13.01
18
더욱이 문제가 되는 것은 그간 아이핀의 중요성을 강조했던 정부가 사고가 발생하자 한동안 미온적인 태도를 유지했다는 점이다. 이후 사고 발생 닷새 만에 ‘지각 사과’를 하며 시스템을 전면 재구축 할 것을 약속했지만 이용자들은 불안감을 호소하며 아이핀 탈퇴 행렬에 동참하고 있다. 전문가들 역시 정부가 내놓은 대책이 ‘땜질 처방’에 그칠 것이라며 우려의 목소리를 높이고 있다.
◆아이핀 해킹… 사라진 ‘개인정보 안전지대’
지난 5일 행정자치부는 지난 2월28일부터 3월2일 사이 한국지역정보개발원이 관리하는 공공아이핀 시스템에서 75만건의 아이핀이 부정 발급되는 사고가 발생했다고 발표했다.
행자부에 따르면 이번 사고는 공공아이핀 정상발급 절차를 우회(프로그램 취약점 이용)해 아이핀을 대량 부정 발급한 것으로 이 중 12만건이 3개 게임사이트의 신규 회원가입, 기존 이용자 계정 수정·변경 등에 이용된 것으로 파악됐다.
경찰청 등을 통해 조사된 지금까지 사항을 종합해보면 이번 부정발급에 2000여개의 국내IP가 동원됐으며 중국어 버전의 SW(소프트웨어)가 사용됐다. 이번 해킹 세력은 공공아이핀을 발급 받는 과정에서 해킹을 통해 1,2단계를 건너 뛴 채 곧바로 3번째 발급 단계를 밟은 것으로 추정된다. 통상적으로 공공아이핀 발급 시 이용자들은 ▲사용자계정 ▲본인확인 ▲발급완료 순의 3단계 절차를 거친다.
사고 발생 즉시 행자부는 부정발급에 이용된 프로그램 취약점을 수정해 추가 부정발급을 차단하고 부정 발급된 아이핀 75만건을 전부 긴급 삭제 조치했다. 또한 이번 사고로 인한 2차 피해를 최소화하기 위해 민간 아이핀기관과 관련 게임사에 사용내역을 전달, 긴급히 사용자 보호조치를 취하도록 했다.
하지만 이 정도 대책으로 국민들의 분노를 막기에는 부족했다. 이 같은 사실이 알려지자 국민들은 “정부가 나서 도입한 아이핀조차 믿을 수 없다면 대체 무엇을 믿어야 하냐”며 공분했다.
공공아이핀을 이용하는 A씨는 "정부에서 권고했기 때문에 믿을 수밖에 없었다"며 "공공아이핀마저 뚫리면 어떻게 하냐. 집단소송을 해야 할 것 같다"고 울분을 토했다. 또 다른 이용자는 "IT 강국이란 소리가 우습다"며 우리나라의 보안시스템에 일침을 가하기도 했다.
아이핀 시스템 해킹 사건이 알려진 직후 공공아이핀 탈퇴 인원이 이틀간 1000명이 넘어서는 등 국민들의 반발 심리가 거세다. 이는 평소 하루 탈퇴 인원이 수십명 수준에 그쳤던 점을 비교해 봤을 때 해킹 피해 사실이 알려진 직후 탈퇴 규모가 무려 5배 이상 늘어난 셈이다.
이처럼 원성이 높아지자 행자부는 사고 발표 후 5일이 지나서야 부랴부랴 공식 사과에 나섰다. 행자부 관계자는 “지역정보개발원에서 관리하고 있는 공공아이핀 시스템 부정발급과 관련해 국민 여러분께 심려와 걱정을 끼쳐드린 점에 대해 진심으로 사과드린다”며 머리를 숙였다. 이는 사고 발표 당시 “발생 피해는 거의 없다”며 사건의 중요성에 대해 인지하지 못했던 모습과는 사뭇 대비되는 모습이다.
![[포커스] 구멍 뚫린 아이핀, '땜질' 또 한번 터진다](https://menu.moneys.co.kr/moneyweek/thumb/2015/03/12/05/2015031221268054451_1.jpg/dims/resize/816>/optimize/) |
◆전형적인 '땜질 처방'
행자부는 이날 ‘공공아이핀 부정발급 재발방지 종합대책’을 세우기 위해 관련기관과 학계 전문가 등으로 구성된 테스크포스(TF)팀을 꾸리고 종합대책 마련에 착수했다. 또한 외부 보안전문기관을 통해 이번 해킹 사건에 대한 사고원인을 분석한 뒤 이를 토대로 상반기 중 공공아이핀의 보안강화대책을 조속히 수립할 계획이다. 이번 사고와 같은 부정발급이 발생하지 않도록 근본적인 재발방지 대책을 마련하겠다는 것.
