더 이상 이 블로그는 운영되지 않습니다. 새 블로그로 가 주세요.
주민등록번호 얘기
2004/11/18 PM 06:38 | 일상/진지하게 | 4 comments | 0 trackbacks | AllBlog: vote, to pocket
- 주민등록번호를 입력하라고 하는 사이트들을 볼 때마다 사람들은 짜증을 낸다. 사이트 측 입장으로는 어떻게 보면 입력하라는 게 나을 수도 있는데, 법적인 문제가 발생하였을 때 유용하기도 하고 중복 처리 등이 편해지기 때문이다. 하지만 대부분의 경우 그냥 아무 생각 없이 주민등록번호를 입력하는 경우가 많다.
- 아주 옛날 주민등록번호 인증 같은 게 없이 오류 체크만 했던 때에는 주민등록번호 생성기 가지고 돌려서 아이디 만드는 경우가 빈번했다. 사실 주민등록번호 오류 체크 알고리즘이 아주 단순한 weighted checksum에 불과하기 때문에 손으로도 만들려면 얼마든지 만들 수 있고, 때문에 주민등록번호 입력하는 과정은 있으나 마나 했다.
- 시간이 지나면서 사이트들은 하나 둘씩 인증 체계를 만들기 시작했다. 일반적으로 한국신용정보(주)와 같은 업체들과 계약하고 인증 체계를 가져다가 쓰는 형식인데, 이런 업체들의 주민등록번호 출처들은 대부분이 신용카드와 같이 확실히 믿을 만한 곳에서 온다. 하지만 신용카드 안 쓰는 사람이나 주민등록증 발급 못 받은 미성년자 등은 이런 방법으로는 전혀 인증이 되지 않았다.
- 이러한 특수한(사실 특수한 것도 아니고 전 국민의 10%가 넘는 수준이지만) 경우를 처리하는 방법은 두 가지로 나뉘었다. 하나는 그냥 내 빼는 것이었고(이글루스 같은 경우 미성년자에 대해서는 이렇게 처리하고 있는 걸로 안다. 하지만 대부분의 서비스는 미성년자들도 사용할 수 있어야 하기 때문에 이런 정책을 취하기 힘들다.) 또 하나는 신용 업체에다가 자기 신분을 증명할 수 있는 서류를 복사하던지 팩스로 보내 달라는 것이었다. 지금은 거의 모두 후자를 사용하는데, 문제가 하나 있다. 주민등록증 없는 미성년자는 순전히 주민등록등본 같은 걸 쓸 수 밖에 없는데 등본에 자기 이름과 주민등록번호만 달랑 써 있는 게 아니라 가족 정보라던지 하는 사생활 침해가 될 수 있는 내용이 같이 들어 있기 때문에 문제가 되기 충분했다. 하지만 이런 문제가 있음에도 불구하고 아직도 이 방법은 널리 애용(..)되고 있다.
- 몇몇 개발자들은 아예 정부가 가진 데이터베이스로 이런 방법을 사용할 수 있게 하기 위해서 비공개 체크 서버를 두고 일정한 돈 주고 체크 서비스를 사용할 수 있게 하자는 의견을 내기도 했지만 그게 필요가 있느냐는 반론이 더 많아서 그냥 의견에 그치기도 했다.
- 한편 제로보드와 같이 주민등록번호 체크 루틴을 제공하는 공개 프로그램이 늘어 나면서 개인 홈페이지에까지 주민등록번호를 요구하는 경우가 폭발적으로 늘어 났다. 물론 앞에서 말한 솔루션들은 돈 주고 계약해야 하는 거라서 그럴 돈 없는 일반 사용자들은 그냥 parity check만 하는 걸로 만족해야 했는데, 사생활 침해를 우려한 몇몇 개발자들(제로보드 개발자도 마찬가지로...)은 주민등록번호를 단지 중복 체크 용으로만 활용하기 위해서 one-way hash function으로 암호화해서 저장하는 방법을 택하기도 하였다. 물론 이런 정책이 중복 가입자 방지에 전혀 효과가 없다는 것은 얼마 안 가서 밝혀졌지만, 아직도 많은 개인 홈페이지들이 주민등록번호를 받고 있다. (재밌는 것은 제로보드 같은 경우 웹 표준 준수 부분에서 치명적인 결점을 안고 있기 때문에, 몇몇 사람이 표준 준수를 요청하기 위해서 제로보드 홈페이지 -- 현재의 nzeo.com -- 에 가입하고 글을 쓰려 했지만, 주민등록번호를 입력하라는 것 때문에 때려 치웠다는 소문이 무성하다는 것이다.)
