나도 모르는 실명인증이 2016년에도? 게다가 비정상 사이트가 유명 보험사 소유?
2016.05.27 20:23:28
입력된 인사말이 없습니다. 
본인은 실명인증을 한 적이 없는데 나이스 지키미를 보니 인증기록이 발생했단 것인데
제보받은 해당 사이트를 들어가려 하니 로딩만 길어지고 접속이 안될 뿐더러 이상하다 싶다 하심.
그래서 내가 접속해보니 역시 안되고...
바로 도메인 정보를 조회해 보니 1994년 부터 등록되어 2016년에도 관리중인 외국 사이트였다.
나미스지키미 사이트를 복제한 파밍사이트인지 실제 확인해야 겠으나 (파밍사이트라면 나이스측에서 바로 공지 떄려야 할 것인데... 내가 무식하니 모르겠고)......... 파밍이 아니라는 가정하에 추정을 해보자면 아래와 같다.
[ (한물간) 실명인증기록에 대한 추정 ]........ 아니 왜 별거없을 실명인증이 기록된 거지?
1. 상황
<어느 분이 제보하신 캡처 이미지(똘이멍멍이 빨간펜으로 설명 추가)>
- 개인정보는 없으니 게시합니다 -
[5/26 오전 추가]
혹시나 나이스지키미 화면이 아닐 수 있다는 생각으로 제보하신 분께 물으니 쪽지회신이 왔는데 나이스지키미 화면이 맞고 상담원과 통화하여 내역 확인한 것이다 라고 회신이 옴.....헐.....아닐거라 생각했는데 -_-ㅋ 점점 미궁으로 빠지고 있어...
최초 쪽지로 제보받은 내용은 도저히 이해할 수 없어서 캡처화면을 달라고 하여 받은 이미지다.
(사실 깊게 따지고 들자면 뽀샵으로 일부러 의도적으로 저렇게 만들 수는 있지만 사실이라는 가정하에 설명한다.)
- 국내 사이트와는 무관해 보이는 해외 사이트에서
- 게다가 현재 정상 운영 중이지 않은 사이트에서
- 국내에서는 개인정보보호법이 바뀐 이후 더 이상 주민번호 인증이 유명무실해진 상황에서
(본인인증 또는 금융거래 시에만 절차상의 일부로 사용되니 유출되었다 하더라도 직접적인 피해는 없음)
- 본인인증도 아닌 실명인증의 기록이 발생
음...좀 어려운 것 같다.
이래저래 설명해 온 나조차 처음 보는 상황이라..... 추정 들어가 보자...
2. 추정
1) 도용 & 장난
- 2만 개 이상(=자체 PR)의 사이트에 주민번호 기반 실명인증을 제공하던 나이스 실명인증 모듈이 살아 있는 상태에서
- 어떤 사이트는 사이트 개편으로 사라지고 어느 사이트 몇 년이 지나도 안 보이는 일부 페이지에 남아 동작하고 있으며
- 그 페이지를 알거나 모듈을 알고 있는 사람이 유출된 주민번호로 장난삼아 또는 호기심에 인증신청을 했는데 인증됨
ex) 퇴사한 사이트 개발자가 사전에 알고 있던 모듈 페이지에서 장난했거나 등
- 앞서 부연 설명에 적었듯이 이것만으로는 해외에서는 당연히 할게 없고 국내에서도 뭘 해볼 수가 없는 상황임(피해 없음)
- 그러나 인증이 성공했다 는 사실 하나만으로 문제소지가 커질 수 있음(이걸 발전시켜 다른 범죄로 이어질 수 있을지 모르기 때문)
2) 파밍
- 제보자 본인은 정상 사이트에서 캡처해 보내주었다고 주장할 수 있으나 (온라인 제보이므로 확인 불가)
- 이 점에 대해서는 경찰청에서 배포하는 <파밍캅>으로 호스트 변조여부를 확인하라고 회신 보냈음
- 파밍이 아닌 경우에 이러한 인증이 발생했다면, 이것은 상당한 이슈로 발전될 가능성이 높아 보임
3) 서버오류(가능성은 0%에 수렴하나 억지로 가정함)
- 사실상 ISMS 체계의 보안인증를 받고 있는 금융권에서 결코 있어서는 안되는 구멍이 있을 수도 있을 수 있다는 가정하에 보면
(이 체계가 100% 완벽하다고 볼 수도 없긴 하지만 그래도 2014 카드사태 이후 금융권에서는 거품 물고 민감한 감독기준임)
- 서버의 인증 시스템이 오류가 났다는 가정을 해보면(상상조차 싫은) .... (똘이멍멍: 그래도 이해하기는 어렵.... -_-ㅋ)
- 24시간 관제를 하고 있는 신평사 시스템이라 자체 오류는 ............... 뭐 가능성 없어 보이고..
