행정안전부 G-PIN - 졸속 행정의 전형

안전 불감증

요즘 연일 보안에 대한 말이 많다. 옥션에서는 천만명이 넘는 사용자의 정보가 유출됐다. 2mb 정권의 시작을 경축하듯 청와대도 해킹됐다. LGT는 지난 5년간 사용자 정보를 웹을 통해 착실하게 유출 시켜왔다. 그러나 이런 일이 발생해도 우리 사회는 전혀 변하지 않는다. 그 이유는 이런 사고를 너무 많이 봐았기 때문이다. 안전 불감증. 우리 사회 전반에 걸쳐있는 사고이다.

목차

안전 불감증

요즘 연일 보안에 대한 말이 많다. 옥션에서는 천만명이 넘는 사용자의 정보가 유출됐다. 2mb 정권의 시작을 경축하듯 청와대도 해킹됐다. LGT는 지난 5년간 사용자 정보를 웹을 통해 착실하게 유출 시켜왔다. 그러나 이런 일이 발생해도 우리 사회는 전혀 변하지 않는다. 그 이유는 이런 사고를 너무 많이 봐았기 때문이다. 안전 불감증. 우리 사회 전반에 걸쳐있는 사고이다.

특히 이런 사고는 부처로 가면 갈 수록 심해진다. 보안을 단어로만 알고 있는 사람들이 많기 때문이다. 사람이 중요한데도 불구하고 모든 것을 시스템에 의존하려고 하고 있기 때문이다. 의 출범을 축하는 일은 이외에도 많다. 한 예는 숭례문 전소일 것이다. 숭례문 전소도 사람 대신 시스템에 의존해서 발생한 대표적인 예이다.

우리 사회의 잘못된 관습 중 하나는 바로 주민등록 번호의 요청이다. 정말 아무 것도 하지 않는 커뮤니티 사이트에서도 주민등록 번호를 요구한다. 무슨 일을 하려고 서류를 작성하면 항상 요구하는 것이 주민등록 번호이다. 이렇게 작성된 서류는 다시 풀빵 장사의 풀빵 봉지로 사용되고 이 봉지를 통해 개인의 중요한 정보가 유출된다.

개인의 중요한 정보를 이렇게 관리하는 회사들이 항상 주민등록 번호를 요청한다. 그러나 따져 보면 주민등록 번호를 요청할 사이트는 관공서 사이트를 빼면 거의 존재하지 않는다. 옥션, 지마켓, , 다음 모두 마찬가지다. 그러나 이들 사이트는 모두 주민등록 번호를 요구한다. 옥션의 경우 무려 천만명(국민 4분의 1)의 개인 정보가 유출됐다. 그러나 옥션은 아직도 가입을 하려고 하면 주민번호의 입력을 요구한다.

G-PIN

이러한 주민등록번호의 문제점을 바로 잡기위해 행정안전부에서는 G-PIN이라는 인터넷 개인식별번호 제도를 시범적으로 시행하고 있다.

출처: [IT용어 아하!] G-PIN - 디지탈 타임즈

G-PIN(Government Personal Identification Number)은 행정안전부에서 제공하는 인터넷상의 개인식별번호를 의미합니다. 그동안 인터넷을 이용할 때 신원 확인을 위해 주민등록번호를 입력했는데 이 때문에 개인정보가 노출되는 사고가 종종 발생하곤 했습니다. 반면 G-PIN은 생년월일, 성별 등의 정보가 담겨있지 않고 언제든 변경할 수 있어 개인정보 노출 우려를 크게 줄일 수 있습니다. 는 G-PIN을 2010년까지 모든 공공기관에 확대 적용할 예정입니다. 그러나 4년 전부터 정보통신부가 추진해 현재 민간 포탈 사이트 등에서 시행 중인 I-PIN(Internet Personal Identification Number)이 별다른 실효성을 거두지 못하는 상황에서 가 사실상 똑같은 기능의 G-PIN을 새로 추진하는 것에 대해 중복이라는 비판도 제기되고 있습니다.

행안부 삽질

그런데 행정안전부의 G-PIN 발급 사이트에서 삽질을 하고 있다는 제보가 들어왔다. 그러면 어떤 삽질일까? 일단 먼저 확인해 보자.

  1. 접속

    정신머리 없는 사이트 답게 처음부터 ActiveX 설치를 요구하고 있다. ActiveX에 대한문제는 나중에 다른 글로 쓰겠지만 모든 사람이 접근할 수 있어야 하는 행정부 사이트에 오로지 Internet Explorer를 사용하는 사람만 접속할 수 있다. MS가 끼워팔기로 불공정 거래를 했다면 모든 부처는 ActiveX를 이용해서 불공정 거래를 하고 있는 셈이다.

