웹사이트 구축 시, 회원가입 프로세스는 굉장히 중요한 부분이면서도, 대부분 자칫 소흘히 넘어가기 쉽다. 특히 얼마전부터 리니지 사태나 기타 언론의 다양한 입질들 덕분에 주민번호 도
용에 대한 심각성이 대두되면서 정부에서는 부랴부랴 관련 개정안을 발표했었다.
[관련 기사]
+ “나도 모르는 사이 ‘두 개의 분신’이 네이버에 ‘둥둥'”
+ ‘가상 주민등록번호’ 도입 따른 개인정보 유출 대비를
+ 주민번호 대체 ‘아이핀’ 확대해야
오프라인에서 개인 식별 번호로 사용되던 주민등록번호를 인터넷에서 이를 대체할 개인 확인 정보를 활용하겠다는 것이다.
아이핀(i-PIN) : Internet Personal Identification Number의 영문 이니셜을 따온 용어로, 기존에 인터넷에서 사용되어왔던 주민등록 번호 대신 본인 확인에 이용되는 주민등록번호 대체정보
여튼, 일부 정부기관 웹사이트들은 가상주민등록번호를 기존 주민등록번호 대신해서 회원가입시에 고유값(Primary Key)으로 받고 있다. 한 예로 한국통신연구진흥원과 한국정보산업연합회의 한이음 웹사이트(http://www.hanium.or.kr/)는 이러한 회원가입 프로세스를 적용하여 진행하고 있다. 당장 많은 웹사이트들이 이와 같은 프로세스로 적용하기에는 다소 무리수가 따르지겠지만, 주요 기관과 대형 포털 사이트들을 중심으로 서서히 개편해 나갈 것으로 보인다.
그럼, 먼저 한이음 웹사이트의 회원가입 프로세스를 통해서 가상주민번호 발급까지의 절차를 살짝 둘러보면,
① 한이음 웹사이트 회원가입 여부 확인 절차
기존 가입여부를 1. 이름과 주민등록번호를 통해서 확인하거나, 2. 가상주민등록번호만으로 확인한다.
② 약관동의 절차
한이음 사이트의 개인정보와 이용에 관한 약관에 관한 내용이다.
③ 본인인증 절차
새로이 도입된 가상주민번호를 통한 본인인증 절차다. ‘가상주민번호발급’과 ‘가상주민번호확인’ 두 개의 버튼 모두 가상주민번호 발급기관인 V-Number Service(http://www.vno.co.kr) 웹사이트로의 out link를 제공하고 있다.
④ 가상주민번호 발급받기
한국신용평가정보에서 주관하는 가상주민번호 발급을 위한 웹사이트 첫 화면이다. 아래 그림은 가상주민번호의 발급을 위한 절차를 상세하게 보여주고 있는 화면이다.
자, 그럼 이제 본격적으로 발급에 들어가 보자.
⑤ 약관동의 및 주민등록번호 실명확인 절차
사실 이 부분부터 어찌보면 상당히 웃긴 부분이기도 하다. 가상주민번호를 발급받기 위해, 결국은 다시 어떤 사이트에 기존의 주민등록번호를 써서 또 가입을 해야한다는 다소 어설픈 장치가 아닌가 하는 생각을 하게 만든다. 어찌되었든, 약관에 동의하고 늘 하던대로 주민등록번호와 이름을 넣고 확인을 누르면 다음 프로세스로 이동한다.
⑥ 가상주민번호 사용을 위한 정보 입력 절차
역시 예상대로 기본적인 가입절차를 밟아야 한다. 아이디와 이름, 주민등록번호, 비밀번호, EMAIL 등의 필수입력 항목을 기입하면, 아래와 같은 최종 목적지인 가상주민번호가 발급된다.
⑦ 발급된 가상주민번호 확인 절차
발급된 가상주민번호는 기존에 쓰이던 주민등록번호와 같은 자리수(6자리-7자리)를 제공한다. 예를 들어, 123456-1234567과 같은 형태의 나만의 고유한 인터넷용 주민번호가 발급되는 것이다. 웹사이트에 붙여넣기 편하라고 친절하게도 ‘-‘ 가 있는 버젼과 없는 버젼으로 구분까지 해 준다. (쓸데없는 친절..-_-;;)
⑧ 한이음 웹사이트의 ③ 본인인증 절차
자, 그럼 발급받은 가상주민번호를 이름과 함께 기입하면, 아래와 같이 Confirm창도 아닌, 무시무시한 ALERT 창을 만나게 된다.
