해킹에 뚫린 아이핀 '개인정보' 또 구멍

세계일보

사상 처음… 75만여건 부정 발급
12만건 게임사이트서 사용 확인
주민번호 대체수단 허점 드러내
정부선 쉬쉬하다 뒤늦게 공개 정부가 주민등록번호 대체수단으로 권장해온 공공아이핀이 해킹 공격을 받아 수십만건이 부정 발급됐다. 주민번호 도용에 따른 아이핀 부정 발급은 있었지만 아이핀 시스템 자체가 외부 공격에 뚫린 것은 이번이 처음이다. 개인정보 유출 우려가 확산될 전망이다. 하지만 정부는 해커에 공격당한 사실을 바로 공개하지 않고 사흘간 쉬쉬해 온 것으로 드러났다. 전문가들은 예견됐던 일이 발생한 것이라며 아이핀 정책 자체를 전면 재검토해야 한다고 지적한다.

◆노후시스템 취약점 공격

행정자치부는 지난달 28일부터 2일 사이 공공아이핀 시스템이 공격을 받아 75만2130건이 부정 발급됐다고 5일 밝혔다. 행자부는 지난주 말 아이핀 발급량이 급격히 증가하자 경위를 조사한 결과 이 같은 사실을 확인했다.

행자부에 따르면 해커가 프로그램의 취약점을 이용해 정상발급 절차를 우회하는 ‘파라미터 위변조’ 방식으로 아이핀을 대량으로 부정 발급했다. 본인인증이 정상적으로 이뤄진 것처럼 시스템이 오인하도록 데이터(파라미터값)를 변조해 본인인증을 건너뛴 것이다.

이 과정에서 2000여개의 국내 인터넷 프로토콜(IP)이 동원되고 중국어 버전의 소프트웨어가 사용됐다. 부정 발급된 아이핀 중 12만건은 3개 유명 게임사이트의 신규 회원가입, 기존 이용자 계정 수정·변경(8000건) 등에 이용된 것으로 파악됐다.

행자부 관계자는 “신규 발급 시 정확한 값을 넣고 검증을 거쳐서 다음 단계로 넘어가야 하는데 이를 건너뛰고 예상하지 못한 방법으로 발급을 받은 것으로 보인다”며 “공공아이핀 시스템이 (오래전인) 2007년도에 개발돼 그동안 취약점을 발견하지 못했다”고 말했다.

◆공공아이핀 신뢰도 급락

잇따른 개인정보 유출사고 이후 거의 유일한 주민번호 대체수단으로 정부가 홍보해온 아이핀의 시스템에 허점이 드러나면서 신뢰도가 급락하게 됐다. 인터넷상 주민번호 유출·도용 등의 문제를 해결하기 위해 2006년 아이핀이 도입된 이후 시스템이 해킹된 것은 처음이다.

행자부는 지금까지 보고된 개인정보 유출 피해는 없다고 밝혔지만 피해가 확산될 가능성도 배제할 수 없다. 아이핀 발급에 주민번호가 필요하며 부정 발급된 아이핀 중 8000건은 이미 게임사이트 3곳의 회원인 점 등으로 미뤄 공격 주체가 개인정보를 소유했을 가능성이 크기 때문이다. 부정 발급된 아이핀으로 개인정보가 유출됐는지도 명확히 파악되지 않은 상태다.

특히 행자부는 2일 오전 이상징후를 파악했으면서도 이 사실을 5일에야 뒤늦게 공개해 신뢰도 추락을 자초했다. 행자부 관계자는 “피해 확산 방지를 위해 부정발급 아이핀을 삭제조치하고 아이핀을 다른 용도로 쓰는 2차 피해를 방지하는 데 집중했으며 긴급 조치가 끝났다고 판단해 지금 공개하는 것”이라고 설명했다.

행자부와 한국지역정보개발원은 사고 발생 즉시 부정 프로그램의 취약점을 수정해 추가 부정 발급을 차단했다고 밝혔다. 아울러 해당 아이핀이 사용된 게임사이트에서 신규 발급받은 계정을 모두 폐쇄하고 침투 시도가 있었던 기존 계정도 중단시키는 한편 경찰에 수사를 요청했다. 정부는 이번 사건을 계기로 아이핀 시스템을 완전히 다시 구축하는 방안을 검토 중이다.

◆ 아이핀(i-PIN)=인터넷상 개인식별정보를 뜻하는 아이핀은 웹 서비스를 이용하거나 온라인 회원 등으로 가입할 때 주민번호를 대신해 본인 확인을 할 수 있는 수단이다. 공공아이핀은 행자부 산하 지역정보개발원에서 관리하고 있으며 민간아이핀 업체도 3곳이 있다. 지난해 8월 주민번호 무단 수집이 금지되면서 아이핀 가입자 수가 급증해 공공아이핀 430만건, 민간아이핀 1530만건이 발급된 상태다.

백소용 기자 swinia@segye.com

세계일보

스포츠

해킹에 뚫린 아이핀 '개인정보' 또 구멍

오피니언

HOT뉴스

포토