1 개요
한국인터넷진흥원이 주도하는 주민등록번호 대체 인증수단. '인터넷 개인 인증 번호(Internet Personal Identification Number)의 약자이다. 2014년 들어서 개인정보 유출 사건이 대규모로 빈번하게 일어나자, 정부는 이걸 베이스로 마이핀을 만들어 주민등록번호를 완전히 대체한다고 한다. 이뭐병... 자세한 사항은 항목 참고.
2 상세
2006년 정보통신부와 한국정보보호진흥원(現 한국인터넷진흥원)에서 선보였다. 당시 실명 인증이 무력화되어 인증기관끼리 여러가지 본인 인증 수단을 내놓아 네티즌이 불편함을 느끼고 있었고 정부 차원에서 이를 통합할 필요성이 생긴 것이다. 당시 대형 사이트 중에는 마이크로소프트의 MSN이 받아들였다. 2009년에 아이핀 2.0이 도입되었으며 본격적으로 대중들이 인지하기 시작한 것은, 일부 대형 사이트에 대해서 강제 도입을 시행하고 아이핀 전환 캠페인이 시작된 2010년이다. 2013년 들어서 대형 사이트들은 주민등록번호보다 아이핀을 권하는 상황이며, 시간이 지나 웹사이트가 주민등록번호로 인증을 하지 못하게 되자, 그 후로 아이핀 사용자는 증가한 편이다. 해킹 사건 이후로 가입자보다 탈퇴자가 늘어났다만
우선 아이핀을 쓰려면 서울신용평가정보, 나이스신용평가정보, 코리아크레딧뷰로, 공공 아이핀 센터 네 곳중에서 한 곳을 택해서[1][2][3][4]계정을 만들어야 한다. 보통 실명 인증을 거칠 때 가입할 수 있으며 가입시 인증 수단으로 휴대폰, 범용공인인증서, 신용카드[5], 대면확인, 공공아이핀센터에서는 주민등록증 발급일자와 세대원정보를 기입하는 방법 중 하나를 요구한다. 가입하면 계정을 받는 데, 이 계정으로 아이핀 인증을 지원하는 곳이면 어디든지 사용할 수 있다. 만약 14세 미만이고 가입을 하고 싶은데 적당한 인증수단이 없다면 공공 아이핀 센터를 거치면 된다.
회원가입 등 실명 인증이 필요할 경우 아이핀 인증으로 대체할 수 있으며[6], 이때 아이디, 비밀번호와 CAPTCHA를 요구한다. 아이핀 2.0이 도입되기 이전인 2009년 이전에 가입했을 경우 각 기관 사이에 계정 정보를 연동하지 않아서 타 인증기관에 동일한 아이디가 있을 수 있다. 이때는 자신의 인증기관을 택하고찍어도 확률은 1/4로 꽤 높다 원할 경우 ID를 바꾸면 된다. 인증이 완료되면 계속 하던 절차를 밟을 수 있고, 인증 완료 메일을 받을 수 있다.
단, 금융 관련 사이트의 경우 금융실명제의 영향인지 아이핀으로 인증해도 주민등록번호 기반의 실명인증을 추가로 요구한다. 대표적으로 한국장학재단은 아이핀 인증으로 가입할 수 있지만 주요 업무인 장학금/학자금 대출을 위해서는 실명 인증을 진행해야 한다. 아니 그럼 한국장학재단은 왜 아이핀 제도를 도입한거야!!!
3 비판
파일:Attachment/i-PIN/ipindoge.png
우왕 아이핀도지 너 자신을 증명할때 뭐 해 많이 똑똑 후-졌-구-나 아주 안전 |
일단 해외에 살면서 아이핀을 "새로 가입해서" 쓴다는 생각은 하지 말자. 인터넷 후진국 대한민국의 위엄.
2년간의 아이핀 발급 분투기기사1기사1에 대한 행정자치부 설명자료기사2
욕 부분이 빽빽하다[7]
기존 방식: 주민등록번호로 계정 생성 및 본인 인증
현재 방식: 주민등록번호로 계정 생성 및 본인 인증한 아이핀으로 계정 생성 및 본인 인증 어?
높으신 분들의 병크는 끝이 없고 같은 인증을 반복한다.
