공공기관 실명인증 시스템 보안 ‘구멍’

생년월일-출신교 정보로 주민번호 파악
본보-채널A 공동 실험

공공기관 인터넷 홈페이지에 설치된 실명인증 시스템과 소셜네트워크서비스(SNS)에 공개된 간단한 신상정보로 개인 주민등록번호를 알아낼 수 있는 것으로 확인됐다.

이윤호 서울과학기술대 글로벌융합산업공학과 교수는 6일 페이스북 사용자 11만5615명을 대상으로 실명인증 시스템을 이용한 주민등록번호 찾기 실험을 진행한 결과 생년월일과 출신 학교만으로 5만2000명의 주민등록번호를 알아내는 데 성공했다. 채널A와 공동으로 진행한 실험에서 기자의 주민번호도 10초 만에 털렸다.

연구팀은 먼저 컴퓨터 알고리즘을 활용해 개인 주민등록번호를 추론해 냈다. 주민등록번호 13자리는 생년월일(앞 6자리 숫자) 성별(7번째), 출신지역(8∼11번째)과 출생신고 순번(12번째), 위조방지 검증번호(13번째)로 이뤄져 있어 간단한 추론 알고리즘으로 쉽게 예측할 수 있다.

추론된 주민등록번호 중에서 실제 번호를 찾아내는 데는 공공기관 사이트에 있는 실명인증 시스템을 이용했다.

실명인증은 대부분 한국신용평가정보 같은 신용평가기관에 위탁한다. 사용자가 이름과 주민등록번호를 입력하면 두 정보가 신용평가기관으로 전달되고 기관에서 두 정보가 일치하는지 여부를 알려준다.

채널A 조사 결과 주민번호를 관리하는 안전행정부를 비롯한 중앙부처와 많은 지방자치단체 사이트가 별도 확인 절차 없이 주민번호의 진위를 바로 알려주는 허점이 있는 것으로 밝혀졌다.

이 교수는 “공공기관 실명인증 시스템은 전화번호 같은 다른 정보로 본인 여부를 재확인하거나 개인정보 수집 범위를 제한하는 대책을 마련해야 한다”고 조언했다.

이영혜 채널A 기자 yhlee@donga.com