  2. ActiveX 설치

    설치하는 ActiveX 프로그램은 키보드 후킹을 방치하는 프로그램이다. 문제는 이 프로그램이 설치되면 한영 전환이 잘 되지 않으며 다른 해킹 방지 프로그램과 자주 충돌을 일으킨다.

  3. 약관 동의

    어느 사이트에나 나오는 부분이므로 가볍게 패스하겠다.

  4. 정보 입력 1

    요구하는 정보가 많은 것도 사실이지만 조금 어이가 없는 부분도 있다. 먼저 ID는 7자 이상이다. 내가 주로 사용하는 ID는 doa, doax, artech이다. 이 아이디 모두 6자 이하이다. 보통 4자를 요구하는 다른 사이트와는 달리 사이트 답게 특이하게 7자를 요구하고 있다.

    두번째는 비밀번호에 대한 부분이다. "비밀번호는 최소 7자 이상 20자 이내로 입력해야 한다"고 한다. 그러나 제한이 있다. 비밀번호를 입력해 보면 알 수 있지만 비밀번호를 입력하는 창마다 제한이 달라진다.

  5. 정보 입력 2

    입력해야 하는 정보가 많은 것도 사실이지만 로봇에 의한 가입를 막기 위한 숫자도 7자리나 된다. 가만보면 개발한 사람이 7이라는 숫자에 환장한 듯하다. 그러나 이렇게 자리수가 많을 필요가 있을까?

  6. 로그인 실패

    그러나 가장 황당한 것은 바로 이 부분이다. "비밀번호에 특수문자를 입력할 수 없다"고 한다. 가입을 받을 때는 아무런 문제가 없는데 로그인할 때는 입력이 안된다. 더 웃기는 것은 특수문자에 대한 개념이다. 세미콜론(;)과 같은 문자는 특수문자로 보지 않는다. 이런 문자는 일반 문자로 본다. 또 비밀번호를 바꾸려고 하면 비밀번호에 문자외에 강제로 숫자, 특수문자를 포함하도록 하고 있다. 그런데 로그인할 때는 특수문자를 사용할 수 없다고 한다.

내가 사용한 암호는 and0form%이다. 비밀번호를 바꿀 때 강제로 숫자와 특수문자를 사용하도록 했기 때문에 취한 선택이다. 그러면 실제 비밀번호를 확인해 보자.

혹시 다른 로그인 창에서는 로그인이 가능할까 싶어서 다른 로그인 창을 이용해서 로그인했다. 그러나 역시 "비밀번호에는 특수문자를 사용할 수 없다"고 한다.

우리 나라 부처의 단적인 모습이겠지만 이 것이 우리나라의 현실이다. 명색이 행정안전부 사이트인데 가입시에는 특수문자의 입력이 가능해도 로그인 할 때는 특수문자의 입력이 불가능하다.

졸속 행정이 만든 졸속 사이트의 전형이다.

관련 글타래

글쓴이
author image
운영체제의 모든 것을 운영하고 있는 IT 블로거. IT 블로거라는 이름은 현재 시국때문에 시사 블로거로 바뀐 상태다. 그러나 나는 아직도 시사와 사회에 관심이 많은 IT 블로거일 뿐이다. 컴퓨터, 운영체제, 시사, 가족, 여행, 맛집, 리뷰등과 살면서 느끼는 소소한 일상이 블로그의 주제이다. 왼쪽의 아이콘은 둘째 딸 다예가 그린 내 모습이다.
2008/04/24 12:46 2008/04/24 12:46
오늘의 글
인기있는 글
조회수 많은 글 | 베오베
댓글 많은 글 | 베오베

Trackback

Trackback Address :: https://offree.net/trackback/1651

Facebook

Comments

  1. zasfe 2008/04/24 13:06

    정부에서는 저 사이트를 우리모두가 이용해야 할 사이트라고 하겠죠..?

    perm. |  mod/del. reply.
    • 도아 2008/04/24 19:18

      예. 이해가 안되는 사이트입니다. 명색이 정부에서 만든 사이트가 저 모양이니...

  2. 개뿔 2008/04/24 14:10

    정보통신부 없어지면서 아이핀 대신에 g pin이 대세가 될거라고 하던데 저러면 어떻게 써요?

    perm. |  mod/del. reply.
    • 도아 2008/04/24 19:19

      대세가 아니라 저 모양인 것을 보면 개세가 될 것 같습니다.

  3. 자바쉑키 2008/04/24 14:15

    GPIN 이던 주민번호던 왜 필요한지 모르겠습니다 이 조그만 나라에서... 범인잡을때 주민번호 없으면 정말 못 잡나요? 그냥 어쩌라는건지... 일관성도 없고

    perm. |  mod/del. reply.
    • 도아 2008/04/24 19:19

      예. 필요없습니다. 그런데 왜 요구하는지 저도 모르겠습니다. 아마 행정 편의주의가 아닐까 싶더군요.