4) 사이트 구분 "금융서비스"
- 사이트 분류가 되어 저렇게 텍스트로 표현된다는 것은 사업자등록이 되어 있다는 추정이 가능
- 다만 정말 많은 사이트, 정말 오래된 업체에 대한 (발급된 모듈에 대한) 관리가 부실한 상황에서
- 가정 중 1) 항으로 귀결될 거라는 추정이 가능.
- 계약서를 살펴 저 사이트와의 관계나 또는 인증이 발생한 모듈 번호로 인증에 사용된 계약자가 누구인지를 파악할 수 있을 것임.
5) 더이상 추정 시나리오 불가 .... GG .........
- 10년 간 신평사 인증이나 서비스 이야기와 더불어 개인정보보호 드립질을 하고 있는 나도 처음 보는 상황이니
이건 나이스 쪽에서 자체 확인해야 할 듯합니다. 내부 시스템 기록을 확인하시면 어느 정도 쉽게 알 수 있지 않을까 함........
3. 결론
1) 공식 민원접수 추천
- 제보자에게 나이스 지키미 사이트에 물어보시라고 권했습니다.
- 우려와는 달리 "에피소드"로 원인에 쉽게 다가설 수도 있습니다.
- 자체 점검하는 계기도 될 수도 있을 것임
2) 모듈 점검 요망(NICE, KCB, SCI 등)
- 대한민국의 모든 사이트에 공급되어 있다고 해도 무방한 실명인증 모듈에 대한 점검이 필요하며
- 계약이 끝났거나 계약 중임에도 이용이 현저히 떨어진 경우에는 과감히 링크(루트)를 잘라야 위와 같은 문제 소지가 없을 듯함
(하............... 쓰면서도 힘드네... 쉽지 않은 일....)
- 나이스뿐만 아니라 KCB, SCI 등 주민번호 모듈을 제공했던 국내 신용 3사는 자체적으로 점검에 들어가야 할 듯.
---> 정책 기준이나 작업량을 예상하면 <정말 쉬울 수도 vs 어마어마한 작업>이 될 수도....-_-;
3) 주민번호 도용만으로 돈 안털림 ㅋ
- 법이 바뀌어 인증절차가 까다로워졌기 때문에 예전처럼 주민번호만으로는 재산 탈취나 계정 도용은 어렵습니다. 은행이나 게임사 서버와 인증사 자체가 동시에 털리지 않는 이상에는요...
- 주민번호 도용의 가장 큰 목적이 사이트 도용 가입 후 아이템 생산, 도박 또는 성매매 블로그 운영 수수료, 광고 대행 수수료 등 많은데 주민번호 만으로 (서버를 아예 뒤집지 않는 한) 금융 피해를 입히기에는 어려운 상황입니다. 그래서 안심
- 오늘도 "오빠 오빠"하면서 쪽지나 댓글이 많이 옵니다. 환영합니다. 다 삭제 or 자동스팸...ㅎㅎ
혹시 또 다른 의견이 있으시다면 언제나 환영입니다.
저도 배워야하는 모르는 영역이 있을 수 있습니다.
메일 혹은 쪽지, 댓글로 의견 환영합니다.
[2016/5/26 진행상황]
- 제보자께서 나이스 지키미 쪽에 문의 했더니 "삼성생명"에서 인증한 기록이라고 답신이 왔다고 함 ......... 아래 추정 및 해설
[똘이멍멍 해설]
1. 국내 기업에서 해외 사이트를 통해 실명인증을 했다.?
- 블라인드 처리했던 사이트는 www.fc.net 임
- 1994년 부터 등록되어 운영되고 있는 사이트인데 일반적인 사이트는 아닌 듯함(접속 불가)
- 나이스 측에서 "삼성생명"이라고 답한 것은 금융권 피드백 절차상 100% 사실일 수 밖에 없음. 이를 전제하면...
그렇다면 왜 삼성생명에서 일반인의 실명을 뜬금없이 인증했을까?
2. 일반인이 모르는 블랙사이트 존재?
- 고객정보를 다루는 회사들은 자체적으로 본인이 맞는지 검증하는 것이 중요함.
