400만명 아이핀 발급…정부, 완전 재구축도 검토
정부가 주민등록번호 대체수단으로 권장한 공공아이핀 시스템이 외부공격에 뚫려 75만 건이 부정 발급된 것으로 5일 드러나면서 개인정보보호에 대한 우려가 또다시 불거질 것으로 보인다.이번 사건은 주민번호 등 개인정보를 도용해서 아이핀을 발급하는 기존의 부정 발급 사건과 달리 해커가 시스템에 침입, 새 공공아이핀을 대량 발급한 것이어서 주민번호 대체수단으로 개발된 공공아이핀 시스템 전체에 대한 불신으로 이어질 가능성도 제기되고 있다.
정부는 이번 사고를 계기로 아이핀 시스템을 전면 재구축하는 방안을 검토 중이다.
◇ ‘주민번호 대체수단’ 아이핀 = 아이핀은 온라인에서 주민번호 등 개인정보가 유출되는 것을 차단하기 위해 지난 2006년 민간 부문부터 도입됐다.
각종 온라인 서비스를 이용할 때 본인확인 목적으로 주민번호 대신 아이핀을 쓸 수 있게 한 것이다.
정부가 공공아이핀센터(www.g-pin.go.kr)에서 아이핀을 발급하고 공공기관 웹사이트에 도입한 것은 2008년부터다.
그러나 국내 업체와 이용자들이 주민번호 사용에 길들여진 터라 2013년까지 실제 아이핀 발급 실적은 미미했다.
개발은 됐으나 실생활에 거의 사용되지 않던 아이핀에 대한 관심이 높아진 것은 지난해 초 카드 3사에서 개인정보가 대량 유출된 것이 계기가 됐다.
특히 작년 8월 주민번호 무단 수집이 법으로 금지되면서 아이핀 가입자 수가 급증하기 시작했고, 정부기관이 운영하는 공공아이핀에 수요가 몰려 최근까지 430만 명이 발급을 받았다.
◇ 정부 사흘간 공격당한 사실 공개 안 해 = 공공아이핀을 관할하는 행정자치부에 따르면 지난달 28일 자정 무렵 시스템에 침입한 해커가 대량으로 공공아이핀을 발급하기 시작했다.
공격 주체는 본격적인 대량 발급에 앞서 소규모 시험발급도 한 것으로 확인됐다.
행자부가 이상징후를 파악한 것은 지난 2일 오전이다.
주말 이틀 동안 발급인원이 급증한 것을 수상하게 여긴 관리기관(지역정보개발원)이 원인을 조사한 결과 프로그램의 취약점을 공격한 해커가 아이핀을 대량으로 부정 발급한 것으로 드러났다.
아이핀 발급은 주민번호를 입력하고 본인인증 절차를 거쳐 이뤄지는 데 공격주체는 공공아이핀 프로그램 중 본인인증 단계의 취약점을 파고들어 발급을 받은 것으로 추정된다.
행자부는 2일 75만 건이 부정 발급된 사실을 파악하고도 약 사흘이 지난 5일에야 공개했다.
행자부의 한 관계자는 “부정 발급된 75만 건을 즉시 삭제하고, 게임사이트에서 쓰인 12만 건에 대해서는 회원탈퇴 또는 사용중지 조치했기 때문에 피해는 거의 없을 것”이라면서 “지금까지 보고된 피해는 없다”고 강조했다.
◇ “해킹에 앞서 유출된 개인정보 확보한 듯” = 행자부는 이번 공격이 아이핀을 도용하거나 정보를 유출한 사례가 아니기 때문에 일반적인 ‘해킹’과는 다르다고 설명했다.
그러나 이번 사건은 공격 주체들이 시스템의 내부에 침입해 자유롭게 공공아이핀을 만들어낸 것이어서 공공아이핀 시스템 전체의 신뢰도 추락이 불가피하다.
온라인서비스의 개인별 ‘마스터키’에 해당하는 아이핀을 타인이 만들어서 마구 이용하는 일도 가능하다는 것이 이번 사건으로 입증됐기 때문이다.
특히 공공아이핀 발급에 주민번호가 필수적이라는 점이나, 공격주체가 발급받은 아이핀 중 8천건(명)은 이미 게임사이트 3곳의 회원인 점 등으로 미뤄 공격주체가 공격에 앞서 개인정보를 보유하고 있었던 것으로 추정된다.
행자부 관계자는 “유출된 개인정보가 이용됐는지는 확실치 않고, 수사에서 밝혀질 부분”이라고 말했다.
정부는 이번 사건을 계기로 한국인터넷진흥원을 통해 아이핀 시스템을 완전히 다시 구축하는 방안을 검토하고 있다.
연합뉴스
Copyright ⓒ 서울신문. All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지