이와 더불어 해킹으로 인한 시스템상 문제를 막기 위해 24시간 상시 감시체계를 가동하고 상반기 중 3개월가량의 전면 재검토 기간을 거쳐 시스템을 전면 고도화, 근본적인 보완대책 등을 만들 계획이다. 행자부 관계자는 “예산과 인력 등 가용 가능한 것을 모두 동원해 현재의 시스템을 업그레이드할 것”이라고 말했다.
하지만 이 같은 정부의 ‘아이핀 시스템 전면 재검토’ 발표에도 국민적 우려는 여전하다. 이미 아이핀 체계와 관련해 대규모 해킹이 벌어진 상황에서는 발급체계를 전면 재구축하거나 아예 아이핀을 폐지하고 새로운 개인정보보호 정책을 내놓는 방안이 논의돼야 한다는 것이다. 또한 이번 해킹 사고로 인해 피해를 입게 된 이들에 대한 보상이 우선적으로 이뤄져야 한다는 지적이다.
전문가들 역시 정부 대책이 전형적인 ‘땜질처방’에 불과하다며 우려의 목소리를 높이고 있다. 김승주 고려대 정보보호대학원 교수는 "이번 해킹 사건을 통해 공공아이핀 발급 체계가 이미 무너져 내렸다는 사실이 증명됐다"며 "애당초 주민등록번호의 대안 수단을 장기적 관점에서 검토하지 않고 유출된 개인정보로 '돌려막기'식 인증을 하다보니 결국 발생한 문제"라고 꼬집었다.
또 다른 전문가는 “이번 아이핀 사고의 근본 원인으로 지목된 주민등록번호 제도 개편작업은 사실상 보류 상태”라며 “공공아이핀 부정발급 재발방지 종합대책을 추진하기 이전에 주민등록번호 체계 개편안이 조속히 마련돼야 할 것”이라고 지적했다.
아이핀, 보급운동 펼칠 땐 언제고…
앞서 정보통신부(현 방송통신위원회)는 지난 2006년 온라인상 주민번호를 수집하는 행위를 억제하고 개인정보보호를 강화하기 위해 아이핀을 기획, 도입했다. 당시 정통부는 "아이핀을 쓰면 주민등록번호가 노출될 위험이 적다"는 점을 부각하며 아이핀 보급운동을 펼쳤다.
현재 아이핀을 발급받을 수 있는 곳은 서울신용평가정보와 나이스신용평가정보, 코리아크레딧뷰로 등 3개 신용정보사와 행자부가 제공하는 공공아이핀센터가 있다. 공인인증서처럼 4곳 중 한곳에서 아이핀 번호를 만들면 어디서든 아이핀 번호를 쓸 수 있다.
지난 1월 말 기준으로 한국지역정보개발원(행자부)에서 발급한 공공아이핀은 426만건, 신용정보사 3곳에서 발급한 민간아이핀은 1526만건이다. 이번에 문제가 된 것은 행자부에서 발급된 공공아이핀으로 정상 발급된 아이핀(426만건)의 17%에 달한다.
앞서 정보통신부(현 방송통신위원회)는 지난 2006년 온라인상 주민번호를 수집하는 행위를 억제하고 개인정보보호를 강화하기 위해 아이핀을 기획, 도입했다. 당시 정통부는 "아이핀을 쓰면 주민등록번호가 노출될 위험이 적다"는 점을 부각하며 아이핀 보급운동을 펼쳤다.
현재 아이핀을 발급받을 수 있는 곳은 서울신용평가정보와 나이스신용평가정보, 코리아크레딧뷰로 등 3개 신용정보사와 행자부가 제공하는 공공아이핀센터가 있다. 공인인증서처럼 4곳 중 한곳에서 아이핀 번호를 만들면 어디서든 아이핀 번호를 쓸 수 있다.
지난 1월 말 기준으로 한국지역정보개발원(행자부)에서 발급한 공공아이핀은 426만건, 신용정보사 3곳에서 발급한 민간아이핀은 1526만건이다. 이번에 문제가 된 것은 행자부에서 발급된 공공아이핀으로 정상 발급된 아이핀(426만건)의 17%에 달한다.
☞ 본 기사는 <머니위크>(www.moneyweek.co.kr) 제375호에 실린 기사입니다.