  4. 댕글댕글파파 2008/04/24 15:06

    돈이 없어서 이민도 못가구만 ....

    perm. |  mod/del. reply.
  5. 희주 2008/04/24 15:14

    gpin이 과연 주민등록번호를 대체할 수 있을까요?
    왜 개인 식별번호에 집착을 하는지 원..
    open id를 중앙 정부에서 관리해서 사이트 가입시 id인증만하게 하면 각 사이트에 민번같은 개인정보 저장 안해도 될건데
    그나저나 저 사이트는 졸속행정의 전형을 보여주는군요. 보나마나 저거 만드는데 몇억을 쓰고 저렇게 만들어 놓고서는 관리 안할것이 뻔히 보입니다.
    할말은 많으나 그만하렵니다. 윗분들의 인식개선이 되지 않는한 이런 문제는 영원히 고쳐지지 않을것이니.. (슬픈사실은 대부분의 국민들의 인식이 개선되지 않는다는 것입니다.)

    perm. |  mod/del. reply.
    • 도아 2008/04/24 19:20

      제도 자체를 고쳐야합니다. G-PIN을 쓰나 주민번호를 쓰나 그게 그겁니다.

  6. 나비 2008/04/24 16:22

    아놔...이건 뭐 웃을수도 없는 노릇이고..;;
    여러모로 요즘 허탈한 웃음 짓게 도와주네요..여러모로..쩝...

    perm. |  mod/del. reply.
  7. ㅅㅅㅅ 2008/04/24 18:01

    인젝션 쿼리 삽입 공격이 란게 있습니다.

    perm. |  mod/del. reply.
    • 도아 2008/04/24 19:20

      우회하는 방법은 다른 글로 올려 두었습니다.

  8. 공상플러스 2008/04/24 18:20

    떨추들

    perm. |  mod/del. reply.
  9. 지나다가 2008/04/24 18:51

    옥션과 LG텔레콤에 의해서 개인정보 완전히 거덜난 저같은 사람은...ㅠㅠ
    지핀인지 쥐핀인지 이런게 중요한게 아니라 유출된 정보에 어떻게 하면 피해를 최소화 할수 있는지 인데...

    공인 인증서란것도 있는데 그걸 이용한 로그인이 오히려 실효성 있어 보입니다.

    perm. |  mod/del. reply.
    • 도아 2008/04/24 19:21

      저도 털려서 열심히 비밀번호 바꾸고 있습니다.

  10. Mr.Dust 2008/04/24 19:36

    다른 것도 문제지만 가장 중요한 내용이 빠져있네요. QAOS 의 원글에도 있는 내용인데..
    그건 바로 비밀번호를 암호화하지 않고 저장한다라는 것이지요. 이것이야말로 보안이 뭔지 전혀 모르고, 생각도 없다라는 증거이지요. 저런식으로 관리하니 비번이 누출될 수 밖에.

    perm. |  mod/del. reply.
    • 도아 2008/04/25 08:18

      예. 나중에 따로 글을 올리겠지만 편의를 위해 보안을 희생하는 대표적인 예입니다. 그런데 이런 식으로 암호를 평문으로 저장하는 사이트가 꽤 됩니다.

  11. usansf 2008/04/24 19:48

    저게... 행정 안전부라니...

    행정악성코드라 부르고 싶군요...
    뭐 이병도 아니고...
    사이트가 저래서야...

    perm. |  mod/del. reply.
    • 도아 2008/04/25 08:19

      예. 행정안전부가 아니라 행정악정부로 봐야겠죠.

  12. 조리지기 2008/04/24 19:53

    무사안일 복지부동 관료주의적 발상이 행정안전부 사이트에서 에서도 여실히 드러나는군요.
    윗 분 말씀 맞다나 이뭐병.. 정부 참 가지가지 하네요.

    perm. |  mod/del. reply.
    • 도아 2008/04/25 08:19

      우리나라 공무원의 주 특기중 하나가 복지 부동이니 사실 할말이 별로 없습니다.

  13. 전뇌소녀 2008/04/24 20:03

    제보자 rainygirl입니다.
    행정안전부에 온라인 민원 신청한지 3일이 지나도 묵묵부답인걸 도아님께서 한큐에 해결해주셨네요.. 뒤도 안돌아보고 탈퇴했습니다.

