온라인 주민번호 대체수단 공공 아이핀이 해킹 공격을 받았다. 75만건에 달하는 부정 아이핀이 발급됐으며 상당수는 실제로 사용됐다. 아이핀 시스템 전면 재구축이 필요하다는 지적이다.
행정자치부는 지난 주말 공공 아이핀 시스템에서 75만건가량 부정 발급이 이뤄졌다고 5일 밝혔다. 공공 아이핀은 온라인 개인정보 노출을 차단하기 위한 주민번호 대체수단이다. 지난 2006년 도입됐다.
해킹 사고는 지난달 28일부터 2일 오전까지 이뤄졌다. 단기간에 급격히 아이핀 발급량이 증가해 행자부가 경위를 조사하는 과정에서 해킹과 부정발급 사실이 확인됐다.
사고는 공공 아이핀 시스템 취약점을 악용했다. 정상 발급 절차를 우회했다. 해커는 처음부터 시스템에 들어가 공공 아이핀을 대거 생성시킨 것으로 파악됐다. 주민번호를 도용해 아이핀을 발급, 거래한 기존 사례와는 달랐다. 부정발급에는 모두 같은 공인인증서와 패스워드가 사용됐다.
공격 주체가 누구인지는 확인되지 않았다. 다만 해킹에는 2000여개 국내 IP가 동원된 것으로 파악됐다. 사용된 소프트웨어(SW)는 중국어 버전이다. 부정 발급된 아이핀 중 12만건이 게임 사이트 계정에 활용됐다. 부정 발급 아이핀으로 신규 회원가입, 기존 이용자 계정을 수정·변경했다.
행자부는 사고 발생 즉시 부정 발급에 이용된 프로그램 취약점을 수정했다. 추가 발급을 차단하고 발급된 아이핀을 모두 삭제했다. 또 민간 아이핀 기관과 사고 관련 게임사에 사용 내역을 전달했다. 신규 회원 강제 탈퇴와 사용 잠정 중지 등 긴급 사용자 보호조치를 취했다.
2차 피해 최소화에도 주력하고 있다. 아이핀 관계기관 대책회의를 긴급 소집해 사고 대책을 논의하고 기관별 추진상황도 점검했다. 프로그램 소스분석과 모의해킹 등으로 아이핀 발급·인증 체계 보안 취약점을 개선 조치키로 했다. 공공 아이핀센터에 비상대응팀을 구성해 24시간 집중 모니터링체계를 운영 중이다.
행자부는 관계자는 “경찰청에 긴급히 수사를 요청해 현재 수사 중”이라며 “한국인터넷진흥원(KISA) 등 전문기관을 통해 아이핀 시스템 전면 재구축 방안을 검토할 예정”이라고 밝혔다.
공공 아이핀이 해킹공격에 무너지면서 개인정보보호 시스템 전반에 불안감이 증폭된다.
한 보안 전문가는 “개인정보 노출 문제를 해결하기 위해 구축한 시스템이 무너진 셈”이라며 “관계당국의 안일한 보안경각심을 여실히 보여주는 사례”라고 지적했다.
윤대원 기자 yun1972@etnews.com
