단순 취약점 대응 못해 부정 발급 75만건 대형 사고에 미흡한 대처
주민등록번호 대체수단인 '아이핀'(I-PIN·인터넷 개인식별번호)이 해커들의 공격에 어이없이 뚫렸다. 정부가 관리해오던 '공공 아이핀'이 털리면서 아이핀 시스템의 설계 단계부터 총체적 부실이 가져온 필연적 사고라는 지적이 제기되고 있다.
◇'자나깨나 보안 강조하더니…민간보다 허술?'
이번에 해커들이 공격을 받은 아이핀은 공공기관에서 운영한 것으로 공공부문 보안이 민간에 비해 취약한 것이 아니냐는 의구심이 번지고 있다.
행정자치부는 지난 5일 산하 한국지역정보개발원이 관리하는 아이핀이 해킹을 당했다고 발표하면서 방송통신위원회가 관리하는 민간 3곳의 아이핀은 부정 발급이 이뤄지지 않았음을 확인했다.
이를 두고 민간에서는 보안을 강조하는 공공기관의 모순이 적나라하게 드러났다고 일갈했다.
시중은행 정보보호 관련 부서 고위관계자는 "공공 기관이 평소에 민간업체에 보안의 중요성을 귀에 못이 박힐 정도로 강조하고 있는 가운데 이런 일이 빚어져 상당히 난센스"라며 "민간이 오히려 공공기관보다 강력한 보안시스템을 갖췄다는 점을 입증한 것"이라고 지적했다.
◇'점검만 제대로 했어도 방지 가능?'
정부가 공공 아이핀 시스템을 개발하면서 제대로 된 보안 설계를 했는지도 의문이다. 정부는 해커들이 이번 공격을 위해 본인인증 단계를 건너 뛸 수 있는 시스템 취약점을 악용했다고 밝혔다. 모든 해킹과 정보유출은 시스템의 취약점을 통해 이뤄진다.
하지만 이번 공격에 사용된 것으로 추정되는 파라미터 위변조는 서버 단에서 점검만 제대로 했어도 충분히 막을 수 있었던 단순 취약점에 불과했다는 게 보안 전문가들의 중론이다.
실제 파라미터 위변조 대응은 모든 프로그램을 짤 때 필수적으로 들어간다. 우회 접속을 하기 위해 필요해 해킹에서 많이 쓰이는 수법이기 때문이다.
애초부터 공공아이핀 프로그램 로직 자체에 문제가 있었던 것이 아니냐는 의혹이 나오는 이유다. 보안업계의 한 관계자는 "동일한 공인인증서와 비밀번호로 70만건 이상이 부정발급 됐다는 것 자체가 어이없는 일"이라며 "프로그램 개발 단계부터 보안에 대한 고려는 없었던 것 같다"고 꼬집었다.
독자들의 PICK!
◇아이핀 실명의자, 피해 사실 고지했나
행자부는 공공아이핀 해킹 공격을 받은 것을 파악한 지 3일 만에 사고 발생 사실을 공개했다. 문제는 공공 아이핀에 주민등록번호 등 개인정보를 도용당한 당사자 본인에게 피해 사실을 알리지 않았다는 점이다.
개인정보보호법 34조에 따르면 개인정보 유출 사고가 발생할 경우 사업자는 유출 사실을 지체 없이 정보 주체에게 통지하고 전문기관에 신고해야 한다. 사이버 공간의 신원확인 수단인 '아이핀'은 명의자의 주요 개인정보다.
하지만 행자부는 이렇다 할 대책도 내놓지 않았다. 부정 발급 된 명의 당사자에게 피해 사실 고지 여부와 대책은 오리무중이다. 사고 발표 다음날인 6일 행자부 관계자들은 대책 마련 중이라는 이유로 일체 답변을 내놓지 않았다. 부정 발급된 75만 건 가운데 게임사에 사용된 12만건에 대해 사용 금지 조치를 하도록 가이드라인을 내린 것이 전부다.
행자부는 해커들이 실존하는 주민등록번호를 토대로 아이핀을 발급한 것으로 추정했다. 또 부정발급받은 공공아이핀 75만건 중 12만건이 게임사이트에서 신규회원가입, 정보 변경 등에 이용됐다. 이들 중 일부 명의도용 피해자도 확인됐다. 공공아이핀 공식홈페이지(http://www.g-pin.go.kr/center/main/index.gpin)에도 이번 해킹 사태와 관련한 정부 차원의 유감표시나 별도 공지 글을 찾아볼 수 없다.
한편 이번 사고에 이미 유출된 주민등록번호가 사용됐을 가능성이 제기됐지만, 피해 상황이 확인되더라도 주민등록번호를 변경하기는 어려울 것으로 예상된다. 지난해 카드사 대규모 정보유출 사고 이후 진행된 주민등록번호법 개편 작업이 더딘 까닭이다.
신체나 재산에 큰 피해가 우려되는 경우 주민번호를 변경할 수 있는 내용의 ‘주민등록법 개정안’은 현재 국회 안전행정위원회 법안심사소위원회에 상정된 상태다. 빨라도 이번 4월 국회에 논의될 것으로 보인다. 법안이 통과되더라도 이번 아이핀 부정 발급 사고가 변경 사유로 인정받을 수 있을지는 장담할 수 없는 상황이다.