탁상행정의 대표적인 사례
아이핀은 본인인증을 할 때 공인인증서나 주민등록번호를 쓰지 않으려고 도입되었으나 근본적으로 고정된 별도의 개인식별자를 본인인증용으로 사용하려고 한 시도와 개념 자체가 잘못된 거다. 마치 사용자 계정의 아이디를 계정의 로그인 패스워드로 사용하려고 하는 격이다. 그러다보니 아이핀의 실상은 허구한 날 아이핀 자체가 털리는 동네북이다. 한국은 만악의 근원 때문에 키로깅이 너무나 활발해서 조금만 취약한 지역에서 로그인했다 하면 털리는 관계로 게다가 아이핀 사이트에서 털리지 않더라도 같은 ID/PW을 다른데서 이용하면 털리기 쉽다는 점도 있다. 아 물론, 해킹 안 당하는 놈들은 절대로 안 당한다. 이게 더욱 신기함... 게다가 아이핀 털리면 주민번호 털리니 하나 털리면 둘다 털린다. 추천 사용방법은 귀찮더라도 필요시마다 ID를 생성했다가 파기하는 짓을 반복하는 것이다. 물론 이게 쉽지 않은 사람들에게는 그저 컴퓨터 관리를 잘하는 수밖에 없다.
2014년 초에는 아이핀을 관리하는 기관 중 하나인 코리아크레딧뷰로의 직원이 카드사 개인정보 유출사건을 일으키는 사태마저 발생하였다. 이로서 관리 기관의 내부 통제 역시 매우 중요한 문제로 떠올랐다. 게다가 한 번 해킹당하면 끝인 걸 교과서로 홍보한다. 이쯤 되면 도둑고양이에게 생선 맡기는 수준
또한 오로지 국내에서 개통한 휴대폰이나 신용카드[8], 국내에서 발급받은 범용 공인인증서와 주민등록증[9] 혹은 여권[10] 등으로만 본인 인증을 할 수 있기 때문에 해외동포나 외국인들은 아예 아이핀을 요구하는 한국 웹서비스를 쓰지 못하게 되었다. 주민등록번호와 동급의 본격 쇄국정책 굳이 얻으려면 한국에 체류하며 외국인 등록번호를 얻고 휴대전화나 은행 계좌를 개설하는 방법밖에 없다.
특히 인증절차가 역시 생각보다 복잡하고 혈압이 거꾸로 솟게 만드는 정도로 오류가 나는 경우도 꽤 있어서[11] 관리 기관에 직접 전화나 메일로 문의를 해 봐야 하는 번거로운 상황이 자주 벌어진다. 게다가 인터넷 익스플로러를 제외한 다른 브라우저는 사용할 수 없다. 만악의 근원인 액티브X를 사용한 키보드해킹 보안 프로그램 설치가 필수이기 때문이다.[12]
그나마 민간사업자가 아닌 행정자치부에서 운영하는 공공 I-PIN 사이트에서는 공인인증서(금융거래를 위한 무료)나 주민등록확인시스템(본인과 주민등록등본에 기재되어있는 세대원 한명의 주민등록증 발급일자 필요)으로 발급이 가능하므로 해외거주자도 발급은 받을 수 있게 해놨다. 그런데 해킹 방지 목적인지 해외 IP 차단 옵션이 기본으로 켜져 있으며 일단 로그인을 해야만 옵션을 끌 수 있다. 금고 열쇠는 금고 안에 안전하게 넣어놨습니다. 발급은 된다고 했지 쓸 수 있다고는 안 했다. 이걸 모르고 가입은 되었다는데 로그인이 안 된다는 사람이 부지기수. 일반적인 웹사이트에서 본인의 IP가 차단된 경우 아예 대문에서부터 접속이 안 되든지, 아이피 차단 관련 오류가 출력된다는 게 상식인데, 아이핀의 해외 IP차단은 대문이 아니라 로그인 이후부터 작용하며, 차단되었을 경우 브라우저에 하얀 화면만 뜨고 아무런 오류가 나오지 않기 때문에 이게 해외 IP차단때문이라는 걸 알기가 어렵다. 그리고 안다고 해도 로그인이 안 되니 풀 수가 없다! 이 때문에 관련기관에 전화를 하여 해외 접속제한을 풀어달라고 요청하거나 VPN을 동원해야 하는 등 온갖 삽질을 하게 만들어놨다. 해결방법을 로그인 직후 오류 메시지에 함께 띄워라도 주면 좋은데, 그런 거 없다.[13] 막으라는 해외 해킹은 못 막고 자국민 로그인만 막는 셈. 본인명의의 아이핀 하나 가입하려는데도 이 지경이니 쌍욕이 안 나오는 게 이상하다.
