온라인상에서 주민등록번호 대체 수단으로 사용하는 ‘공공 아이핀(I-PIN) 시스템’이 해킹되는 초유의 사태가 발생했다. 행정자치부(행자부)는 3월 5일 한국지역정보개발원에서 관리하는 공공 아이핀 시스템에서 75만 건의 아이핀이 부정발급되는 사고가 일어났다고 밝혔다. 가짜 주민등록번호가 75만 건 발급된 것과 유사한 상황이다. 행자부가 사고 발생 후 비상대응팀을 구성해 후속 조치에 나섰지만, 이미 공공 아이핀에 대한 국민의 신뢰는 바닥으로 떨어졌다. 더구나 큰 문제없다는 식의 정부 발표에 국민의 반감만 더 커졌다.
개별 웹사이트에서 수집한 주민등록번호가 유출되는 것을 막겠다는 취지로 공공 아이핀을 도입했는데 정작 정보들이 모인 핵심 시스템이 해킹된 아이러니한 상황이다. 결국 공공 아이핀을 탈퇴하는 사람이 급증했고, 탈퇴 방법을 묻는 글이 넘쳐나고 있다. 사태 심각성을 느낀 정부가 뒤늦게 사과했지만, 이미 수습이 쉽지 않은 상황이다. 시민단체 등 일각에서는 이참에 주민등록번호를 기반으로 한 공공 아이핀 시스템을 근본적으로 개선해야 한다는 지적이 나온다.
공공 아이핀 부정발급 사고는 단기간에 아이핀 발급량이 급격히 증가해 행자부가 경위를 조사하는 과정에서 해킹과 부정발급 사실이 드러났다. 공공 아이핀은 인터넷상에서 주민등록번호의 유출 및 오?남용을 방지하고자 정부가 2006년부터 도입한 본인인증 방식이다. 공공 아이핀 센터와 4개 민간기관을 통해 아이핀을 발급받을 수 있다. 인터넷 사업자는 자체적인 주민등록번호 수집, 보관, 관리 부담을 덜 수 있다.
부정발급 75만여 건, 해킹 주체 못 찾아
이번 해킹범은 공공 아이핀 시스템의 취약점을 악용해 정상 발급 절차를 우회했다. 예전에는 주민등록번호를 도용해 공공 아이핀을 부정 발급하는 사례가 있었는데, 이번에는 아예 처음부터 시스템에 들어가 공공 아이핀을 대거 발급했다. 해킹범은 본인인증 과정을 건너뛸 수 있는 ‘파라미터 위?변조’라는 방식을 사용했다. 공공 아이핀 가입 절차 중 공인인증서로 본인인증을 거칠 때 인증이 정상적으로 이뤄진 것처럼 시스템이 오인하게 데이터를 변조하는 방식이다.
부정발급에 사용된 공인인증서와 비밀번호는 모두 동일한 것이었다. 부정발급된 공공 아이핀은 총 75만여 건, 이 중 17만 건가량이 게임 웹사이트 신규 회원 가입이나 기존 이용자 계정 수정 및 변경 등에 실제로 사용됐다. 해킹 주체가 누구인지는 아직 밝혀지지 않았다. 다만 부정발급에 2000여 개의 국내 아이피(IP)가 동원됐으며 중국어 버전의 소프트웨어(SW)가 사용된 것으로 파악됐다.
행자부는 사고 직후 부정발급에 이용된 프로그램의 취약점을 수정하고, 추가 발급도 차단했다. 부정발급된 공공 아이핀을 삭제하는 것은 물론이고, 민간 아이핀 기관과 사고 관련 게임사에 사용 내용을 전달했다. 행자부 관계자는 “경찰청에 긴급히 수사를 요청해 현재 수사 중”이라며 “한국인터넷진흥원(KISA) 등 전문기관을 통해 공공 아이핀 시스템 전면 재구축 방안을 검토할 예정”이라고 밝혔다.
문제는 개인정보보호 시스템 전반에 대한 국민의 신뢰 추락이다. 사고가 알려진 뒤 공공 아이핀 탈퇴자가 일평균 500명 수준으로 늘었다. 기존 탈퇴자가 일평균 33명 수준임을 감안하면 15배 이상 증가한 셈이다. 사태가 확산되자 행자부는 사고 발표 닷새 후인 3월 10일 “한국지역정보개발원에서 관리하는 공공 아이핀 시스템의 부정발급과 관련해 국민 여러분에게 심려와 걱정을 끼쳐드린 점에 대해 진심으로 사과드린다”고 뒤늦게 발표했다.
