지금 우리나라는 자타가 공인하는 초고속 인터넷 최강국인 반면 인터넷의 보편적 접근성을 악용한 해커가 불법으로 금전적 이익을 얻기 위해 리니지 명의를 도용한 사건으로 떠들썩하다.
최근 집계에 따르면 피해자만 12만여명, 도용 계정은 23만여개로 알려졌다. 피해자는 자신도 모르는 사이에 제공된 유일한 개인 식별 정보인 주민등록번호가 악용되는 피해를 봤으며 서비스 제공자에게 집단 손해배상 소송을 제기하고 있는 초유의 사태를 맞고 있다.
인터넷이 지금처럼 널리 보급되지 않았던 10여년 전 초창기에는 일부 해커가 잘못된 영웅심 또는 IT 기술을 과시하기 위해 문서 편집기에서 사용한 천문학적인 숫자 조합인 문서 보안용 패스워드를 찾아내거나 웹 페이지를 불법 개조하고 공공 기관 내부 컴퓨터에 불법으로 접근하는 사건이 있었다. 당시 우리 사회는 이러한 특수한 재능 때문에 이들을 대단한 영웅으로 받아들이기도 했다.
그러나 최근 해킹은 인터넷에 가상 사이트를 공공의 합법적인 사이트인 것처럼 위장해 개설한 후, 별다른 의심을 하지 않은 인터넷 이용자가 접속하면 비밀정보를 빼가는 등 과거와는 달리 금전적인 이득을 취하는 사기 사건으로 발전하고 있다.
최근 한 언론 보도에 의하면 인터넷 업계는 이런 리니지 명의도용 사건에 ‘주민등록번호를 통한 본인 확인이 일부 문제가 있는 것은 사실이지만 딱히 대안이 없지 않느냐’는 태도고 주민번호를 수집하지 않거나 현재 논의되고 있는 공인인증서 같은 대체수단을 이용했을 때에는 ‘서비스 수준과 사용자 접근성이 떨어진다’는 주장을 펴고 있다.
이러한 명의도용 문제의 본질은 사용자가 서비스를 요구할 때 사용자 진위를 파악하는 초기 인증단계에서 서비스 개시 시점에 제공한 개인정보 관리 절차상의 문제다. 이는 초기 인증단계의 개인정보가 모든 사람이 신뢰할 수 있는 서비스 제공자의 내부 컴퓨터에 안전하게 저장돼야 하는데 그렇지 못해 오히려 믿는 도끼에 발등을 찍히는 셈이다.
암호학자들은 1985년경 이런 문제를 해결하기 위해 영지식 증명(Zero Knowledge Proof) 기법이라는 것을 연구했다. 이 기법은 사용자가 개인이 가진 유일한 개인 식별 정보 즉, 어떠한 유용한 지식 또는 정보를 서비스 제공자에게 전달하지 않고 서비스 제공자로부터 개인 인증을 취득하는 절차를 의미한다.
이것은 불가능할 것 같지만 기술적으로 가능하다. 쉽게 설명하면 아무도 풀 수 없는 과학적인 문제를 오로지 해당 사용자만이 풀 수 있다면 그리고 한번에 그치지 않고 여러 번의 질의와 응답에서 항상 정답을 보여줌으로써 서비스 제공자는 가입자 신원을 확인할 수 있는 것이다.
이는 개인의 유일한 비밀 식별 정보를 제공하지 않고 서비스를 인증받는 절차로서 서비스 제공자는 개인 식별 정보를 관리하는 부담이 없어지게 되고 정보를 빼내려는 내부자 공격도 불가능하게 된다. 이 방법을 실제로 구현할 때 사용자가 각각 비밀정보를 저장할 수 있는 기억 매체를 가지고 있다면 인증 절차는 자동화되어 손쉽게 가능하다.
이런 영지식 증명 기법 이외에도 초기 인증과정에서 사용자가 서비스 제공자에게 주민등록번호를 직접 알려주는 대신에 별도 인증전용 서버에서 받은 임시 인증번호를 사용할 수도 있다. 이러한 명의도용 사건은 인터넷에서 발생하는 역기능 중의 하나다. 사회적인 비용을 감수하더라도 각종 공격에 대비해 완벽한 보안 기술을 이용해야 한다. 동시에 창과 방패처럼 해결되지 않는 싸움에 사후 약방문식 처방이 아니라 선도적인 정보보호 기술을 개발하는 등 지혜롭게 대처해나가면 밝은 사이버 공간을 영위할 수 있을 것이다.
◆한국정보통신대학교 김 광조 교수 kkj@icu.ac.kr