안전 불감증

요즘 연일 보안에 대한 말이 많다. 옥션에서는 천만명이 넘는 사용자의 정보가 유출됐다. 2mb 정권의 시작을 경축하듯 청와대도 해킹됐다. LGT는 지난 5년간 사용자 정보를 웹을 통해 착실하게 유출 시켜왔다. 그러나 이런 일이 발생해도 우리 사회는 전혀 변하지 않는다. 그 이유는 이런 사고를 너무 많이 봐았기 때문이다. 안전 불감증. 우리 사회 전반에 걸쳐있는 사고이다.

안전 불감증

요즘 연일 보안에 대한 말이 많다. 옥션에서는 천만명이 넘는 사용자의 정보가 유출됐다. 2mb 정권의 시작을 경축하듯 청와대도 해킹됐다. LGT는 지난 5년간 사용자 정보를 웹을 통해 착실하게 유출 시켜왔다. 그러나 이런 일이 발생해도 우리 사회는 전혀 변하지 않는다. 그 이유는 이런 사고를 너무 많이 봐았기 때문이다. 안전 불감증. 우리 사회 전반에 걸쳐있는 사고이다.

특히 이런 사고는 정부 부처로 가면 갈 수록 심해진다. 보안을 단어로만 알고 있는 사람들이 많기 때문이다. 사람이 중요한데도 불구하고 모든 것을 시스템에 의존하려고 하고 있기 때문이다. 이명박 정부의 출범을 축하는 일은 이외에도 많다. 한 예는 숭례문 전소일 것이다. 숭례문 전소도 사람 대신 시스템에 의존해서 발생한 대표적인 예이다.

우리 사회의 잘못된 관습 중 하나는 바로 주민등록 번호의 요청이다. 정말 아무 것도 하지 않는 커뮤니티 사이트에서도 주민등록 번호를 요구한다. 무슨 일을 하려고 서류를 작성하면 항상 요구하는 것이 주민등록 번호이다. 이렇게 작성된 서류는 다시 풀빵 장사의 풀빵 봉지로 사용되고 이 봉지를 통해 개인의 중요한 정보가 유출된다.

개인의 중요한 정보를 이렇게 관리하는 회사들이 항상 주민등록 번호를 요청한다. 그러나 따져 보면 주민등록 번호를 요청할 사이트는 관공서 사이트를 빼면 거의 존재하지 않는다. 옥션, 지마켓, 네이버, 다음 모두 마찬가지다. 그러나 이들 사이트는 모두 주민등록 번호를 요구한다. 옥션의 경우 무려 천만명(국민 4분의 1)의 개인 정보가 유출됐다. 그러나 옥션은 아직도 가입을 하려고 하면 주민번호의 입력을 요구한다.

G-PIN

이러한 주민등록번호의 문제점을 바로 잡기위해 행정안전부에서는 G-PIN이라는 인터넷 개인식별번호 제도를 시범적으로 시행하고 있다.

출처: [IT용어 아하!] G-PIN - 디지탈 타임즈

G-PIN(Government Personal Identification Number)은 행정안전부에서 제공하는 인터넷상의 개인식별번호를 의미합니다. 그동안 인터넷을 이용할 때 신원 확인을 위해 주민등록번호를 입력했는데 이 때문에 개인정보가 노출되는 사고가 종종 발생하곤 했습니다. 반면 G-PIN은 생년월일, 성별 등의 정보가 담겨있지 않고 언제든 변경할 수 있어 개인정보 노출 우려를 크게 줄일 수 있습니다. 정부는 G-PIN을 2010년까지 모든 공공기관에 확대 적용할 예정입니다. 그러나 4년 전부터 정보통신부가 추진해 현재 민간 포탈 사이트 등에서 시행 중인 I-PIN(Internet Personal Identification Number)이 별다른 실효성을 거두지 못하는 상황에서 정부가 사실상 똑같은 기능의 G-PIN을 새로 추진하는 것에 대해 중복이라는 비판도 제기되고 있습니다.

행안부 삽질

그런데 행정안전부의 G-PIN 발급 사이트에서 삽질을 하고 있다는 제보가 들어왔다. 그러면 어떤 삽질일까? 일단 먼저 확인해 보자.

  1. 접속

    정신머리 없는 정부 사이트 답게 처음부터 ActiveX 설치를 요구하고 있다. ActiveX에 대한문제는 나중에 다른 글로 쓰겠지만 모든 사람이 접근할 수 있어야 하는 행정부 사이트에 오로지 Internet Explorer를 사용하는 사람만 접속할 수 있다. MS가 끼워팔기로 불공정 거래를 했다면 모든 정부 부처는 ActiveX를 이용해서 불공정 거래를 하고 있는 셈이다.

  2. ActiveX 설치

    설치하는 ActiveX 프로그램은 키보드 후킹을 방치하는 프로그램이다. 문제는 이 프로그램이 설치되면 한영 전환이 잘 되지 않으며 다른 해킹 방지 프로그램과 자주 충돌을 일으킨다.

  3. 약관 동의

    어느 사이트에나 나오는 부분이므로 가볍게 패스하겠다.

  4. 정보 입력 1

    요구하는 정보가 많은 것도 사실이지만 조금 어이가 없는 부분도 있다. 먼저 ID는 7자 이상이다. 내가 주로 사용하는 ID는 doa, doax, artech이다. 이 아이디 모두 6자 이하이다. 보통 4자를 요구하는 다른 사이트와는 달리 정부 사이트 답게 특이하게 7자를 요구하고 있다.

    두번째는 비밀번호에 대한 부분이다. "비밀번호는 최소 7자 이상 20자 이내로 입력해야 한다"고 한다. 그러나 제한이 있다. 비밀번호를 입력해 보면 알 수 있지만 비밀번호를 입력하는 창마다 제한이 달라진다.

  5. 정보 입력 2

    입력해야 하는 정보가 많은 것도 사실이지만 로봇에 의한 가입를 막기 위한 숫자도 7자리나 된다. 가만보면 개발한 사람이 7이라는 숫자에 환장한 듯하다. 그러나 이렇게 자리수가 많을 필요가 있을까?

  6. 로그인 실패

    그러나 가장 황당한 것은 바로 이 부분이다. "비밀번호에 특수문자를 입력할 수 없다"고 한다. 가입을 받을 때는 아무런 문제가 없는데 로그인할 때는 입력이 안된다. 더 웃기는 것은 특수문자에 대한 개념이다. 세미콜론(;)과 같은 문자는 특수문자로 보지 않는다. 이런 문자는 일반 문자로 본다. 또 비밀번호를 바꾸려고 하면 비밀번호에 문자외에 강제로 숫자, 특수문자를 포함하도록 하고 있다. 그런데 로그인할 때는 특수문자를 사용할 수 없다고 한다.

내가 사용한 암호는 and0form%이다. 비밀번호를 바꿀 때 강제로 숫자와 특수문자를 사용하도록 했기 때문에 취한 선택이다. 그러면 실제 비밀번호를 확인해 보자.

혹시 다른 로그인 창에서는 로그인이 가능할까 싶어서 다른 로그인 창을 이용해서 로그인했다. 그러나 역시 "비밀번호에는 특수문자를 사용할 수 없다"고 한다.

우리 나라 정부 부처의 단적인 모습이겠지만 이 것이 우리나라의 현실이다. 명색이 행정안전부 사이트인데 가입시에는 특수문자의 입력이 가능해도 로그인 할 때는 특수문자의 입력이 불가능하다.

졸속 행정이 만든 졸속 사이트의 전형이다.

관련 글타래