주민번호 유출 사고가 급증하면서 이를 대체할 수 있는 수단으로 개발된 공공아이핀(I-PIN)이 해킹공격으로 인해 신뢰성과 안전성이 도마위에 올랐다.
 
행정자치부는 지난 주말 지역정보개발원에서 관리하고 있는 공공아이핀시스템에서 75만건의 아이핀이 부정발급되는 사고가 발생했다고 발표했다.
 
공공 I-PIN은 Internet Personal Identification Number의 약자로, 인터넷상 개인 식별번호를 의미하며, 홈페이지에서 회원가입, 글쓰기 시 주민등록번호를 사용하지 않고도 본인임을 확인할 수 있는 개인정보보호 서비스다.
 
행자부(지역정보개발원)는 사고 발생 즉시, 부정발급에 이용된 프로그램 취약점을 수정해 추가 부정발급을 차단하고 부정발급된 아이핀 전부를 긴급 삭제조치 했으며, 유사 사고가 재발하지 않도록 사고발생 즉시 공공아이핀센터에 비상대응팀을 구성해 24시간 집중 모니터링체계를 운영하고 있다.
 
이번 사고는 공공아이핀 정상발급 절차를 우회(프로그램 취약점 이용)해 아이핀을 대량으로 부정발급한 것으로 확인되었다.
 
또한 부정발급 받은 아이핀 중 12만건이 3개 게임사이트의 신규 회원가입, 기존 이용자 계정 수정?변경 등에 이용한 것으로 파악돼 이용자들의 불안감이 커지고 있다.
 
행자부는 이번 사고로 인한 2차 피해를 최소화하기 위해 민간아이핀 기관과 관련 게임사에 사용내역을 전달, 긴급 사용자 보호조치를 취하도록 했다.
 
관련 게임사에서는 부정발급된 아이핀으로 신규회원 가입을 한 경우에는 회원 탈퇴 조치를 했으며, 사용자 정보를 수정?변경한 경우에는 임시 사용중지 조치를 했다.
 
한편, 행자부는 이번 사건을 경찰청에 긴급히 수사요청 해 현재 수사중에 있다고 밝혔다. 
 
지금까지 파악된 사항은 이번 부정발급에 2천여 개의 국내 IP가 동원되었으며, 중국어 버전의 SW가 사용된 것으로 파악되었다.
 
또한 사고 다음날 3월 3일과 오늘, 아이핀 관계기관 대책회의를 긴급 소집해 이번 사고 대책에 대해 논의하고 기관별 추진상황도 점검했다.
 
대책회의 결과, 프로그램 소스분석 및 모의해킹 등을 통해 아이핀 발급?인증체계 보안 취약점을 긴급점검, 개선조치 한다는 방침이다.
 
공공 I-PIN 과 민간 I-PIN은 다른 기관에서 관리하고 있다. 이번에 사고가 발생한 공공 I-PIN 관리는 지역정보개발원에서 관리하고 있으며, 이번 사건과 관련 없는 민간 I-PIN은 한국인터넷진흥원에서 관리하고 있는 시스템이다.
 
한편 행자부는 최초 관련 보도자료를 통해 한국인터넷진흥원(KISA)을 거론했다가 논란이 일자 다시 한국지역정보개발원(KLID)을 통해 공공아이핀시스템 전면 재구축 방안 등을 검토할 예정이라고 수정 발표했다.   

정부에서는 공공 I-PIN을 사용하면 홈페이지에서 개인식별번호를 저장함으로써 주민등록번호 노출의 위험이 감소하고 만약 노출이 되더라도 폐기 및 재발급이 가능해 개인정보 유출로 인한 피해를 최소화할 수 있다며 사용을 장려해 왔다.

민간아이핀의 경우에는 이번 사고와 같은 부정발급은 없는 것으로 확인되었다. 방통위는 민간아이핀의 안전성 강화를 위해 2차 인증을 의무화하는 방안을 추진할 계획이다. 
 
★정보보안 대표 미디어 데일리시큐!★
 
데일리시큐 길민권 기자 mkgil@dailysecu.com