- 오늘 엔펀넷(동방산"업"기"술"로 유명한 그 곳)에 가입하려다가 주민등록번호 입력 폼을 보고 내 것을 집어 넣었다가 어김 없이 인증 받으라는 쌩소리를 봤다. 그래도 요즘은 좀 세상이 좋아진 듯 주민등록증 발급 날짜 같은 거 써서 주민등록증 있는 사람 자동으로 체크하게 되어 있었지만 주민등록증 없는 사람들에 대한 정책은 여전하다. irc에서 종종 볼 수 있는 어떤 IT 업체 대표께서 메일 서비스 시작하면서 주민등록번호 받게 했다가 미성년자 등의 가입이 힘든 까닭에 그냥 주민등록번호 안 받도록 고쳤다는 일화도 생각났다. 주민등록번호가 비록 번호에 불과한 것일 지라도, 국민 하나 하나의 식별을 가능케 한다는 점에서 이를 받는다는 건 어찌 보면 사생활 침해의 소지가 될 수 있다는 건 공감하지 않는 사람이 별로 없을 것이다. 게다가 주민등록번호 말고도 사이트 이용에 별 상관 없는 (업체들은 필요할 지도 모르겠다. 팔아 넘기려고...) 개인 정보들 마구 입력받는 이유가 뭔지 참... 과도한 권리라 생각하지 않는가? 거기에 실명 인증 받으려면 주민등록등본 입력해야 한다니 이건 너무 심하지 않는가? 미성년자를 봉으로 아는 거냐? -_- 개인 홈페이지 운영하는 사람들도 그렇다. 인증도 안 되고 중복 방지에 거의 도움도 되지 않는데 왜 주민등록번호 입력받으려고 그러는가? 제로보드 소스 조금 고쳐서 hash function 안 거치고 그대로 데이터베이스에 입력되도록 하는 거 졸라 간단하다. 제로보드 쓴다 해도 암호화 될 지 안 될 지는 순전히 사이트 운영자의 양심에 맡길 일인데... 차라리 입력하지 않게 하는 게 속 편하지 않는가? 왜 주민등록번호를 쓰라고 하는 건지, 참 알 수 없는 일이다.
- 덤: 엔펀넷 실명 인증이 안 되는 걸 보고 에라 모르겠다 하고 제로보드 크래킹이라도 해 보려 했으나 손님 권한으로 글 쓸 수 있는 게시판이 없어서 포기. 회원 가입 안 해도 글 좀 쓸 수 있게 해 달란 말이야!
- 아주 옛날 주민등록번호 인증 같은 게 없이 오류 체크만 했던 때에는 주민등록번호 생성기 가지고 돌려서 아이디 만드는 경우가 빈번했다. 사실 주민등록번호 오류 체크 알고리즘이 아주 단순한 weighted checksum에 불과하기 때문에 손으로도 만들려면 얼마든지 만들 수 있고, 때문에 주민등록번호 입력하는 과정은 있으나 마나 했다.
- 시간이 지나면서 사이트들은 하나 둘씩 인증 체계를 만들기 시작했다. 일반적으로 한국신용정보(주)와 같은 업체들과 계약하고 인증 체계를 가져다가 쓰는 형식인데, 이런 업체들의 주민등록번호 출처들은 대부분이 신용카드와 같이 확실히 믿을 만한 곳에서 온다. 하지만 신용카드 안 쓰는 사람이나 주민등록증 발급 못 받은 미성년자 등은 이런 방법으로는 전혀 인증이 되지 않았다.
- 이러한 특수한(사실 특수한 것도 아니고 전 국민의 10%가 넘는 수준이지만) 경우를 처리하는 방법은 두 가지로 나뉘었다. 하나는 그냥 내 빼는 것이었고(이글루스 같은 경우 미성년자에 대해서는 이렇게 처리하고 있는 걸로 안다. 하지만 대부분의 서비스는 미성년자들도 사용할 수 있어야 하기 때문에 이런 정책을 취하기 힘들다.) 또 하나는 신용 업체에다가 자기 신분을 증명할 수 있는 서류를 복사하던지 팩스로 보내 달라는 것이었다. 지금은 거의 모두 후자를 사용하는데, 문제가 하나 있다. 주민등록증 없는 미성년자는 순전히 주민등록등본 같은 걸 쓸 수 밖에 없는데 등본에 자기 이름과 주민등록번호만 달랑 써 있는 게 아니라 가족 정보라던지 하는 사생활 침해가 될 수 있는 내용이 같이 들어 있기 때문에 문제가 되기 충분했다. 하지만 이런 문제가 있음에도 불구하고 아직도 이 방법은 널리 애용(..)되고 있다.
- 몇몇 개발자들은 아예 정부가 가진 데이터베이스로 이런 방법을 사용할 수 있게 하기 위해서 비공개 체크 서버를 두고 일정한 돈 주고 체크 서비스를 사용할 수 있게 하자는 의견을 내기도 했지만 그게 필요가 있느냐는 반론이 더 많아서 그냥 의견에 그치기도 했다.
