해킹은 75만 건 부정 발급
데이터 변조로 인증 건너뛴 듯, 보안체계 사실상 무력화
유출된 개인정보 이용 가능성 행자부는 명확히 파악도 못해
주민등록번호 대체수단으로 개발된 공공 아이핀이 해킹공격으로 대거 유출돼 개인정보보호시스템의 취약성이 다시 도마 위에 올랐다. 정부가 아이핀 시스템을 전면 재구축 하겠다며 진화에 나섰지만 불안감은 쉽게 가시지 않을 전망이다.
5일 행정자치부에 따르면 지난달 28일부터 2일 오전까지 공공 아이핀 시스템이 해킹 공격을 받아 부정 발급된 아이핀은 총 75만3,130건이다. 주민번호를 도용해 발급받은 아이핀을 거래한 것이 아니라 아예 시스템에 침범해 공공 아이핀을 대량으로 만들어낸 것이다.
아이핀은 온라인에서 주민번호 등 개인정보가 유출되는 것을 차단하기 위해 지난 2006년 민간 부문부터 도입된 인터넷상 개인식별번호다. 각종 온라인 서비스의 회원가입시 주민등록번호를 사용하지 않고도 본인임을 확인할 수 있다.
통상 공공 아이핀을 발급받을 때는 사용자계정, 본인확인, 발급완료 등 3단계 절차를 거쳐야 한다. 하지만 이번 해킹 세력은 1,2단계를 거치지 않은 채 곧바로 3단계인 발급 단계를 밟은 것으로 당국은 추정하고 있다. 오윤탁 한국지역정보개발원 책임은 “공공 아이핀을 발급받으려면 공인인증서 등으로 본인인증절차를 거쳐야 하는데 마치 정상적으로 이뤄진 것처럼 오인하도록 데이터를 변조해 단계를 건너 뛴 것으로 보인다”고 설명했다. 해커가 공공아이핀을 관리하는 인증기관의 정상발급 절차를 우회해 아이핀을 임의로 발급한 것이다.
이는 공공 아이핀의 핵심인 보안체계를 사실상 무력화시켜 근본적인 취약성을 입증한 것으로 전면 재검토가 불가피하게 됐다. 한 보안 전문가는 “개인정보 노출 문제를 해결하기 위해 구축한 시스템 자체가 무너진 꼴”이라며 “정확한 취약점을 밝히고 보안을 확보할 때까지 공공 아이핀 발급을 중단해야 한다”고 말했다.
공공 아이핀 발급에 주민번호 입력이 필수적이고, 부정 발급한 아이핀 중 8,000건이 이미 게임사이트 3곳의 회원인 점을 감안하면 아이핀 발급 전에 주민번호 등 개인정보를 이미 보유하고 있었을 가능성이 높아 보인다. 하지만 행자부는 이번 해킹 공격으로 부정 발급된 아이핀이 더 있는지, 주민번호가 같이 노출됐는지 등을 아직 명확하게 파악하지 못하고 있다.
정부는 경찰에 수사를 의뢰하는 한편, 아이핀 관계기관 대책회의에서 프로그램 소스분석 및 모의 해킹을 실시하는 등 아이핀 발급ㆍ인증체계의 보안취약점 점검에 나섰다. 공공 아이핀을 관리하는 지역정보개발원, 민간 아이핀을 관리하는 한국인터넷진흥원(KISA)은 아이핀 시스템을 전면 재구축하는 방안 등을 검토할 방침이다.
진보네트워크센터 측은 “아이핀은 주민번호 대체 수단으로 도입됐지만 그 자체가 또 다른 ‘만능키’ 역할을 하고 있어 해커들의 표적이 되고 있다”며 “구글, 페이스북 등 선진국 사이트에서는 거의 없는 본인확인 인증제를 꼭 유지할 필요가 있는지 근본부터 재검토할 때”라고 말했다.
정부가 운영하는 공공 아이핀을 발급받은 이용자는 현재까지 426만 명으로 집계됐다.
'IT & Insight > IT News' 카테고리의 다른 글
삼성전자·구글·애플·퀄컴, 협력하며 경쟁하는 '프레너미' (0) | 2015.03.09 |
---|---|
“크라우드소싱 데이터, 무료로 받으세요” (0) | 2015.03.06 |
구글, 이동통신 사업 진출 공식 발표 (0) | 2015.03.05 |
핀테크 주도권 IT업체로 기울어진다 (0) | 2015.03.05 |
[MWC 2015 현장]트렌드를 읽다···손목 위 ‘혁신’ 본격화 (0) | 2015.03.04 |