해외에서 아이핀 인증을 하는 경우 IP가 차단되었는데 딱히 차단되었다는 메시지가 뜨는게 아니고 "요청이 실패하였습니다. 다시 시도해주세요."라는 메시지가 뜨면서 '로그인 재시도 -> 이유없이 저 메시지가 뜨는 현상 반복(사실 해외 IP라 차단된 상태) -> 포기'라는 정말 미쳐버리는 상황이 발생한다. 액티브X와 더불어서 인증 자체를 포기해야 하는 상황. 이 경우는 프록시 서버를 이용해서 우회하는게 최선이다. 해외에서 I-PIN 인증 간단히 요약하면 대한민국에 존재하는 프록시 서버를 이용하여 해외에 거주중이지만 내가 입력하는 아이핀이 대한민국에서 입력되는 것처럼 한다는 이야기다. 애초에 이런 사태를 만들었다는게 정말 한국 정보화 수준의 병크. 해외에 있는데 핸드폰 인증하라는 사이트 보다는 양반이다.
결론적으로 정부가 국민 개개인의 정보를 국민들이 우려할 정도로 자주 유출되는 허술한 곳에 모아 보관하여 주 목적이었던 개인정보 보호 개선에 대한 성과를 크게 이루지 못하였다. 또한 그냥 목적만을 생각한 채 상당히 미숙한 등록 절차나 운영 설계를 보여주면서도 아이핀을 여러 국내 웹서비스에 강제화시켜 외국인들과 해외동포 유저들의 발길을 끊은 것을 물론이고 국내 유저들마저 사용에 불편함을 주고 있다. 뭔가 불편함을 개선하겠다는 의지보다는, 주어진 목표에 끼워맞춰 돌려만 놓겠다는 의지를 확실히 느낄 수 있다.
이러다보니 본인인증이 필요할 때 아이핀만 사용하는 사이트는 거의 없다. [14] 주민등록증이나 본인인증을 대체하기 위해 만든 제도인데 아무짝에도 쓸모가 없다! 휴대폰 문자로 일회용 개인번호를 받아 사이트에 입력하는 휴대폰 인증 같은 다른 본인인증 수단과 같이 사용하는 경우가 대부분이다. 좀 더 큰 사이트는 여러가지 본인인증수단을 같이 지원하는 경우도 많다. 그러나 대한민국의 양대 포털인 네이버와 Daum에서 실명 인증은 국내에서 개통한 휴대폰으로만 가능하며, 해외 거주자, 동포, 외국인들에게는 유일한 인증 수단으로 여권 사본과 정보를 요구하기 때문에[15] 불편할 뿐만 아니라 매우 찝찝하다. 네이버/다음 출입국 관리 사무소 온라인 영토도 지키는 대단한 우리나라
여권을 이용한 본인확인의 경우 대부분 거주여권(PR)만 인정하므로, 일반 방문여권(PM)를 가지고있는 유학생이나 해외거주민은 이용할 수 없다. PR여권 하나 만들면 그만이지 할 수도 있겠지만, PR여권을 안 만드는 사람들이 단지 귀찮아서 그러는 것이 아니다. (여권 항목 참고.)
해외 주요도시에 거주하는 유학생이나 해외거주민의 경우, 재외공관에서 범용 공인인증서를 신청하여 발급할 수 있다. 모든 영사관에서 시행하는 것은 아니고, 전 세계 29개 재외공관에서 가능하다. 이후 신청한 공인인증서를 사용해서 아이핀을 가입하는 것이 사실상 유일한 방법.
2015년 이후 2차 비밀번호를 강제로 만들어야 하며, 일정 시간이 지난 후 2차 비밀번호를 반드시 변경해야(!!!!) 아이핀 서비스를 이용할 수 있다. 일정 기간이 지난 후 인증을 하려하면 2차 비밀번호를 변경하는 버튼만 나타나게 되는데, 누른 후 변경하지 않겠다는 취소버튼은 있으나 누르면 인증이 완전히 취소되고 다시 인증을 하려하면 또 2차 비밀번호를 변경하라는 메세지만 출력된다.
해당 아이핀 절차가 하도 복잡하고 문제가 많은 나머지 공공기관 업무나 사이버 접수같은 일은 물론, 아이핀 문제로 범죄신고를 하지 못하는 등의 문제도 굉장히 심각하다.
웃긴 사실을 말해보자면 어느날부터 넥슨에 본인인증 시스템중 아이핀이 사라지고 핸드폰 인증만이 남았는데, 그 이유가 다름아닌 "아이핀 도용 문제"때문이다. 넥슨도 인정할 만큼 얼마나 보안 수준이 낮은지 보여준다.
