얼마전에 방통위에서 실시한 정통망법 개정안에 대한 공청회에 참석한 적이 있었습니다.
변경된 정통망법 중에 주요 이슈사항이었던 아이핀은 일평균 이용자 수가 포털의 경우 5만명 이상, 전자상거래나 게임사이트의 경우 1만명 이상이면 의무적으로 도입해야만 한다는 것이었습니다.
방통위에서 발표한 내용상으로는 대상사업자를 이용하는 전체 사용자의 96~99%는 주민등록번호 제공없이 회원가입을 하게 된다는 것이었습니다.(네이버 같은 사이트는 이미 가입한 3,300백만 가입자의 주민등록번호가 들어가 있는데 쯧.)
또한가지 아이핀과 관련해서 얼마전까지 이슈화되었던 IE만 지원한다는 점이었습니다.
제가 실제로 아이핀을 파이어폭스에서 발급받아보니 공인인증서를 쓰지 않고 휴대전화 인증을 사용하면 큰 무리는 없다는 점이었습니다. 물론 본인 명의의 휴대전화를 사용치 않고 부모님이나 기타 지인의 명의로만 쓰시는 분들이면서 신용카드가 없는 미성년자나 신불자 들께서는 아이핀 발급시 많은 불편함이 존재하는 건 사실일 듯 싶습니다.
문제는 공인인증서도 굳이 ActiveX 문제가 아니더라도 발급받는데 휴대전화나 신용카드 인증과 같이 외부 환경적 제약 조건(은행 거래를 안하시고 별도로 돈을 지불하고 범용 공인인증서 발급을 받지 않은신 분들이나 아예 컴퓨터가 익숙치 않아서 어떻게 공인인증서를 발급받을지 모르시는 분들 등)은 존재한다는 점입니다.
즉, 제 생각에는 아이핀을 발급받기 위해선 공인인증서로 개인식별을 하는게 편한데 그러기 위해서는 IE만 써야되어서 아이핀은 IE에서만 발급받을 수 있는 반쪽자리 제도이고 이는 정부가 대 국민 서비스를 제공하는데 있어서 접근 차별을 두고 있다라는 것은 너무나 큰 논리의 비약이지 않나라고 생각합니다.
오히려 제가 생각하는 문제점은 다음과 같습니다.
그런데 이번 대상사업자 발표는 법시행 이후인 내년 초에나 발표된다고 합니다. 이건 뭥미..?
변경된 정통망법 중에 주요 이슈사항이었던 아이핀은 일평균 이용자 수가 포털의 경우 5만명 이상, 전자상거래나 게임사이트의 경우 1만명 이상이면 의무적으로 도입해야만 한다는 것이었습니다.
방통위에서 발표한 내용상으로는 대상사업자를 이용하는 전체 사용자의 96~99%는 주민등록번호 제공없이 회원가입을 하게 된다는 것이었습니다.(네이버 같은 사이트는 이미 가입한 3,300백만 가입자의 주민등록번호가 들어가 있는데 쯧.)
또한가지 아이핀과 관련해서 얼마전까지 이슈화되었던 IE만 지원한다는 점이었습니다.
위에도 언급하였듯이 본 이슈는 실제로 아이핀의 발급 및 사용이 IE만 지원한다는 것이 아닌 최초 발급시 개인식별을 위한 장치 중 주로 사용자들이 선택하게되는 "공인인증서" 방식이 그놈의 ActiveX 방식으로 인해 지원이 불가하다는 내용입니다.[독자 칼럼] '아이핀' 서비스받고 싶으면 MS 써! by 조선일보
"창피하게 스리... 실제 아이핀이 IE만 지원한다기 보다는 공인인증서가 IE만을 지원해서 아이핀 신청 시 개인식별을 다른 도구(휴대전화, 신용카드 인증 과 같은)를 써야만 한다는 내용이거늘..."
파이어폭스에서 휴대전화 인증으로 간단히 아이핀 발급을 받을 수 있었습니다.
제가 실제로 아이핀을 파이어폭스에서 발급받아보니 공인인증서를 쓰지 않고 휴대전화 인증을 사용하면 큰 무리는 없다는 점이었습니다. 물론 본인 명의의 휴대전화를 사용치 않고 부모님이나 기타 지인의 명의로만 쓰시는 분들이면서 신용카드가 없는 미성년자나 신불자 들께서는 아이핀 발급시 많은 불편함이 존재하는 건 사실일 듯 싶습니다.
아이핀으로 가입시에도 큰 무리 없이 파이어폭스에서 가능합니다. 다만 IE에서 가입시에는 키보드 보안툴과 같은 보안도구들이 함께 설치되어 보호하는데 파이어폭스는 그런거 없이 되네요.
문제는 공인인증서도 굳이 ActiveX 문제가 아니더라도 발급받는데 휴대전화나 신용카드 인증과 같이 외부 환경적 제약 조건(은행 거래를 안하시고 별도로 돈을 지불하고 범용 공인인증서 발급을 받지 않은신 분들이나 아예 컴퓨터가 익숙치 않아서 어떻게 공인인증서를 발급받을지 모르시는 분들 등)은 존재한다는 점입니다.
즉, 제 생각에는 아이핀을 발급받기 위해선 공인인증서로 개인식별을 하는게 편한데 그러기 위해서는 IE만 써야되어서 아이핀은 IE에서만 발급받을 수 있는 반쪽자리 제도이고 이는 정부가 대 국민 서비스를 제공하는데 있어서 접근 차별을 두고 있다라는 것은 너무나 큰 논리의 비약이지 않나라고 생각합니다.
오히려 제가 생각하는 문제점은 다음과 같습니다.
- 굳이 개인을 식별해야 하는가? 실명 파악을 꼭 해야 하는지가 의문이다... 그냥 이메일 인증만 하면 온라인 폭동이 일어나도 누군지 몰라 잡아들일 수 없어서 일까?
- 개인 식별을 굳이 하겠다면 별도로 아이핀같은 새로운걸 만들지 말고 기존에 공인인증서나 휴대전화 인증을 각 사입자가 취사 선택해서 쓰게하면 안되는 건가?(사업자는 주민번호를 입력받지 않고 공인인증서와 같은 도구를 통해 식별 여부만 회신 받으면 될텐데...)
- 네이버나 다음과 같이 이미 몇천만의 주민등록번호를 저장하고 있는데 그건 어찌할건가?
- 아이핀을 도입하는 이유가 사업자들이 제대로 개인정보를 관리를 못해 유출되는 것을 막자는 것이다. 의무 도입 사업자로 지정된 일 사용자 5만명 이상의 포털사업자가 위험할까 아니면 대상사업자가 아닌 곳이 더 위험할까?
- 아이핀은 웹사이트 운영 사업자만 해당되는 건가? 보험사, 카드사, 은행(인터넷 뱅킹 제외시)의 오프라인 가입자 정보는 괜찮은가?
그런데 이번 대상사업자 발표는 법시행 이후인 내년 초에나 발표된다고 합니다. 이건 뭥미..?
'Working > IT Security' 카테고리의 다른 글
Building a Security Policy Framework (0) | 2009.01.06 |
---|---|
[2009년 보안이슈]DDoS 이슈와 관련 기사 목록 (0) | 2009.01.05 |
정 익스플로러를 쓰셔야 한다면 보안은 이렇게... (0) | 2008.12.18 |
ISO27001 Control Objective Checklist (0) | 2008.12.11 |
Remote File Inclusion 취약점 분석 및 대책 (0) | 2008.10.17 |