고객사 30곳에 피해 주의 공문
은행·증권 정보 접속 의심 정황
공동인증서를 부정 발급받아 마이데이터에 접속한 사례가 적발됐다. 비대면 공동인증서 발급 시 본인인증 체계 허점을 이용한 것으로, 마이데이터를 악용한 피해가 커질 수 있어 대비책 마련이 시급하다.
19일 업계에 따르면 공동인증서를 발급·관리하는 한국정보인증은 개인공동인증서를 부정 발급한 사용자들을 확인했다. 이에 따라 한국정보인증은 자사 인증서를 사용하는 서비스 고객사 30여곳에 이같은 내용을 담은 공문을 발송해 주의를 당부했다. 한국정보인증은 부정발급으로 의심되는 해당 인증서를 우선 폐지 조치했다.
한국정보인증은 이해 관계사들에 공문을 통해 “개인공동인증서를 부정한 방법으로 발급한 사용자들이 확인됐다”며 “당사 실시간 인증서 검증 시스템(OCSP)을 이용하는 기관 피해를 최소화하기 위해 해당 사용자들의 서비스 이용내역을 안내하니 OCSP 서비스 운용에 각별히 주의하길 바란다”고 안내했다.
공동인증서 부정 발급을 통한 마이데이터 접속 정황도 의심되고 있다. 공동인증서를 통해 마이데이터 서비스를 이용할 시, 은행·보험·증권사 등 정보를 한 번에 수집 가능해 데이터 거래, 피싱 등 피해 범위가 커질 수 있다. 공문을 받은 고객사들은 부정 발급 의심 인증서로 이용된 마이데이터 내역을 토대로 문제 상황에 대해 내부 확인 절차를 거친 것으로 알려졌다.
해당 공동인증서 부정 발급은 '비대면 개인공동인증서비스' 본인확인체계 허점을 악용한 것으로 파악된다. 한국정보인증은 지난해 2월 개인공동인증서 비대면 발급 서비스를 선보였다. 우체국, 은행 등 등록대행기관을 방문해 대면확인 절차를 거쳐야 발급 가능한 공동인증서를 모바일 운전면허증, 신분증 촬영 등을 이용해 비대면으로 발급할 수 있는 서비스다. 휴대폰, 실명 계좌, 신분증 등을 이용한 신원 확인 과정에서 개인사업자 인증 체계 허점, 가짜 신분증, 신분증 도용 등 인증체계 보안 허점을 뚫은 것으로 의심 중이다. 한국정보인증은 공문 발송 시기에 맞춰 비대면 공동인증서 판매 일시 중단을 알렸다.
한국정보인증 관계자는 “인증서 최초 발급 시점과 발급 수법에 대해 구체적인 사실관계를 파악 중”이라고 말했다.
일각에서는 비대면 본인 인증 체계 허점을 보완해야 한다는 목소리가 나온다. 자칫 무정발급이 확대되면 개인정보 유출 등 마이데이터의 유용 등 여러 파장이 불가피하기 때문이다.
마이데이터 사업에 참여중인 한 금융 CISO는 “보안권고 수준의 비대면 실명확인 가이드라인을 고도화하고 대비책을 마련하는 등 피해 확산을 철저히 막아야한다”고 말했다.
정다은 기자 dandan@etnews.com