민간 아이핀 발급시스템을 운영하는 3개사가 이번 주 보안 점검에 들어간다. 지난주 발생한 공공 아이핀(I-PIN·인터넷 개인식별번호) 발급시스템 해킹 사고로 인해 보안 우려가 커지면, 민간 아이핀을 관리하는 방송통신위원회가 비정기 점검을 진행키로 한 것이다.
9일 방송통신위원회 관계자에 따르면 민간 아이핀 발급 시스템을 운영하는 나이스신용평가정보, KCB, 서울신용평가정보 등 3개사에 대해 한국인터넷진흥원(KISA)과 민간 보안전문가들이 참여하는 보안 점검을 이번 주 시행할 계획이다. 최근 공공 아이핀 발급시스템 해킹 통로로 지적된 보안 취약점을 중심으로 진행된다.
행정자치부는 지난달 28일부터 3일 여간 공공 아이핀이 발급 시스템 해킹으로 인해 75만건 부정 발급됐다고 밝혔다. 조사 결과 공격자(해커)는 발급 시스템에 파라미터 위변조가 가능한 취약점을 악용한 것으로 드러났다.
민간 아이핀은 관련 피해가 없었던 것으로 조사됐지만, 국민들의 아이핀 보안 우려가 커지자 추가 보안 점검에 나선 것이다. 실제 사건 발표 당일(5일)과 이튿날 공공 아이핀 탈퇴자 수가 평소보다 5배까지 늘어난 한편 탈퇴 행렬이 민간 아이핀 부문에도 발생했다.
방송통신위원회 관계자는 "최근 공공 아이핀 해킹 소식으로 민간 아이핀 시스템에서도 탈퇴자 수가 증가하다가 지난 주말 증가세가 꺾인 것으로 파악된다"며 "민간 아이핀 시스템에는 보안 침해가 없었지만 (국민들의 보안 우려) 영향은 있는 것으로 보인다"고 설명했다.
민간 아이핀은 공공 부문보다 3년 여 먼저 시작됐다. 2005년 10월 정보통신부는 인터넷 상에서 주민번호를 대체해 본인을 확인할 수 있는 아이핀 개발·보급을 추진, 서비스를 개시했다. 2008년 8월 행정안정부가 공공 아이핀 서비스를 개시하면서, 민간 아이핀과 연계해 이용자가 공공·민간 구분 없이 하나의 아이핀으로 공공·민간 웹사이트에서 모두 사용할 수 있도록 했다.
먼저 시작한 만큼 현재 누적 발급 수도 민간 아이핀이 1526만건으로 공공(426만건)보다 많다. 방통위는 본인확인기관으로 아이핀 발급기관 지정하는 역할을 담당한다. 매년 정기적으로 KISA와 외부전문가 등을 포함한 팀을 꾸려 상세한 보안 점검을 실시한다.
한편 발급 단계에 2차 인증을 도입하는 방안에 대해서는 아직 고려 중이라고 설명했다. 발급 단계가 한 차례 더 많아지면, 이용자들이 번거로워질 수 있기 때문. 아이핀은 언제든지 변경이 가능하다는 점에서, 이용자들의 편의성과 보안을 균형 있게 고려해 대책을 강구하겠다는 계획이다.