헉.. 또 가입을 해야하는거구나..ㅠ.ㅠ
이제부터 본격적으로 한이음 사이트에 내 개인정보를 착실히 입력하면 된다. 물론 주민등록번호는 이제 막 발급받은 따끈따끈한 가상주민번호를 입력해야 한다. 그리고, 확인버튼을 누르면 가입완료(완전 수고하셨습니다..-_-;;)
※ 네이버 회원가입 프로세스
사실 기관보다는 포털이나 메이져 사이트에서 먼저 움직임을 보여야 이러한 부분들이 ‘인정받는’ 새로운 프로세스가 되는게 대부분의 관례다. 취지 자체는 분명 좋은 부분이지만, 구현하는 방식과 사용성을 조금만 더 고려했더라면-물론, 가상주민번호 발급을 위하 한번만 가입하면 된다고는 하지만-조금은 더 심플한 프로세스로 만들 수 있지 않았을까 하는 아쉬움이 남는다. 과연 그 활용도가 얼마나 높아질지 혹은 점점 더 안전성과 편의성을 강조해서 또다른 개선안이 나올지는 미지수이지만, 지금 상태는 그다지 도입하고 싶은 부분은 아닐 듯 하다.
네이버의 가입 프로세스는 크게 5단계의 절차를 거치게 된다.
1. 회원종류 선택
2. 약관동의
3. 가입인증
4. 상세정보입력
5. 가입완료
이 가운데서 가장 주요한 프로세스 역시 실명인증 부분이다. 이런 프로세스가 정착된지도 사실 그렇게 오래된 형태는 아니었으나 그나마 인증방법이 휴대폰, 유선전화, 신용카드에 이어 공인인증서까지 확대되어 이 프로세스상에서의 타당성이나 보안성을 사실상 더 이상 거론하기는 쉽지 않을 것으로 보인다. 그야말로 그동안 인터넷상에서 각고의 시행착오를 거쳐 최근까지도 가장 널리 사용되고 있는 방법이라고 할 수 있다.
정리하면, i-PIN의 도입은 오프라인 기반의 주민번호를 온라인에서 대체하기 위한 또 다른 대안으로 새롭게 적용하고 있으나, 오히려 사용자의 회원가입을 위한 이중고를 도모한 셈이 되었고, 이 가상주민번호 역시 원천적인 개인정보의 도용에 대한 부분을 철저하게 막아주지는 못한다고 보인다. 사실상 ‘도용’에 대한 부분은 그간 ‘악의적인, 또는 개인의 부당 이득 획득’에 초점이 맞추어져 있기 때문에 신규로 발급되는 개인키값 역시 동일한 공격의 대상이 될 수 있지 않은가 하는 의문점을 갖게 만든다.
조금 더 깊게 보면, 2005년도에 SK 웹사이트 구축 프로젝트를 하면서 기업의 사용자 DB 서버는 개인정보, 특히 주민등록번화와 같은 체계를 암호화하여, 실제 서비스 운영자나 담당자가 관리자 사이트 또는 CMS를 통해서 개인의 주민등록번호를 쉽게 알 수 있는 구조로 시스템을 설계하지 않은 것으로 알고 있다. 개인 주민등록번호는 암호화된 서버에서 그리고, Primary Key값의 역할을 할 경우에만 복호화 하여(이 역시 쉽게 식별할 수 있는 숫자 체계는 아니다.) 서비스를 진행하고 있다.
이제는 예전처럼 자기가 알아서 주민등록번호를 포함한 개인정보를 관리하고 보안에 신경쓴다는 것은 어찌보면 불가능할 수도 있는 부분이다. 하지만, 이를 최소화해 줄 수 있는 부분을 기술적으로 어느 정도 해소할 수 있어야 하며, 개인정보보호를 목적으로 또다른 ‘도용’의 여지를 남길 만한 정책적인 잣대인 ‘부라부랴’의 접근을 제발 두번, 세번 고려하고, 또 한번 더 고민해서 현행 프로세스의 타당성을 면밀히 검토해서 개선안이 나오길 바란다.