정부가 관리하는 본인 인증 수단인 공공 아이핀 시스템이 해킹으로 뚫렸다. 아이핀 발급자 430만명의 17%인 75만여명의 개인정보가 털려 부정 발급됐다. 아이핀은 잇단 대규모 해킹으로 주민등록번호가 시중에 떠돌자 주민번호의 대체 수단으로 정부에서 사용을 적극 권장해 왔다. 이번 사고는 기존의 단순한 주민번호 도용이 아니라 정부가 관리하는 시스템의 부실로 발생했다는 점에서 결코 가볍지 않다. 부정 발급한 아이핀이 게임 사이트 3곳에서 이용됐지만 피해가 없었다는 것이 다행이라면 다행이다.

행정자치부와 경찰에 따르면 이번 해킹은 공인인증서로 본인 인증을 거치는 과정에서 인증이 정상적으로 이뤄진 것처럼 시스템이 오인토록 인증 데이터를 위·변조했다. 사실상 인증 절차를 건너뛴 것이다. 아이핀은 인터넷상에서 본인을 확인하는 개인 식별 번호로, 발급 과정에서 이름과 주민번호 등 개인정보를 입력해 확인한다. 주민번호는 저장하지 않는다. 2006년 민간에서 시작해 공공기관의 웹사이트에도 폭넓게 적용하고 있다.

공공 아이핀 해킹 사건을 보면 정부의 한심한 수준을 그대로 알 수 있다. 이번에 이용한 ‘파라미터 위·변조 방식’은 기업에서도 방지 기능을 갖출 수 있는 초보 수준이라고 한다. 그런데도 정부는 시스템을 갖추지 못했고 취약점도 발견하지 못했다. 해킹당한 것을 바로 알리지 않은 것도 심각한 문제다. 행자부는 지난 2일 부정 발급 사실을 알았지만 사흘이 지나서야 공개했다. 피해 예방이 우선이었다고 주장하겠지만 쉬쉬하는 동안 개인정보 유출 당사자들은 이 사실을 까마득히 몰랐다. 만약 해커가 금융 서비스에 접근했더라면 큰 피해를 입을 수 있었다.

아이핀이 대체 수단으로 거론될 때 보안의 취약성은 지적됐었다. 하지만 정부는 아이핀을 수시로 바꿀 수 있어 해킹 직후 신속한 대처가 가능하다는 점에서 차선책으로 권장했다. 예상했던 해킹 우려는 현실이 됐고, 정부의 개인정보 보호 체계의 신뢰도는 땅에 떨어졌다.

해킹은 새로운 유형으로 진화를 거듭한다. 이번 해킹 사건을 계기로 현재 시스템과 방지 감시 체계의 문제점을 바로잡아야 한다. 행자부는 조만간 나올 경찰의 수사 결과를 토대로 시스템 전반을 점검해야 한다. 시스템을 재구축해야 할지, 아니면 암호화 수준 등 보안 관리를 어떻게 촘촘히 할 것인지를 강구해야 한다. 일각에서 폐기를 주장하는 주민번호 인증제를 버릴 수 없다면 시스템 구축과 관리가 더 완벽해져야 한다.