이번 해킹으로 공공 아이핀 제도는 2006년 도입 이후 최대 위기를 맞았다. 그동안 아이핀의 기술적 안전성에 논란이 있었음을 감안하면 정부의 예방 대책에 문제가 있었다는 지적을 피하기 어렵다.
사고 발생 직전 정부 내에서도 안전성에 대한 지적이 나왔다. 2월 26일 최성준 방송통신위원장은 전체회의에서 “아이핀 기술원리상 관리 및 평가기관이 해킹당하지 않는 한 발생할 수 없지만, 그런 경우가 생기면 공공 아이핀의 의미가 상실되는 것”이라고 말했다. 이번에 발생한 해킹은 최 위원장이 우려했던 사고가 그대로 일어난 것이다.
‘찌라시’ 통해 불법거래되기도
가장 우려되는 점은 기존에도 유사한 해킹 피해가 있었을 가능성과 앞으로 발생할 수 있는 새로운 해킹 시도다. 전문가들은 사흘이라는 짧은 기간에 75만 건이나 부정발급된 것을 보면 자동화된 해킹 툴을 사용했을 공산이 크다고 지적한다. 또 이번에는 단기간에 대량 발급해 해킹 사실이 드러났지만, 기존에 동일한 취약점을 활용해 소규모로 발급했다면 파악이 쉽지 않다. 결국 공공 아이핀 발급 이후 사후 관리에 허점이 존재했다는 것으로 볼 수 있다.
공공 아이핀이 주민등록번호 대체수단으로서의 의미를 상실했다는 것은 아이핀이 몰래 거래되는 데서도 드러난다. 현재 불법전단이나 온라인 스팸메일 등을 통해 공공 아이핀을 거래한다는 내용이 버젓이 돌고 있다. 실제로 서울 강남이나 구로 등에서는 소위 ‘찌라시’라 부르는, 공공 아이핀 거래 관련 불법전단을 심심찮게 볼 수 있다. 불법거래되는 아이핀 가격은 개당 10만 원 수준이다.
전문가들은 공공 아이핀 시스템과 제도에 대한 전반적인 진단 및 대안 모색이 필요한 단계라고 입을 모은다. 행자부도 재발 방지 대책을 강구하겠다고 밝혔다. 행자부는 “올해 상반기 중으로 외부 보안전문업체를 통해 공공 아이핀 시스템 구조 및 성능 진단, 관리 및 운영상 문제점 파악, 개선 사항 검토 등 시스템 고도화 방안을 마련하겠다”며 “이번 같은 부정발급 사고가 다시 발생하지 않도록 근본적인 재발 방지 대책을 추진할 계획”이라고 밝혔다.
하지만 주민등록번호의 근본적인 대안 없이 시스템을 고도화하는 것은 실효성이 약할 것이란 우려가 나온다. 정보보호 분야 전문가인 한 교수는 “공공 아이핀이 주민등록번호를 대체하니 해커의 표적이 된 것”이라며 “정부가 처음부터 주민등록번호 대체보다 주민등록번호가 없는 인터넷 생태계를 고민했어야 한다”고 말했다.
개별 웹사이트에서 수집한 주민등록번호가 유출되는 것을 막겠다는 취지로 공공 아이핀을 도입했는데 정작 정보들이 모인 핵심 시스템이 해킹된 아이러니한 상황이다. 결국 공공 아이핀을 탈퇴하는 사람이 급증했고, 탈퇴 방법을 묻는 글이 넘쳐나고 있다. 사태 심각성을 느낀 정부가 뒤늦게 사과했지만, 이미 수습이 쉽지 않은 상황이다. 시민단체 등 일각에서는 이참에 주민등록번호를 기반으로 한 공공 아이핀 시스템을 근본적으로 개선해야 한다는 지적이 나온다.
공공 아이핀 부정발급 사고는 단기간에 아이핀 발급량이 급격히 증가해 행자부가 경위를 조사하는 과정에서 해킹과 부정발급 사실이 드러났다. 공공 아이핀은 인터넷상에서 주민등록번호의 유출 및 오?남용을 방지하고자 정부가 2006년부터 도입한 본인인증 방식이다. 공공 아이핀 센터와 4개 민간기관을 통해 아이핀을 발급받을 수 있다. 인터넷 사업자는 자체적인 주민등록번호 수집, 보관, 관리 부담을 덜 수 있다.
