은 2.0으로 넘어오면서 몇가지 특징을 가게 된다. 그러한 특징들은 기존의 아이핀 1.0에서 갖고 있던 문제점들을 해결하기 위해서 추가된 내용들이다.

1. 단일 로그인 시스템 도입 가능

I-PIN 코드에는 I-PIN을 발급한 본인확인기관의 코드 2자리수가 포함이 되어 있으나, 그동안 I-PIN으로 인증을 받기 위해서는 사용자가 자신이 I-PIN을 발급 받은 본인확인기관을 선택한 후에 인증을 진행하는 과정을 거쳐야 했으나 I-PIN2.0에서는 이러한 방식을 개선하여 식별ID를 이용하여 I-PIN코드를 확인하고, 그 안에서 본인확인기관을 인식한 후에 해당 본인확인기관의 팝업창으로 자동 이동하는 방식을 채택하였다. 즉, 사용자는 자신이 I-PIN을 발급받은 본인확인기관을 더 이상 기억하지 않아도 시스템에서 자동으로 확인할 수 있게 된 것이다

<아이핀 1.0에서의 로그인 화면 : 본인확인기관을 선택한 후 로그인해야 했다.>

<아이핀 2.0에서의 로그인 화면 : 아이디를 통해서 본인확인기관을 자동으로 확인해준다.>

하지만, 아직도 식별ID를 선택한 후에 발급기관을 확인해야 하는 불편함은 존재하고 있다. 기존 1.0에서는 자신이 발급받은 본인기관을 정확히 알고 있으면 “아이디입력->비밀번호입력->확인” 의 3단계 작업이 “I-PIN입력->발급기관확인->비밀번호입력->확인”으로 매번 4단계의 입력확인 과정을 거치게 되었다는 점이다. 이러한 문제점도 각 발급기관간의 아이디정보와 I-PIN 정보가 상호 연동이 가능하게 되면 본인확인기관을 알지 못하더라도 “아이디입력->비밀번호입력->확인”으로 로그인을 쉽게 처리할 수 있다.

2. 연계정보 제공

I-PIN2.0에서 웹 서비스 제공자는 본인확인기관으로부터 연계정보(Connecting Information, CI)를 본인관련 정보로 내려 받을 수 있도록 가이드라인을 제시하고 있다. 연계정보는 I-PIN 시스템이 특정 개인을 식별하기 위한 식별정보를 웹 사이트 별로 다르게 제공하고 있어 같은 사용자임에도 불구하고 동일인임을 식별할 수 없는 문제점을 해결하기 위해 새롭게 만들어진 정보를 말한다.

연계정보가 도입된 I-PIN2.0에서는 주민등록번호를 통해 가입한 경우에도 I-PIN과 연계될 수 있도록 지원하고 있으며, 주민등록번호를 연계정보로 변환하는 기능도 사업자 요청 시 본인확인기관에서 제공하도록 하고 있다. <그림>에서와 같이 중복정보(Duplication Information, DI)만을 갖고는 각 웹사이트에서 본인확인이 어려웠으나, 본인확인기관에서 사용자를 인식할 수 있도록 공통의 임의 값을 각 웹사이트마다 전송해 주게 되면 웹사이트에서는 연계정보의 확인만으로 동일사용자임을 알 수 있게 된다.

연계정보는 I-PIN2.0에서 오프라인과의 연계를 강화할 수 있도록 하였다. CI변환모듈을 이용하여 오프라인에서도 사용자의 주민등록번호로서 연계정보를 확인할 수 있기 때문이다. 이렇게 CI를 활용하여 오프라인에서도 고유 사용자를 인증할 수 있게 되면서 온ㆍ오프라인 모두에서 I-PIN을 이용한 사용자 인증이 가능해진다