[아이핀 부정발급 해킹]주민번호→'아이디·비번찾기'→계정탈취 끝! 업계 "정부인증제도도 뚫리니"
아이핀이 뚫렸다. 이 과정에서 현존하는 실제 주민등록번호가 이용됐을 가능성도 제기됐다. 실제 주민등록번호를 사용해 부정 아이핀을 생성했을 경우, 주민등록번호 주인의 계정 탈취가 충분히 가능한 부분이다. 게임업계는 정부의 본인인증제도가 뚫린 것에 대해 불안해하고 있다.
◇'아이디·비번 찾기'로 계정 탈취도 가능
행정자치부는 지난달 28일부터 2일 사이 지역정보개발원에서 관리하고 있는 공공아이핀시스템에서 아이핀 75만 건이 부정 발급됐다고 5일 밝혔다. 정상 발급된 공공 아이핀(426만건) 규모와 비교하면 17%에 달하는 규모다.
부정발급 받은 아이핀 가운데 12만 건은 엔씨소프트, 엑스엘게임즈, 블리자드 엔터테인먼트 등 3개 게임 웹사이트에서 신규 회원가입, 기존 이용자 계정 수정·변경 등에 이용됐다.
장한 행자부 개인정보보호 정책과장은 "게임사이트에서 긴급 임시조치 등을 잘 취해 관련된 2차 피해 사례 없는 것으로 파악 중"이라고 밝혔다.
이번 '아이핀 사고'에는 현존하는 실제 주민등록번호가 이용된 것으로 추정되고 있다. 실제 주민등록번호를 사용해 부정 아이핀을 생성했을 경우, 기존 사용자의 계정이 탈취될 수 있는 상황.
통상 인터넷 사이트에서는 '아이디, 비밀번호 찾기' 기능을 이용할 때 휴대폰 인증이나 아이핀을 사용한다. 아이핀만 갖고 있다면 아이디와 비밀번호를 알아낼 수 있다. 이렇게 게임 계정을 탈취해 아이템 거래를 하면 계정당 수백만 원의 피해가 발생할 가능성도 있다.
한 게임사 관계자는 "공격 받은 아이디는 접근을 차단하고, 회원이 접속을 시도했을 때 핸드폰 등으로 선택적 본인인증을 해서 다시 풀어주고 있다"며 "혹시라도 그 사이 게임머니 등 피해가 발생됐다고 신고하면 복구해줄 것"이라고 밝혔다.
◇"내 계정 괜찮나"…불안감 확산, CS센터 전화 빗발
독자들의 PICK!
사상 초유의 아이핀 해킹 사고에 게임업계는 불안감을 호소하고 있다. 유출된 아이핀을 아아디 생성 또는 도용에 활용한 건수는 엔씨소프트 6000여 건, 엑스엘게임즈 1만여 건이다. 블리자드엔터테인먼트는 정확한 수치를 밝히지 않고 있다.
아이핀 도용 사실이 게임사에 알려진 것은 지난 2일. 해당 게임사에서는 회원 개인정보를 갖고 있지 않기 때문에 신용평가기관를 거쳐 조치가 이뤄졌다. 신용평가기관에서 특정 아이디가 유출된 아이핀으로 만들어졌다고 알려오면, 게임사는 아이디를 블록(삭제, 사용중지) 조치한다.
게임사에서는 도용된 아이핀이 기존 계정 확인보다는 신규 계정 생성에 대부분 사용됐다고 설명한다. 그럼에도 불구하고 게임 이용자들은 혹시 자신의 계정에 피해가 가지 않을까하는 우려에 게임사 CS(고객응대)센터 전화가 빗발치고 있다.
한 게임사 관계자는 "국가에서 관리하는 본인확인 인증제도가 뚫렸기 때문에 게임사 입장에서는 불안할 수밖에 없다"며 "또다시 이런 황당한 사고가 벌어지지 않으리란 보장도 없는 것 아니냐"고 말했다. 그러면서 "아이핀 제도에 대한 재검토가 필요하다"며 "해킹 위험성이 높다면 당연히 사용하지 말아야 한다"고 덧붙였다.
행안부가 당초 약속과 달리 업체명을 공개해 불안감을 증폭시켰다는 지적도 나온다.
또 다른 게임사 관계자는 "업체 측 과실로 생긴 사고도 아닌데, 행안부에서 업체명을 공개하는 바람에 업체의 이미지만 훼손됐다"며 "앞서 행안부에서 가이드라인을 설명할 때 업체명을 밝히지 않겠다는 약속을 어긴 것"이라고 비판했다.