- 한편 제로보드와 같이 주민등록번호 체크 루틴을 제공하는 공개 프로그램이 늘어 나면서 개인 홈페이지에까지 주민등록번호를 요구하는 경우가 폭발적으로 늘어 났다. 물론 앞에서 말한 솔루션들은 돈 주고 계약해야 하는 거라서 그럴 돈 없는 일반 사용자들은 그냥 parity check만 하는 걸로 만족해야 했는데, 사생활 침해를 우려한 몇몇 개발자들(제로보드 개발자도 마찬가지로...)은 주민등록번호를 단지 중복 체크 용으로만 활용하기 위해서 one-way hash function으로 암호화해서 저장하는 방법을 택하기도 하였다. 물론 이런 정책이 중복 가입자 방지에 전혀 효과가 없다는 것은 얼마 안 가서 밝혀졌지만, 아직도 많은 개인 홈페이지들이 주민등록번호를 받고 있다. (재밌는 것은 제로보드 같은 경우 웹 표준 준수 부분에서 치명적인 결점을 안고 있기 때문에, 몇몇 사람이 표준 준수를 요청하기 위해서 제로보드 홈페이지 -- 현재의 nzeo.com -- 에 가입하고 글을 쓰려 했지만, 주민등록번호를 입력하라는 것 때문에 때려 치웠다는 소문이 무성하다는 것이다.)
- 오늘 엔펀넷(동방산"업"기"술"로 유명한 그 곳)에 가입하려다가 주민등록번호 입력 폼을 보고 내 것을 집어 넣었다가 어김 없이 인증 받으라는 쌩소리를 봤다. 그래도 요즘은 좀 세상이 좋아진 듯 주민등록증 발급 날짜 같은 거 써서 주민등록증 있는 사람 자동으로 체크하게 되어 있었지만 주민등록증 없는 사람들에 대한 정책은 여전하다. irc에서 종종 볼 수 있는 어떤 IT 업체 대표께서 메일 서비스 시작하면서 주민등록번호 받게 했다가 미성년자 등의 가입이 힘든 까닭에 그냥 주민등록번호 안 받도록 고쳤다는 일화도 생각났다. 주민등록번호가 비록 번호에 불과한 것일 지라도, 국민 하나 하나의 식별을 가능케 한다는 점에서 이를 받는다는 건 어찌 보면 사생활 침해의 소지가 될 수 있다는 건 공감하지 않는 사람이 별로 없을 것이다. 게다가 주민등록번호 말고도 사이트 이용에 별 상관 없는 (업체들은 필요할 지도 모르겠다. 팔아 넘기려고...) 개인 정보들 마구 입력받는 이유가 뭔지 참... 과도한 권리라 생각하지 않는가? 거기에 실명 인증 받으려면 주민등록등본 입력해야 한다니 이건 너무 심하지 않는가? 미성년자를 봉으로 아는 거냐? -_- 개인 홈페이지 운영하는 사람들도 그렇다. 인증도 안 되고 중복 방지에 거의 도움도 되지 않는데 왜 주민등록번호 입력받으려고 그러는가? 제로보드 소스 조금 고쳐서 hash function 안 거치고 그대로 데이터베이스에 입력되도록 하는 거 졸라 간단하다. 제로보드 쓴다 해도 암호화 될 지 안 될 지는 순전히 사이트 운영자의 양심에 맡길 일인데... 차라리 입력하지 않게 하는 게 속 편하지 않는가? 왜 주민등록번호를 쓰라고 하는 건지, 참 알 수 없는 일이다.
- 덤: 엔펀넷 실명 인증이 안 되는 걸 보고 에라 모르겠다 하고 제로보드 크래킹이라도 해 보려 했으나 손님 권한으로 글 쓸 수 있는 게시판이 없어서 포기. 회원 가입 안 해도 글 좀 쓸 수 있게 해 달란 말이야!
TrackBack URL: http://sapzil.info/soojung/trackback.php?blogid=202
Comment: 토끼군 (2004/11/18 PM 08:21)
제가 고안한 방법은 preg_replace를 사용하는 모든 버전 -- 아마 4.0 이상이면 모두... 4.1pl4도 포함 -- 에 적용 가능합니다. 서버 사양을 아주 약간 탄다는 게 문제긴 합니다만 95% 이상의 서버에 적용 가능하지요. :)
Comment: ddt (2004/11/18 PM 10:34)
이야 알려줘요. 흐물흐물 사이트에 써먹게.. (먼산)
(위에 잘못 올린건 지워주세요-_-;;)
Comment: 토끼군 (2004/11/18 PM 10:43)
ddt: 이, 이보세요. ;;;;;;;;;;;
Comment: 디토 (2004/11/18 PM 08:07)
제로보드가 4.1pl3 또는 그 이전 버전이면 크래킹이 가능합니다. DB 덤프 가능! (pl4가 나온 이유가 바로 그거였습니다. 제가 리포팅 했거든요. -_-;;)