다 털리는 개인정보… 주민번호 대체 아이핀도 뚫렸다

남의 명의를 도용하는 ‘대포폰’ ‘대포통장’에 이어 ‘대포아이핀(i-PIN)’까지 등장했다. 아이핀은 인터넷에서 주민등록번호를 대신하는 인증 수단이다. 아이디와 비밀번호만으로 본인 확인을 할 수 있다. 최근 금융정보 대량유출 사태 이후 주민번호 대체제로 조명을 받았다. 그러나 경찰 수사에서 대포아이핀이 개인정보처럼 거래되고 있는 것으로 드러나 대책이 시급하다는 지적이 나오고 있다.

서울 서대문경찰서는 27일 개인정보를 사들여 되판 혐의(정보통신망법 위반 등)로 조선족 이모(25)씨와 한국인 박모(37)씨를 구속했다. 이씨는 지난해 3월부터 중국 메신저 서비스를 통해 접촉한 중국 스미싱 조직으로부터 개인정보 1만여건을 건당 6000원에 사들인 혐의를 받고 있다. 이씨는 이를 박씨에게 넘겼고, 박씨는 온라인 게임 이용자들에게 되팔아 1억7000여만원을 챙겼다.

이들이 중국 스미싱 조직에서 넘겨받은 개인정보에는 아이핀 700여건이 포함돼 있었다. 스미싱 조직이 한국인 개인정보를 수집한 뒤 이를 활용해 타인 명의로 아이핀 700여건을 발급받은 것이다. ‘온라인상의 주민번호’인 아이핀이 ‘대포’ 신세로 전락한 것은 허술한 발급 과정 탓이다.

아이핀을 발급하는 곳은 안전행정부(공공 아이핀)와 민간업체(민간 아이핀) 3곳이다. 공인인증서와 주민등록증 발급일자 확인 등 까다로운 절차를 거치는 공공 아이핀과는 달리 민간 아이핀은 ‘휴대전화 인증’을 통해 발급받을 수 있다. 휴대전화에 문자메시지로 전송된 인증번호를 입력하면 본인 확인 절차가 끝난다. 간편한 절차 때문에 지난해 12월 기준 전체 아이핀 발급자 1452만명 중 민간 아이핀 발급자가 81.7%(1186만명)나 된다.

중국 스미싱 조직은 수집한 주민등록번호와 휴대전화번호 등을 조합해 타인 명의로 직접 민간 아이핀을 발급받았다. 문자메시지 인증 절차는 스미싱으로 해결했다. 갖고 있던 대량의 휴대전화 번호에 무작위로 스미싱 문자메시지를 보낸 뒤 이를 눌러본 사람의 휴대전화에 악성코드를 심었다. 그리고 이 번호로 아이핀에 가입하면서 휴대전화에 전송된 인증번호를 악성코드를 통해 가로챈 뒤 스미싱 조직의 서버로 전송했다. 휴대전화 주인에게는 문자메시지가 전송되지 않아 피해자들은 자신 명의로 아이핀에 가입된 줄도 모르고 있었다.

정부 관계자는 “민간에서 아이핀 발급 서비스를 먼저 시작했기 때문에 공공 아이핀만 사용하도록 제한하기는 어렵다”며 “다만 정보 유출에 대한 국민 우려가 높아지고 있어 공공 아이핀 활용도를 높이는 방안을 고려해보겠다”고 말했다.

이들로부터 개인정보를 구매한 사람들은 대부분 게임 사이트 이용자였다. 고스톱이나 포커 등 온라인 도박 게임을 하다 보면 이용 정지 등 제재를 받는 경우가 많아 게임 계정을 여러 개 보유하려고 불법 개인정보를 사들인 것이다. 경찰 관계자는 “민간 아이핀은 휴대전화 인증만으로 손쉽게 가입할 수 있어 스미싱 조직의 표적이 되고 있다”고 말했다.

Key Word-아이핀

(i-PIN·Internet Personal Identification Number)=온라인 개인정보 유출에 대비해 2006년 10월 정부가 도입한 인터넷 개인식별번호. 인터넷에서 주민등록번호 대신 신분을 확인하는 수단으로 쓰인다. 주민번호와 달리 생년월일이나 성별 등 개인정보가 들어 있지 않고 변경이 가능하다.

김유나 박요진 기자 spring@kmib.co.kr