정부가 주민등록번호 대체수단이라며 사용을 독려해 온 공공아이핀(I-PIN)이 해킹 공격에 무너졌다. 75만건에 이르는 아이핀이 부정 발급됐다. 정부는 그동안 아이핀이 주민등록번호를 대체함으로써 개인정보보호에 이바지할 것이라고 홍보해 왔지만 이번 사고를 계기로 신뢰를 잃게 됐다. 행자부는 지금도 아이핀 발급을 계속하고 있지만 보안전문가들은 예견됐던 일이 발생한 것이라며 아이핀 정책 자체를 전면 재검토해야 한다고 지적한다.
행자부에 따르면 공공아이핀 시스템이 해킹 공격을 받은 것은 2월 28일부터 3월 2일 오전까지였다. 주민등록번호 도용에 따른 아이핀 부정 발급은 있었지만 공공아이핀 시스템 자체가 외부 공격에 뚫린 것은 이번이 처음이다. 행자부는 지난 주말 급격히 아이핀 발급량이 증가하자 경위를 조사한 결과 해킹 및 부정 발급 사실을 확인했다.
해킹은 ‘파라미터 위변조’라는 수법으로 공공아이핀 시스템 취약점을 공격했다. 공공아이핀에 가입하려면 공인인증서로 본인인증을 거쳐야 하는데, 본인인증이 정상적으로 이뤄진 것처럼 시스템이 오인하도록 데이터(파라미터값)를 변조해 본인인증을 사실상 건너뛰었다. 행자부에선 “파라미터 위변조 방지는 민간에는 다 돼 있는 초보적인 부분”이라고 밝혔지만 “왜 초보적인 대비도 없었던 것인가”라는 질문에 대해서는 즉답을 피했다.
현재까지 부정 발급된 공공아이핀은 약 75만건이다. 이 가운데 12만건은 유명 게임사이트 세 곳에서 신규 회원가입이나 이용자 계정 수정·변경 시도에 사용됐다. 행자부는 부정 발급된 공공아이핀 전부를 긴급 삭제했다. 또 게임사이트 운영업체에 통보해 신규회원은 강제 탈퇴 조치하고, 이용자 계정을 수정한 회원 아이디는 사용을 잠정 중지시켰다. 행자부 개인정보보호정책과장 장한은 “게임 아이템 탈취 등 실질적인 피해 사항은 지금까지 보고받은 게 없다”고 말했다.
행자부는 기존에 유출된 주민등록번호와 이름으로 실명확인을 하는 단계를 거쳤는지 여부는 아직 확인하지 못했다. 이번 해킹공격에는 2000개가 넘는 국내 아이피(IP)가 동원됐고 중국어 버전 소프트웨어도 사용됐다. 행자부는 “짧은 시간에 대규모로 이뤄진 것으로 봐서 조직적인 범행으로 본다”면서 “내부 관계자 공모 가능성은 전혀 없다”고 단정했다. 재발가능성을 묻는 질문에는 “없다고 단정해서 말할 수는 없다”고 밝혔다.
공공아이핀 부정발급에 대한 행정자치부의 기본적인 입장은 “프로그램의 취약점을 악용한 것이며, 이로 인한 피해는 거의 없다”는 것으로 요약된다. 반면 그동안 아이핀 정책을 비판해온 전문가들은 “취약한 것은 아이핀 그 자체이며, 개인정보유출 피해는 이미 예견됐다”고 꼬집는다. 가령 진보네트워크센터 활동가 오병일은 “아이핀을 통해 본인 확인을 하겠다는 발상 자체가 2012년 8월 제한적 본인확인제를 위헌이라 규정한 헌법재판소 판결을 부정하는 것”이라고 말한다.
정부는 2012년 헌법재판소가 제한적 본인확인제를 위헌으로 판결하고 주민등록번호가 대량으로 유출되는 사고가 잇따르자 2013년부터 공공아이핀 사용을 본격 장려했다. 현재까지 약 430만명이 공공아이핀을 발급받았다. 하지만 이번 해킹사고는 공공아이핀 역시 주민등록번호처럼 대량유출될 수 있고 도용도 가능하다는 걸 드러냈다. 아이핀을 부정 발급받은 뒤 오프라인용 아이핀인 마이핀(My-PIN)을 발급받는 것도 기술적으론 가능하다.
행자부는 아이핀 해킹사고의 의미를 축소하기에 급급하다는 비판을 받고 있다. 2일 상황을 인지한 뒤 사흘이 지난 5일 오전 11시50분이 되어서야 언론에 보도자료를 배포했다. 오후 기자간담회에선 책임자끼리 서로 말이 다르거나, 본인 말을 뒤집었다. 가령 처음엔 “본인확인과 공인인증서 단계를 건너뛰었다”고 설명하다가 나중에는 “기존에 유출된 주민등록번호와 실명을 확인해 본인확인을 거쳤다”고 한 뒤, 결국 “본인확인은 거친 것으로 추정한다”고 오락가락했다.
진보네트워크센터는 5일 긴급논평을 통해 “아이핀은 애초에 도입되지 말았어야 했다”고 강조했다. 오병일은 “해킹피해를 최소화하려면 정보수집을 최소화하는 것인데 아이핀은 불필요한 본인확인을 강요한다”면서 “주민등록번호가 문제인 것은 만능열쇠이기 때문인데 아이핀도 또다른 만능열쇠로 기능한다면 주민등록번호와 동일한 문제가 발생할 수밖에 없다”고 말했다.
'취재뒷얘기 > 기록관리.정보공개' 카테고리의 다른 글
근본대책은 쏙 빠진 공공아이핀 재발방지대책 (0) | 2015.03.10 |
---|---|
구호만 요란한 '정부3.0' 민낯 (0) | 2015.03.09 |
정보공개포털 개편했더니, 내 자료가 사라졌다? (0) | 2015.03.03 |
국가기록원, 서울에도 없는 서울기록관은 왜? (0) | 2015.02.03 |
지방정부3.0, 중앙정부0.3 (0) | 2015.01.13 |
댓글