고개숙인 정부…"관리운영 총체적 문제…'아이핀 폐지'보단 '시스템 고도화'로 해법"
‘인건비를 포함해 연간 13억.’
공공아이핀 시스템 운영에 드는 연간 유지보수 비용이다. 해킹을 통한 75만 여건의 공공아이핀 부정발급 사건은 아이핀 시스템 구성의 취약성 외에도 일어날 수밖에 없는 인재였음이 드러났다.
김석진 행정자치부 공공서비스정책관(국장)은 10일 “공공아이핀 부정발급은 시스템뿐만 아니라 관리·운영상의 문제 모두가 원인”이라며 “공공아이핀이 민간아이핀과 비교해 (보안) 기능이 떨어지는 것이 사실”이라고 말했다.
주민등록번호 대체수단으로 정부가 적극 사용을 권고해 온 중요 본인 확인 시스템임에도 보안체계가 총체적으로 부실했다는 점을 정부가 시인한 것이다.
아이핀은 서울신용평가정보, 나이스신용평가정보, 코리아크레딧뷰로 등에서 발급받는 민간 아이핀과 행자부가 제공하는 공공 아이핀으로 나뉜다. 공공·민간아이핀 모두 큰 틀에서 기능은 비슷하지만, 시스템 업그레이드 등 기술적 보안 및 관리는 개별 업체별로 이뤄진다.
앞서 신원을 알 수 없는 해커들은 지난달 28일 자정쯤부터 지난 2일 오전까지 공공아이핀 시스템에 침입해 본인 인증 절차를 회피하는 수법으로 공공아이핀 75만개를 부정 발급했다. 공공아이핀센터는 이틀간 대량의 부정 발급 사실을 감지하지도 못했다. 민간아이핀 시스템에서 차단이 가능한 수법이었지만 공공아이핀센터는 속수무책으로 당했다.
김 국장은 “공공, 민간 아이핀이 각자 기술적으로 발전하다 보니 해킹방지 기술 등이 업체별로 다르다”며 “동일한 IP에서 수차례 요청이 들어올 때 제한하는 프로그램이 민간에는 있었고, 공공아이핀에는 없었던 것 같다”고 말했다. 행자부는 이번 공공아이핀 부정발급 사고의 원인이 시스템의 취약점을 이용해 정상 공공아이핀 발급단계를 우회한 파라미터 위변조 방식이 사용된 것으로 파악하고 있다.
보안업계에서는 정부가 그동안 아이핀에 대한 관심이나 활용이 적어 시스템 고도화를 하지 않고 안이하게 대응해왔다고 지적하고 있다.
보안업계 관계자는 “신분 대체 수단인 대국민 서비스 시스템을 한달에 한번 보안 점검을 해도 부족한데 1년에 한두번 패키지로 한다는 것은 누가 봐도 보안에 대한 생각이 없는 것”이라며 “보안 진단 비용만 1년에 10억원은 돼야할 텐데 총 유지보수 비용이 13억원이라는 것은 업그레이드도 제 때 안한다는 얘기”라고 말했다.
정부는 이번 주 중 외부 보안전문기관들과 이번 사고원인을 분석하고 공공아이핀 보안강화대책을 조속히 수립키로 했다.
독자들의 PICK!
올 상반기 중 외부 보안전문업체를 통해 공공아이핀 시스템 구조 및 성능진단, 관리·운영 문제점 및 개선사항 검토 등 시스템 고도화 방안도 마련할 예정이다. 또 공공아이핀이 민간 아이핀과도 연동돼 있는 점을 고려, 시스템 전면 재구축보다는 현재 시스템을 고도화하는 쪽으로 방침을 정했다.
정부 관계자는 “아이핀에 대한 불신이 크다는 지적이 있는 것으로 알고 있지만 관련 제도를 전면 수정하기 보다는 아이핀은 그대로 유지하면서 최대로 보안수준을 높이는 쪽으로 고려 중”이라고 말했다.
