외부공격에 뚫린 아이핀…개인정보보호 또 '흔들'

정부가 주민등록번호 대체수단으로 권장한 공공아이핀 시스템이 외부공격에 뚫려 75만 건이 부정 발급된 것으로 오늘(5일) 드러나면서 개인정보보호에 대한 우려가 또다시 불거질 것으로 보입니다.

이번 사건은 주민등록번호 등 개인정보를 도용해서 아이핀을 발급한 것이 아니라 아예 정체불명의 해커가 시스템에 침입해 새 공공아이핀을 대량 발급한 것이어서 주민번호 대체수단으로 개발된 공공아이핀 시스템 자체에 대한 불신으로 이어질 가능성도 제기되고 있습니다.

정부는 이번 사고를 계기로 아이핀 시스템을 전면 재구축하는 방안을 검토 중입니다.

아이핀은 온라인에서 주민번호 등 개인정보가 유출되는 것을 차단하기 위해 지난 2006년 민간 부문부터 도입됐습니다.

각종 온라인 서비스를 이용할 때 본인인증 목적으로 주민번호 대신 아이핀을 쓸 수 있게 한 것입니다.

정부가 공공아이핀센터(www.g-pin.go.kr)에서 아이핀을 발급하고 공공기관 웹사이트에 도입한 것은 2008년부터입니다.

그러나 국내 업체와 이용자들이 주민번호 사용에 길들여진 터라 실제 아이핀 발급 실적은 미미했습니다.

개발은 됐으나 실생활에 거의 사용되지 않던 아이핀에 대한 관심이 높아진 것은 지난해 초 카드 3사에서 개인정보가 대량 유출된 것이 계기가 됐습니다.

특히 작년 8월 주민번호 무단 수집이 법으로 금지되면서 아이폰 가입자 수가 급증하기 시작했고, 정부기관이 운영하는 공공아이핀에 수요가 몰려 최근까지 400만 명이 발급을 받았습니다.

공공아이핀을 관할하는 행정자치부에 따르면 지난달 28일 자정 무렵 시스템에 침입한 해커가 대량으로 공공아이핀을 발급하기 시작했습니다.

공격 주체는 본격적인 대량 발급에 앞서 소규모 시험발급도 한 것으로 확인됐습니다.

행자부가 이상징후를 파악한 것은 지난 2일 오전입니다.

주말 이틀 동안 발급인원이 급증한 것을 수상하게 여긴 관리기관(지역정보개발원)이 원인을 조사한 결과 프로그램의 취약점을 공격한 해커가 아이핀을 대량으로 부정 발급한 것으로 드러났습니다.

아이핀 발급은 주민번호를 입력하고 본인인증 절차를 거쳐 이뤄지는 데 공격주체는 공공아이핀 프로그램의 취약점을 파고들어 주민번호 입력과 본인인증 절차를 회피해 발급을 받은 것으로 추정됩니다.

행자부는 2일 75만 건이 부정 발급된 사실을 파악하고도 약 사흘이 지난 오늘에야 공개했습니다.

행자부의 한 관계자는 "부정 발급된 75만 건을 즉시 삭제하고, 게임사이트에서 쓰인 12만 건에 대해서는 회원탈퇴 또는 사용중지 조치했기 때문에 피해는 거의 없을 것"이라면서 "지금까지 보고된 피해는 없다"고 말했습니다.

행자부는 이번 공격이 아이핀을 도용하거나 정보를 유출한 사례가 아니기 때문에 일반적인 '해킹'과는 다르다고 설명했습니다.

그러나 이번 사건은 공격 주체들이 시스템의 내부에 침입해 자유롭게 공공아이핀을 만들어낸 것이어서 공공아이핀 시스템 전체의 신뢰도 추락이 불가피합니다.

온라인서비스의 개인별 '마스터키'에 해당하는 아이핀을 타인이 만들어서 마구 이용하는 일도 가능하다는 것이 이번 사건으로 입증됐기 때문입니다.

공격 주체가 다른 경로로 입수한 개인정보를 침입 및 무단 발급 과정에 활용했는지도 아직 밝혀지지 않았습니다.

정부는 이번 사건을 계기로 한국인터넷진흥원을 통해 아이핀 시스템을 완전히 다시 구축하는 방안을 검토하고 있습니다.

(SBS 뉴미디어부)