데이터 정제가 곧 돈(수익)으로 이어지니 허수를 필터링 하는게 중요한 일이긴 함
- 2016년 현재, 주민번호로 이리저리 가입하던 시대에서 이제는 본인인증 시대로 넘어와서 주민번호 자체의 검증은 무의미 해졌으나
금융권의 경우 법적인 한계로 아직 주민번호 기반이기 때문에 실명인증은 일부 존재하고 있음
- 그런데 문제는 <삼성생명에 가입하고자 동의 한 것도 아니고>, <해당 듣보사이트에 가입하려던 것도 아닌> 상태에서
난데없이 실명인증 기록이 듣보사이트에서 발생한 것임, 그 주체는 삼성생명이란 것이고.........
- 실명인증 한 것이 사실이고, 인증한 곳은 삼성생명임이 확실하다 가정해 볼 때,
<나도 모르게 실명인증을 당하고 있는> 사례가 많을 것으로 추정됨
- 그렇다면 일반적인 조회기록 외에 보여지지 않는, 물밑에서 인증을 돌리는 블랙 사이트들이 있다는 것임.
3. 불법 실명인증의 책임 소재는?
- 쪽지로 오간 늬앙스를 볼 때, 제보자 본인은 삼성생명 상품을 가입하려 하지도 않았고,
그래서 이 인증기록이 무엇인지 제보한 것인데, (라고 가정을 해보면.....물론 이번 포스팅은 모두 가정의 소설일 뿐이다)
이게 모두 사실이라 가정한다면 결과적으로는 이번 인증은 불법 도용이다.
- 단순히 인증기록을 제공한 나이스 지키미는 책임이 없다. 의무에 충실했을 뿐.
(그러나 자유롭지는 않다. 이와 같은 물밑의 블랙사이트(?), 즉 고객정보 정제를 위해 극소수 블라인드 인증을 제공했던 곳에 대한 관리감독의 부실에 대한 논쟁이 예상된다.)
- 반면에 삼성생명이 본인의 동의 없이 실명인증을 한 것으로 밝혀 진다면 이는 도용에 대한 책임이 있을 것이다. (그래서 해외 서버에 등록을?...쿨럭..)..... 이에 대해 삼성생명 측에서 어떤 이유로 어떻게 인증을 시도하였는지 도용피해자(?)에게 밝힐 필요가 있을 것이다.
- 실명인증 자체로 인한 피해를 줄이기 위해 법이 개정되고 사이트 가입절차도 꼼꼼해 졌다 하지만
언제 어디에서 실명인증이 발생해 예측할 수 없는 피해를 입힐지 모르는 시대상황을 고려한다면
숫자입력과 클릭한번으로 동의없는 인증이 이뤄진 이번 사건은 인증사나 금융사 모두 산재해 있는 인증모듈에 대해 실태파악을 해야할 것으로 보인다.
4. 무단도용 피해자가 더 있지 않을까?
- 무단으로 인증된 사람이 제보자 1명 뿐이라 단정지을 수 없는 이유는, 이러한 인증 기록이 밖으로 새어 나가지 않게 현재도 운영되고 있는 금융사 차원에서의 무엇인가가 있지 않느냐 의심스럽다는 것이다.
- 국내법으로 다스릴 수 없는 국외에서의 인증이라 하여 법적인 책임은 피할 수 있어도 불법 인증의 이유에 대한 도덕적인 책임과 비난은 피할 수 없을 것으로 본다.
- 지금 이 시간에도 기록되지 않는 인증건들이 발생하고 있을지도 모를 일이다.
- 주민번호 유출로 인해 국가적인 재난이 계속되어 오는 상황에 이번 무단 실명인증 사건은 똘이멍멍에게 큰 궁금증을 가져다 주었기도 하다.
- 예상되는 삼성생명의 답변: 고객님 죄송합니다. 해외지사에서 잘못눌러서... 또는 .... 고객님께 더 큰 혜택을 드리고자 ..... 등으로 예상된다.
- 해외 듣보 사이트에서 난데없이 발생한 이번 인증건 제보는 볼 수록 참 신기한 일이다...
?- 위 이야기는 사실이 아닐 수 있으며 똘이멍멍이 가정에 기반한 소설일 뿐입니다 -
* 이후의 이야기는 블로그 원본 http://my799cc.blog.me/2207******83 에 추가 하도록 하겠습니다.
* 잠깐소개:
블로거 <똘이멍멍> 은 2007년 부터 2016년 현재까지 개인정보와 신용정보를 설명해 드리고 있으며, 무료상담도 해드리고 있습니다.
사기없는 건강한 사회, 무서워서 사기치지 못하는 사회를 만들기 위해 국내 최고의 사기정보를 보유한 "더치트"에 칼럼을 제공하고 있으며, 명의도용이나 사기 피해자들의 목소리에 귀를 귀울이고 있습니다. 고맙습니다. (똘이멍멍 블로그: http://my799cc.blog.me)
| 파일 목록 |
|---|
- 댓글 작성 통계
