DOI QR코드

DOI QR Code

Security Analysis on the Implementation Vulnerabilities of I-PIN

주민등록번호 대체수단에 대한 구현 취약점 분석

  • Choi, Youn-Sung (Information Security Group, School of Information and Communication Engineering, Sungkyunkwan University) ;
  • Lee, Yun-Ho (Information Security Group, School of Information and Communication Engineering, Sungkyunkwan University) ;
  • Kim, Seung-Joo (Information Security Group, School of Information and Communication Engineering, Sungkyunkwan University) ;
  • Won, Dong-Ho (Information Security Group, School of Information and Communication Engineering, Sungkyunkwan University)
  • 최윤성 (성균관대학교 정보통신공학부 정보보호연구소) ;
  • 이윤호 (성균관대학교 정보통신공학부 정보보호연구소) ;
  • 김승주 (성균관대학교 정보통신공학부 정보보호연구소) ;
  • 원동호 (성균관대학교 정보통신공학부 정보보호연구소)
  • Published : 2007.04.30

Abstract

A resident registration number is used to confirm and prove his/her identity in a government/non-governmental agency. It is a essential requirement to become the registered member on internet website in Korea. It is serious problem that the resident registration number and name are outflowed in internet and misused by others. So the MIC(Ministry of Information and Communication) in Korea plans and operates the identification system using I-PIN that integrate 5 alternative methods of resident registration number. In this paper, we analyze the problem about the method of 5 I-PIN services and show the security analysis on the implementation vulnerabilities of I-PIN services. we also analyze 17 websites that provides identification system using I-PIN. Finally, we analyze the overall problem of I-PIN service and propose the countermeasure about the problem.

주민등록번호는 공공기관뿐만 아니라 민간분야에서도 개인의 신원확인을 위해 사용되고 있다. 뿐만 아니라 주민등록번호는 인터넷 웹사이트에 회원가입을 할 때 필수적으로 요구되는 사항이다. 인터넷상에 개인의 주민등록번호와 이름이 유포돼 오남용 문제가 심각해짐에 따라, 정보통신부의 계획에 의거 현재 5개의 주민등록번호 대체수단을 통합한 I-PIN(Internet Personal Identification Number) 서비스를 시행 중이다. 이에 본 논문에서는 현재 운영 중인 5개의 I-PIN 서비스를 분석하여 이들 각각의 구현 취약점에 대해 알아본다. 그리고 실제로 회원 가입 시 I-PIN 서비스를 이용하는 17개의 홈페이지를 분석한 후, I-PIN 서비스의 전체적인 문제점을 파악하고 그에 대한 대책을 제시한다.

Keywords

References

  1. 염홍열, 이석래 저, [특집] 인터넷 상에서 주민등록번호 대체수단 발전방향, 대한전자공학회, 전자공학회지 제32권 11호, 2005. 11, pp. 61-73
  2. 이민영, 주민등록번호 남용억제에 관한 법제적 고찰, 정보통신정책, 제16권 8호 통권346호 pp. 1-17, 2004
  3. 인터넷상의 주민번호 대체수단 가이드라인, 정보통신부, 2006.10
  4. 주민번호 대체수단 소개 및 진행현황, 한국정보보호진흥원, 2006
  5. 주민번호대체수단-본격도입, 정보통신부 보도자료, 2006.10
  6. 전성배, 인터넷상의 주민번호 대체수단 가이드라인 및 향후 추진 로드맵, 2005.10 공청회 발표자료
  7. 염홈열, 주민등록번호 보호 수단, 2005.6.9, 디지털타임즈 전망대
  8. 이석래, 주민번호대체수단으로 공인인증서 활용방안, 2005.8.31. PKI-KR2005
  9. 정보통신부 홈페이지 (http://www.mic.go.kr)
  10. 정보보호기술 훈련장 (http://www.sis.or.kr)
  11. 인터넷침해사고 대응지원센터 (http://www.krcert.or.kr)
  12. 김포시청 (http://www.gimpo.go.kr)
  13. 영등포구청 (http://www.ydp.go.kr)
  14. 한국정보문화진흥원 홈페이지 (http://www.kado.or.kr)
  15. 한국소프트웨어진흥원 홈페이지 (http://www.software.or.kr)
  16. 정보통신연구진흥원 홈페이지 (http://www.iita.re.kr)
  17. 충북도청 홈페이지 (http://www.cb21.net)
  18. IT수출정보데이터베이스 홈페이지 (http://www.itx.or.kr)
  19. 한국신용정보 홈페이지 (http://www.nice.co.kr)
  20. 서울신용평가정보 (http://www.sci.co.kr)
  21. 라이크호스트 홈페이지 (http://www.likehost.com)
  22. 쎌덤 홈페이지 (http://www.celldom.co.kr)
  23. 칠리칠리닷컴 홈페이지 (http://www.chili72.com)
  24. 테크노비젼 홈페이지 (http://www.technovision.co.kr)
  25. 17-KMPS 인트라넷 (https://pay.kmps.co.kr)