인터넷 본인 확인 수단 ‘아이핀’ 시스템이 뚫렸다. 해커가 공공아이핀 시스템 보안 취약점을 이용해 75만건에 달하는 아이핀을 부정으로 발급했다. 실생활에서 주인 없는 가짜 주민번호가 75만건이 생성된 것과 같다. 행자부가 부정 발급된 75만건을 긴급 삭제했지만 땅에 떨어진 신뢰도는 회복하기 어려울 전망이다. 특히 이 사건으로 공공기관의 안일한 정보보호 실태가 민낯을 드러냈다.
◇아이핀 시스템 의미 상실=인터넷에서 주민번호를 대체하는 아이핀이 최대 위기를 맡았다. 특히 지역정보개발원에서 관리하는 공공아이핀 시스템 자체가 해킹됐다. 앞서 방통위에서 아이핀 기술안전성에 의문이 제기된 가운데 우려했던 실제 사고가 일어났다. 정부는 아이핀의 기술적 안전성에 문제있다는 사실을 인지하고도 방치했다는 비난을 피할 수 없게 됐다.
최성준 방통위원장은 지난달 26일 정부과천청사에서 열린 전체회의에서 “아이핀 설계 당시 예상하지 못했던 단점이 생길 수 있다”며 “아이핀 기술원리상 관리·평가기관이 해킹당하면 아이핀 의미가 상실된다”고 강조했다.
김승주 고려대 정보보호대학원 교수는 “정부는 주민번호를 대체하는 아이핀이 아니라 처음부터 주민번호 자체가 없는 인터넷 생태계를 만들어야 했다”며 “아이핀이 주민번호를 대체하면서 해커의 또 다른 표적이 됐다”고 설명했다.
◇자동화된 해킹 툴 존재 가능성=공공아이핀 발급 시스템은 중요 국가 인프라 시설이다. 해커는 ‘파라미터 위·변조’라는 수법을 동원해 공공아이핀 시스템 취약점을 공격했다. 공공아이핀에 가입하려면 공인인증서로 공인인증을 거치는데 본인인증이 정상적으로 이뤄진 것처럼 시스템이 오인하도록 데이터를 변조했다. 사실상 본인인증 과정을 건너뛰었다. 공격에 2000개 국내 IP가 동원됐고 중국어 버전 소프트웨어가 사용됐다.
전문가들은 3일 동안 75만건의 아이핀이 발급됐다는 점에서 자동화된 해킹 툴 존재 가능성을 우려한다. 결국 공공아이핀 발급 시스템 설치 후 제대로 보안 관리가 되지 않은 정황이다. 공공아이핀 발급 시스템처럼 중요한 국가 인프라는 보안 취약점을 지속 점검해야 한다고 전문가들은 강조한다.
행자부는 뒤늦게 공공아이핀 프로그램 소스를 분석하고 모의해킹을 통해 취약점 긴급 점검에 나섰다. 한국인터넷진흥원과 아이핀시스템 전면 재구축 방안까지 검토에 들어갔다.
김용대 KAIST 전자공학과 교수는 “공공아이핀 발급 시스템 자체에서 발생한 취약점인지 운영상의 잘못인지 밝혀야 한다”며 “중요한 국가 웹시스템과 관련해 취약점을 찾는 버그바운티를 활성화하면 이 문제에 적극 대응할 수 있다”고 말했다.
◇피해는 없나=전문가들은 행자부가 긴급 삭제한 75만건 외에 같은 방법으로 발급된 아이핀이 더 있을 것으로 추정했다. 이번 사건이 공공아이핀 발급 시스템 취약점에서 비롯됐기 때문이다.
한 보안전문가는 “이번에는 75만건에 달하는 대량 발급으로 꼬리가 잡혔지만 과거에 같은 취약점을 이용해 조금씩 발급했을 가능성을 배제할 수 없다”고 설명했다.
행자부는 이번 해킹 공격에 유출된 주민번호가 이용됐는지, 부정 발급된 아이핀으로 개인정보가 유출됐는지 등을 명확하게 파악하지 못했다. 하지만 해커가 미리 확보한 개인정보를 시스템 공격에 사용했을 것으로 짐작된다. 공공아이핀 발급에는 이름과 주민번호가 필수다. 부정 발급된 공공아이핀과 동일한 개인정보로 가입된 이용자가 게임사이트 3곳에 8000명이나 있었기 때문이다.
행자부는 이번 공격이 일반 해킹과 다르다고 해명했다.
행자부 관계자는 “2차 피해를 최소화하기 위해 민간아이핀 기관과 관련 게임사에 사용 내역을 전달했다”며 “부정 발급된 아이핀으로 신규회원을 가입할 경우 회원 탈퇴조치하고 사용자 정보를 수정하면 임시 중지 조치된다”고 설명했다.
김인순기자 insoon@etnews.com