16년 6월 1일부터 2차인증을 의무화 시행하고 있다. 2차 비밀번호, 모바일 OTP(아이핀 앱 설치 필요), 그래픽인증 중 1가지를 선택해서 사용할 수 있는듯.
그래픽인증
인증값을 0,5,1,8로 설정힌 경우 첫 번째 값(0)에 5,1,8값을 순차적으로 드래그
초기에는 보안플러그인을 요구하지 않았지만, 어째서인지 가면갈수록 보안플러그인 요구하는게 많아진다는것도 문제. IE에서 ActiveX요구하더니 곧이어 크롬이나 파이어폭스 쪽에서도 플러그인 설치를 강요하는 해괴한 현상이 펼쳐지고 있다.
그 외에도 2차인증설정이라고 내놓은게 공인인증서, 본인 + 세대원 주민등록증 발급일자 확인,[16] 동사무소 등 공공기관 '직접 방문'(…)이니 그냥 말 다 했다. 대체 왜 동사무소를 직접 방문하라고 시키는거지? 아이핀 한 번 로그인할때마다 동사무소 가서 하라는건가?!!
게다가 아이디나 비밀번호를 잃어버리면 한 번에 다 안 보여주고 2차인증으로 공인인증서나 세대원 주민등록증 발급일자 확인을 요구하니 불편하기 짝이 없다. 대체 왜 그러는건데!!! 아이디 그냥 보여달라고! 뭔 공인인즈엇가 또 필요해!! 공인인증서가 자기 컴퓨터나 휴대폰 내에 있다면 또 모를까, 그런 거 없는 상황이라면 그냥 닥치고 공인인증서 발급절차부터 밟아야하니 그냥 혈압이 확 올라온다. 기본 절차만으로도 충분히 복잡해서 욕먹고 있는데, 아이디/비번 찾기까지 복잡하니 한 번 잊어버릴 때 공인인증서나 주민등록증 발급일자 확인수단이 없는 상황이라면 정말 곤란하기 그지없다. 공인인증서 설치할 때 그놈의 엔프로텍트 또 깔아야한다고 생각해봐라
게다가 대법원의 가족관계증명 시스템과도 연계가 안되어있어서 14미만 아동의 아이핀 발급이 필요 할때 등본 상 세대주-자녀가 아닌 경우는 죄다 주민센터 방문밖에는 발급 방법이 없다. 아니 가족관계증명서 보내주겠다고!!! 팩스랑 이메일이랑 다 있는데 왜 받질 못하니! 이건 심각한 문제인데 대부분의 가정을 단순히 부모와 자식만이 사는 핵가족으로만 보고 3대가 같이 산다든지 부모가 없고 조부모와 같이 사는 아동이라던지 등등의 경우의 수는 모조리다 차별당하는 것이다. 행자부 공무원들 일하는게 그렇지 뭐
결정적으로 말하자면 2차인증을 괜히 끼워넣어서 안 그래도 비효율적인 일처리를 더 비효율적으로 만든 셈.
4 해결책
간단하다. 이딴 건 폐지하면 된다. 허나 폐지하질 않고있다
주민등록번호나 아이핀의 문제점은 원래 여러 사람을 서로 구분하는 개인식별용으로만 써야 할 고정된 주민등록번호를 마치 패스워드처럼 개인을 확인하는 개인인증 수단으로 사용하면서 생긴 문제이다. 사실 근본적으로 자체적인 문제지만...굳이 좋게 포장하면 이렇다는 말임. 그러므로 그 해결책은 주민등록번호를 개인식별자(identifier)로만 사용하게 하고 개인인증용(authentication)으로는 쓰지 못하도록 법률로 금지시키면 된다. 그러면 주민등록번호가 공공연히 공개된다 해도 타인으로 신분을 도용하는 데 주민등록번호를 사용할 수 없으므로 번호 유출의 부작용이 없어지고, 따라서 굳이 주민등록번호를 대신할 아이핀 따위도 필요 없어진다. 주민등록번호가 널리 사용되어 사생활이 추적되는 문제도 HMAC 해쉬 등으로 추적이 불가능하게 할 수 있다.