    `인터넷상 개인정보 침해방지 대책 발표된거 보니까 i-PIN 도입 의무화등의 방안이 포함되어 있는데, 이런 중요한 정보를 다루는 사이트가 간단한 HTML 조작만으로 변조될 수 있다는걸 알면 또 무슨 대책을 내놓을지 참..

    perm. |  mod/del. reply.
    • 도아 2008/04/25 08:20

      그러게 말입니다. 3일동안이나 답이 없다니 역시 정부답습니다.

      "국민이 불러도 대답없는 정부"

  14. 데굴대굴 2008/04/24 21:26

    딱 3개월만 참아서 가입자 왕창 늘었을 때 저기만 해킹하면 되겠군요. 진정한 알짜 개인정보를 대량 수집할 수 있겠네요. 그것도 정부!를 턴 것이니 해킹 사실을 발견해도 누군가 고발하지 못할테니 말이죠. (책임자 없으며, 대충 얼버무리기로 넘어갈테니 말이죠)

    그리고, 암호를 특수문자만 금지시킨 사이트는 봤어도, 대문자를 금지시킨 사이트는 최초입니다. -_- 정말 보안을 생각했다면 암호는 100자까지는 허용해야죠. (제가 쓰는 암호 중에 가장 긴 것은 42자까지 있습니다)

    perm. |  mod/del. reply.
    • 도아 2008/04/25 08:20

      대문자도 금지인가요? 어이가 없군요.

  15. 윈도우Pe™ 2008/04/24 23:31

    어이가 없어서 웃음밖에 안나옵니다. 허허허

    perm. |  mod/del. reply.
  16. 개발그룻 2008/04/25 01:42

    참 어리석다는 생각 뿐입니다. 대운하건설할 머리로 이런 것이나 잘 만들지.
    그러면 국민들이 정말 안전(?)할텐데...

    perm. |  mod/del. reply.
    • 도아 2008/04/25 08:21

      대운하 건설할 머리로는 이런 사이트도 못만듭니다. 대운하는 더 말도안되는 소리니까요.

  17. 리무상 2008/04/25 09:58

    운하 만들 돈으로 개인정보 보호에 힘쓰면 좋겠네요.
    일본은 각 업체에 P마크 획득을 종용합니다. 그리고 P마크가 있느냐 없느냐에 따라 그 업체의 평가가 달라집니다.
    P마크는 프라이버시 마크로 개인 정보를 소중히 다루겠다는 하나의 서약으로 매년 1회이상 업체를 감사하고 있습니다. 개인정보보호는 시스템에 의한게 아니라 사람에 의해 지켜진다는 것을 우리나라도 빨리 인식했으면 좋겠네요.

    뱀발... 이것도 포스팅 하고 싶었는데.. 망할노무 잔업.. 컴퓨터 업계는 어느 국가든 잔업의 천국인가봅니다. 한국보다야 여건이 좋지만 말이죠. 최소한 10시전에 귀가가 가능하니..

    perm. |  mod/del. reply.
    • 도아 2008/04/25 15:51

      예. 사실 보안 교육과 보안 위배에 대한 엄격한 처벌, 그리고 이런 사람들이 감시하는 체제를 만들어야 하는데 무조건 시스템에 의존하니 방법이 없는 것 같습니다.

  18. 라이얀 2008/04/25 12:47

    하하하 정말 잼있기도 하고 어이가 없기도 하고...
    노무현과 코드가 맞는 사람들은 짤라 버리고 반대인 사람들만 뽑아 쓰다보니 IT와는 거리가 먼 사람들로 채워졌나봐요. 폼으로 만들어 놨으니 귀찮게 가입하지 말라고 그런건지 먼지....

    perm. |  mod/del. reply.
    • 도아 2008/04/25 15:51

      예. 저러고 또 대대적인 홍보를 할것을 생각하면 세금 낭비죠.

  19. kuku 2008/07/22 13:15

    이런,.. 보아하니 비밀번호 앞부분을 그냥 보여주는 것을 보니 암호화도 안하나보네요.
    옥션 난리가 난것도 비밀번호도 그대로 나갔기 때문에 파장이 더 컸던 건데 말이죠...

    perm. |  mod/del. reply.
    • 도아 2008/07/22 13:39

      저런 곳이 많습니다. 보안이 무엇인지 조차 모르죠.

    • tanoloke 2011/01/19 20:14

      MySQL 의 passwd 함수가 뭔 지도 모르는 바보들이 만들었으니 그렇겠죠...

    • 도아 2011/01/29 17:10

      개발자가 알고 있어도 저런 요구를 하기 때문에 개발자와는 관련이 없는 때도 많습니다. 제가 개발하며 항상 단방향 암호화를 하자고 하면 거의 대부분 귀찮으니 평문으로 하라고 하더군요.

(옵션: 없으면 생략)

글을 올릴 때 [b], [i], [url], [img]와 같은 BBCode를 사용할 수 있습니다.