출처=공공아이핀 홈페이지 캡처
행정자치부는 지난 2월 28일부터 2일 오전까지 공공아이핀 시스템이 해킹 공격을 받아 75만 건이 부정 발급된 것으로 파악됐다고 5일 밝혔다.
행자부는 이 기간 동안 단기간에 급격히 아이핀 발급량이 증가하자 경위를 조사한 결과 해킹 및 부정발급 사실을 확인했다.
이번 해킹 공격은 주민번호를 도용해 정식으로 발급받은 아이핀을 거래한 것이 아니라, 아예 시스템에 침범해 공공아이핀을 대거 만들어 사용한 것이다.
현재까지 부정 발급된 공공아이핀 75만 건 중 17만 건이 3개 인터넷 게임사이트에서 신규회원가입이나 이용자계정 수정·변경에 사용된 것으로 파악됐다.
이에 따라 행자부는 부정 발급된 공공아이핀 전부를 긴급 삭제했다. 또한 게임사이트 운영업체에 통보해 신규회원은 강제탈퇴 조치하고, 이용자 계정을 수정한 회원 아이디는 사용을 잠정 중지시켰다.
공공아이핀 해킹 공격에 따른 게임아이템 탈취 등 실질적인 피해사항은 지금까지 보고되지 않았다.
행자부는 프로그램을 수정해 해킹 공격을 차단하고, 경찰청에 수사를 요청했다.
행자부에 따르면 이번 공격에 2000여 개 국내 아이피(IP)가 동원됐고, 중국어 버전 소프트웨어가 사용됐다.
부정 발급된 공공아이핀에는 모두 동일한 공인인증서와 패스워드가 쓰인 것으로 알려졌다.
한편 잇따른 개인정보 유출사고 이후 정부는 주민번호 대체수단으로 아이핀을 이용하면 앞으로 개인정보가 유출되는 피해는 입지 않을 것이라고 대대적으로 홍보했다. 하지만 이번에 민간기업이 아닌 공공기관에서 발급하는 아이핀이 해커에게 손쉽게 농락당함에 따라 그 신뢰도는 땅에 떨어지게 됐다.
아이핀은 현재 공공기관 한 곳, 민간기업 3곳에서 발급받을 수 있다. 이에 따라 현재 발행된 아이핀은 모두 1526만 건에 이른다.
행자부는 이번 해킹 공격으로 부정 발급된 아이핀이 더 있는지, 주민번호가 같이 노출됐는지 등을 아직 명확하게 파악하지조차 못한 상태다.
정부는 아이핀 관계기관 대책회의에서 프로그램 소스분석 및 모의 해킹을 실시하는 등 아이핀 발급·인증체계의 보안취약점 점검에 나섰다.
또한 한국인터넷진흥원(KISA)은 아이핀 시스템을 전면 재구축하는 방안도 검토하기로 했다.
민웅기 기자 minwg08@ilyo.co.kr