부정발급 75만여 건, 해킹 주체 못 찾아
이번 해킹범은 공공 아이핀 시스템의 취약점을 악용해 정상 발급 절차를 우회했다. 예전에는 주민등록번호를 도용해 공공 아이핀을 부정 발급하는 사례가 있었는데, 이번에는 아예 처음부터 시스템에 들어가 공공 아이핀을 대거 발급했다. 해킹범은 본인인증 과정을 건너뛸 수 있는 ‘파라미터 위?변조’라는 방식을 사용했다. 공공 아이핀 가입 절차 중 공인인증서로 본인인증을 거칠 때 인증이 정상적으로 이뤄진 것처럼 시스템이 오인하게 데이터를 변조하는 방식이다.
부정발급에 사용된 공인인증서와 비밀번호는 모두 동일한 것이었다. 부정발급된 공공 아이핀은 총 75만여 건, 이 중 17만 건가량이 게임 웹사이트 신규 회원 가입이나 기존 이용자 계정 수정 및 변경 등에 실제로 사용됐다. 해킹 주체가 누구인지는 아직 밝혀지지 않았다. 다만 부정발급에 2000여 개의 국내 아이피(IP)가 동원됐으며 중국어 버전의 소프트웨어(SW)가 사용된 것으로 파악됐다.
행자부는 사고 직후 부정발급에 이용된 프로그램의 취약점을 수정하고, 추가 발급도 차단했다. 부정발급된 공공 아이핀을 삭제하는 것은 물론이고, 민간 아이핀 기관과 사고 관련 게임사에 사용 내용을 전달했다. 행자부 관계자는 “경찰청에 긴급히 수사를 요청해 현재 수사 중”이라며 “한국인터넷진흥원(KISA) 등 전문기관을 통해 공공 아이핀 시스템 전면 재구축 방안을 검토할 예정”이라고 밝혔다.
문제는 개인정보보호 시스템 전반에 대한 국민의 신뢰 추락이다. 사고가 알려진 뒤 공공 아이핀 탈퇴자가 일평균 500명 수준으로 늘었다. 기존 탈퇴자가 일평균 33명 수준임을 감안하면 15배 이상 증가한 셈이다. 사태가 확산되자 행자부는 사고 발표 닷새 후인 3월 10일 “한국지역정보개발원에서 관리하는 공공 아이핀 시스템의 부정발급과 관련해 국민 여러분에게 심려와 걱정을 끼쳐드린 점에 대해 진심으로 사과드린다”고 뒤늦게 발표했다.
이번 해킹으로 공공 아이핀 제도는 2006년 도입 이후 최대 위기를 맞았다. 그동안 아이핀의 기술적 안전성에 논란이 있었음을 감안하면 정부의 예방 대책에 문제가 있었다는 지적을 피하기 어렵다.
사고 발생 직전 정부 내에서도 안전성에 대한 지적이 나왔다. 2월 26일 최성준 방송통신위원장은 전체회의에서 “아이핀 기술원리상 관리 및 평가기관이 해킹당하지 않는 한 발생할 수 없지만, 그런 경우가 생기면 공공 아이핀의 의미가 상실되는 것”이라고 말했다. 이번에 발생한 해킹은 최 위원장이 우려했던 사고가 그대로 일어난 것이다.
‘찌라시’ 통해 불법거래되기도
공공 아이핀 시스템 홈페이지.
공공 아이핀이 주민등록번호 대체수단으로서의 의미를 상실했다는 것은 아이핀이 몰래 거래되는 데서도 드러난다. 현재 불법전단이나 온라인 스팸메일 등을 통해 공공 아이핀을 거래한다는 내용이 버젓이 돌고 있다. 실제로 서울 강남이나 구로 등에서는 소위 ‘찌라시’라 부르는, 공공 아이핀 거래 관련 불법전단을 심심찮게 볼 수 있다. 불법거래되는 아이핀 가격은 개당 10만 원 수준이다.
전문가들은 공공 아이핀 시스템과 제도에 대한 전반적인 진단 및 대안 모색이 필요한 단계라고 입을 모은다. 행자부도 재발 방지 대책을 강구하겠다고 밝혔다. 행자부는 “올해 상반기 중으로 외부 보안전문업체를 통해 공공 아이핀 시스템 구조 및 성능 진단, 관리 및 운영상 문제점 파악, 개선 사항 검토 등 시스템 고도화 방안을 마련하겠다”며 “이번 같은 부정발급 사고가 다시 발생하지 않도록 근본적인 재발 방지 대책을 추진할 계획”이라고 밝혔다.
하지만 주민등록번호의 근본적인 대안 없이 시스템을 고도화하는 것은 실효성이 약할 것이란 우려가 나온다. 정보보호 분야 전문가인 한 교수는 “공공 아이핀이 주민등록번호를 대체하니 해커의 표적이 된 것”이라며 “정부가 처음부터 주민등록번호 대체보다 주민등록번호가 없는 인터넷 생태계를 고민했어야 한다”고 말했다.