정부 공공아이핀 75만건 부정발급… 행자부, 전면 재구축 검토

아주경제 강승훈 기자 = 정부가 주민번호 대체수단으로 권장한 공공아이핀 시스템이 외부의 해킹 공격에 처참하게 뚫렸다. 정부는 공공아이핀 시스템의 전면 재구축 방안 등을 검토할 방침이다.

행정자치부는 지난달 28일 자정 무렵부터 이달 2일 오전 9시까지 3일간 지역정보개발원에서 관리 중인 공공아이핀 시스템에서 75만건의 아이핀이 부정 발급되는 사고가 발생했다고 5일 밝혔다.

행자부는 이번 사고가 공공아이핀 정상 발급 절차를 우회(프로그램 취약점 이용)해 대량 발급시킨 것으로 확인했다. 이 과정에서 아이핀 약 17만건이 엔씨소프트·엑스엘게임즈·블리자드 등 3개 게임사이트의 신규 회원가입 및 기존 이용자 계정 수정·변경 등에 이용됐다.

문제는 주민번호 대체수단으로 선보인 공공아이핀이 주민등록번호 등 개인정보를 도용하지 않고 해커가 직접 시스템에 침입, 무차별적으로 발급시켰다는 점이다. 정체불명의 해커는 앞서 소규모 시험발급도 한 것으로 드러났다. 

행자부가 이상 징후를 파악한 것은 지난 2일 오전이다. 2월 28일과 3월 1일 주말 이틀 동안 공공아이핀 발급이 평소와 달리 크게 급증한 것을 수상하게 여긴 관리기관인 지역정보개발원에서 원인 파악에 나섰다. 조사 결과, 해커가 해당 프로그램 취약점을 공격해 대량의 공공아이핀 부정 발급에 성공한 것으로 드러났다.

행자부는 해킹 공격으로 부정 발급된 아이핀이 더 있는지 아직 명확히 파악하지 못해 국민들의 불안은 더욱 커지고 있다. 주민번호가 같이 노출됐는지 등도 불명확한 상태다.

행자부는 경찰청에 긴급히 수사를 요청한 상태다. 지금까지 공공아이핀 부정 발급에 2000여 개의 국내 IP가 동원됐으며, 중국어 버전 SW가 사용된 것으로만 파악했다. 행자부는 사고 직후 관계기관 대책회의를 긴급 소집해 추진상황을 점검했다.

대책회의에서는 프로그램 소스분석 및 모의해킹 등으로 아이핀 발급‧인증체계 보안 취약점을 개선 조치키로 했다. 특히 한국인터넷진흥원(KISA)을 통해 공공아이핀 시스템의 전면 재구축 방안 등을 심각하게 고려할 예정이다.

행자부는 유사 사고가 재발하지 않도록 공공아이핀센터에 비상대응팀을 구성해 24시간 집중 모니터링체계를 운영 중이다. 아울러 2차 피해를 최소화하기 위해 민간아이핀기관과 관련 게임사에 사용내역을 전달, 긴급 사용자 보호조치를 취하도록 했다.

이에 게임사에서는 부정 발급된 아이핀으로 신규회원 가입을 한 경우 탈퇴 조치를 취하고, 사용자 정보 수정‧변경 때 임시 사용중지 조치를 즉각 적용했다.

행자부 관계자는 "부정 발급된 공공아이핀 75만건을 즉시 삭제하는 등 조치를 취했으므로 피해는 거의 없을 것이다. 지금까지 보고된 피해는 없다"고 말했다.

한편 본인인증 목적의 아이핀은 온라인상 주민번호 등 개인정보가 유출되는 것을 차단하기 위한 것으로 2006년 민간에서부터 도입됐다. 이후 2008년 정부는 공공아이핀센터에서 아이핀을 발급하고 공공기관 웹사이트에 도입시켰다. 작년 1월 KB국민·롯데·NH농협 등 카드 3사에서 개인정보가 대량 유출되면서 공공아이핀 수요가 몰렸다.