아니면 주민등록번호나 아이핀을 대신하여 본인 인증을 할 수 있는 개인 인증 수단을 만들 수도 있을 것이다. 예를 들어 비밀 패스워드라든가 OTP라든가 핸드폰 문자메시지 인증이나 신용카드, 공인인증서 인증과 같은 주민등록번호를 사용하지 않은 개인인증 수단을 활용할 수 있다. 아니면 주민등록증이나 여권 만들듯이 아이폰5S 이상의 터치ID 등의 방법으로 인근 동,면,읍 사무소에서 인증하고 서드파티 앱처럼 지문을 인식하면 그것으로 인식한 후 서버로 전송시키는 방법도 있다.
또한 개인인증과 성인인증을 분리하여 개인인증을 하지 않고도 성인용 게임이나 셧다운제 면제를 위한 성인인증을 받을 수 있는 수단을 개발하여야 한다. 예를 들어 핸드폰 문자메시지나 신용카드 승인 방식으로 이름이나 생일 등의 개인정보 입력 없이도 간단히 성인인증을 받을 수 있다.
국내 인터넷에서 주민등록번호나 아이핀 같은 개인정보를 불법적으로 수집, 유통하는 동기, 또는 개인정보가 유출되어 생기는 대표적인 부작용이나 피해 중 대부분이 인터넷 게임의 가짜 계정 생성이나 셧다운제 및 성인인증 회피 등에 관련되어 있어서 이를 근본적으로 해결하지 않고서는 개인정보 유출 사고나 도용사고를 막기 어렵다. 사실 얘기한다고 들어주지도 않겠지만..
5 사건 사고
2010년 6월, 불법 유출된 주민등록번호로 아이핀을 발급한 사례가 적발됐다.관련기사
2015년 3월, 아이핀발급사이트중 하나인 공공아이핀이 해킹당해서 75만건의 부정발급이 발생했다고 한다. 관련기사
공공아이핀 해킹사건으로 아이핀 탈퇴자가 이틀간 천여건이 넘어다고 한다. 관련기사
3월 10일 정부는 공식사과 하고 대책을 마련 하기로 했다. 관련기사
- ↑ 아이핀 2.0 도입 이전에는 한국정보인증과 한국신용평가정보(현재는 나이스신용평가정보와 합병)함해 6곳이었고, 연동 따위는 하지 않고 있었기 때문에 각각 일일이 가입할 필요가 있었다.
- ↑ 한국인터넷진흥원에서 발급시 공공아이핀센터를 제외한 세 곳 중 무작위로 하나가 선택된다.
- ↑ 참고로 저중에서 인지도가 높은곳은 나이스아이핀. 우리가 평소 알고 있는 아이핀로고도 사실 나이스아이핀로고이니...
- ↑ 공공아이핀의 경우 군 사지방 IP를 해외IP로 인식하는 지 오류가 발생한다. 나이스 아이핀의 경우에는 정상 인증 된다.
- ↑ 2014년부터 폐지
- ↑ 아이디/비밀번호 찾기 같은 경우는 해당 계정이 아이핀으로 인증되었거나 전환되어 있어야 한다. 아닌 경우 타 인증수단을 이용.
- ↑ 당연한 말이겠지만, '상콤하다' '편리하다' '신뢰감' 같이 긍정적인 체험을 드러내는 단어는 하나도 없다. 출처
- ↑ 개인정보 유출사건 이후로 신용카드를 이용한 본인인증은 중단되었다.
- ↑ 행정안전부 공공아이핀 전용. 본인뿐만 아니라 주민등록상 세대원의 주민등록증 역시 가지고 있어야만 가능하다.
솔로지옥 - ↑ 재외국민 전용으로 일반 여권이 아닌 거주 여권(PR여권)만으로 가능하다.
- ↑ 예를 들어 세대원 주민등록번호 발급일자를 제대로 입력해도 다시 확인하라고 뜨고 다시 입력하면 입력정보가 틀린다고 나오고 메인 화면으로 되돌아간다.
- ↑ 2016년 8월 기준 Java를 사용하는 것으로 확인. 다만 구글 크롬의 경우 자바를 설치하라고 해서 설치했더니 또 자바를 설치하라고 뜬다(...)
- ↑ 그런 오류메시지가 해커에게 도움을 줄 수 있다고 판단했는지도 모른다.
근데 어차피 IP차단만 갖곤 소용없다니깐.. - ↑ 아프리카TV는 한다. 14세미만 회원가입에서 확인되었다. 배틀넷도 아이핀만으로 인증이 된다.
- ↑ 다만 네이버 도움말에 나온 예제 여권사진으로 미루어 일반 여권으로도 가능한 걸로 보인다.
- ↑ 운전면허증 발급일자는 인정되지 않는다는 점을 유념하자. 오직 '주민등록증' 발급일자만 인정된다.