정부가 부정 발급·사용되고 있는 공공아이핀을 일제히 정비한다. 오는 5월 1일에는 기존 발급된 공공아이핀 사용을 전면 중지한다. 실제 사용자는 이날부터 본인인증을 거쳐 아이핀을 재발급 받아야 한다. 부정발급·사용을 가려내기 위한 특단 조처다.
행정자치부는 25일 ‘공공아이핀 부정발급 재발방지 종합대책’을 발표했다. 최근 발생한 공공아이핀 대량 부정발급 사고 이후 구성한 ‘공공아이핀 부정발급 대책수립 태스크포스’에서 마련했다.
우선 보안을 수준을 강화한다. 시스템에 민간 아이핀 해킹방지 기능을 적용한다. 2차 패스워드 등 추가 인증수단도 도입한다. 부정 발급으로 의심되는 아이피(IP)는 접속 즉시 차단된다. 보안 수준을 강화한 뒤 부정 발급·사용 중인 공공아이핀 일제 점검에 나선다.
행자부는 “500만건 공공아이핀 사용을 오는 5월 1일 전면 중지한다”며 “모든 사용자가 본인확인 후 재사용토록 유도, 타인 명의로 부정발급·사용 중인 아이핀을 정비할 것”이라고 말했다. 유효기간도 1년으로 제한한다. 이때부터 이용자는 매년 재발급을 받아야 한다.
시스템 전면 재구축 방안도 상반기에 마련한다. 도입 후 7년 지난 노후장비는 교체한다. 업무처리절차, 시스템 구조·성능 등 시스템 전반을 검토한 뒤 시큐어코딩과 부정사용방지시스템(FDS) 기술을 도입한다. 이를 위해 행자부는 긴급 재원 42억원을 투입한다.
공공아이핀 관리주체도 지역정보개발원에서 전문보안기관으로 이관한다. 위탁운영기관 관리역량과 전문성 부족이 사고원인 중 하나로 지목됐기 때문이다.
공공기관 웹사이트는 원칙적으로 회원가입을 없앤다. 본인확인이 필요한 서비스에만 아이핀을 사용토록 관련 지침을 개정한다. 경찰청, 방송통신위원회, 금융위원회 등 유관기관 합동으로 개인정보 유출사고 재발방지대책을 마련키로 했다.
공공아이핀 주요 사용처인 게임사이트의 부정사용 대처방안은 내놓지 못했다. 정부는 이번 사고가 시스템 설계와 관리부실에서 비롯됐다고 시인했다. 노병규 합동점검단장은 “사고 원인이 시스템 설계상 오류에서 비롯됐다”며 “이상 징후 관제체계가 없고 관리역량도 부족했다”고 말했다.
심덕섭 창조정보조직실장은 “시스템 개발 이후 프로그램 업그레이드와 보안에 정상 수준에 훨씬 못 미치는 8억원이 투자됐다”고 말했다.
그럼에도 정부는 주민번호 대체수단으로 아이핀 사용은 고수할 방침이다. 아이핀은 주민번호와 달리 부정 유출되더라도 즉시 사용 중단·변경할 수 있다는 점을 장점으로 제시했다.
윤대원기자 yun1972@etnews.com