정부가 주민등록번호를 대체하는 수단으로 권장해온 공공아이핀 시스템이 기초적인 보안체계도 갖추지 않아 해킹 공격에 뚫렸다는 지적이 나온다.
해커가 공공아이핀 시스템을 오랫동안 지켜보다가 취약지점을 찾아 공격한 것으로 보인다고 행정자치부가 5일 설명했다. 장한 행정자치부 개인정보보호정책과장은 이날 오후 기자설명회를 통해 “짧은 기간에 75만여건의 아이핀 대규모 부정발급이 이뤄진 것은 처음”이라고 밝혔다. 정상적인 아이핀 발급 절차는 ‘주민번호와 이름 등 개인정보 식별-공인인증-아이핀 발급’의 3단계를 거치는데 이번 아이핀 부정발급은 두번째 단계인 공인인증을 건너뛰어 이뤄졌다고 행자부는 설명했다. 행자부는 이번 해킹 수법을 ‘파라미터 위·변조’로 추정했다. 본인 인증이 정상적으로 이뤄진 것처럼 시스템이 오인하도록 변조해 본인 인증 절차를 우회해 부정발급받았다는 것이다. 이번 부정발급 과정에서 기존의 유출된 주민번호가 사용됐을 가능성도 배제할 수 없다.
보안전문가들은 파라미터 위·변조 방식 대비는 시스템 보안체계를 구축할 때 기초적인 작업이라고 말한다. 이 때문에 정부가 보안체계를 제대로 갖추지 않아 426만명이 가입해 있는 공공아이핀 시스템에 구멍이 뚫렸다는 지적이 나온다. 실제로 민간업체가 운영하고 있는 아이핀 3곳은 공공아이핀 해킹 때 노출된 취약점은 나타나지 않는 것으로 확인됐다.
아이핀 부정발급 피해사례는 아직까지 파악되진 않고 있다. 부정발급된 아이핀 가운데 12만건이 유명 게임사이트 3곳에서 사용됐다. 행자부는 기존 계정에 침투하려고 한 시도가 8천건 있었다고 전했다. 한 게임업체 관계자는 “행자부에서 부정발급 아이핀 명단을 통보받아 모두 삭제 조처했다. 아이템 유출 피해는 없다”고 말했다.
진보네트워크센터의 오병일 활동가는 “행자부는 피해가 거의 없다고 불끄기에 급급하지만 이번 사고는 행자부가 권장해온 아이핀 시스템이 얼마나 취약한지 보여준다”며 “개인정보를 수집하지 않으면 유출될 위험도 없다. 구글, 페이스북, 아마존 등 외국의 주요 사이트들은 본인 확인 없이도 운영하고 있다. 아이핀을 비롯한 본인 확인 제도를 폐지하는 게 근본 대책이다”라고 말했다.
정태우 김재섭 기자
windage3@hani.co.kr
![[사설] 노동자 안전 뒷전 중대재해법 후퇴가 민생 대책인가](http://flexible.img.hani.co.kr/flexible/normal/300/180/imgdb/child/2024/0116/53_17053980971276_20240116503438.jpg "[사설] 노동자 안전 뒷전 중대재해법 후퇴가 민생 대책인가")
![[올해의 책] 숙제를 풀 실마리를 찾아, 다시 책으로 ①국내서](http://flexible.img.hani.co.kr/flexible/normal/800/320/imgdb/original/2023/1228/20231228503768.jpg "[올해의 책] 숙제를 풀 실마리를 찾아, 다시 책으로 ①국내서")
![[올해의 책] 숙제를 풀 실마리를 찾아, 다시 책으로 ②번역서](http://flexible.img.hani.co.kr/flexible/normal/500/300/imgdb/original/2023/1228/20231228503807.jpg "[올해의 책] 숙제를 풀 실마리를 찾아, 다시 책으로 ②번역서")
