‘주민번호 대체’ 공공아이핀도 뚫렸다… 시스템 해킹 75만건 부정 발급

정부가 인터넷상에서 주민등록번호 대체수단으로 권장하고 있는 공공아이핀(I-PIN·Internet Personal Identication Number) 시스템이 해킹돼 아이핀 75만건이 부정 발급됐다. 민간 또는 공공 아이핀 시스템이 외부 공격에 뚫려 아이핀이 부정 발급된 것은 처음이다. 이에 따라 아이핀 제도 자체에 대한 신뢰가 큰 타격을 입게 됐다.

행정자치부는 지난달 28일 0시30분부터 지난 3일 오전 9시 사이에 공공아이핀 시스템에서 아이핀 75만2130건이 부정 발급돼 경찰에 수사를 요청했다고 5일 밝혔다.

부정 발급된 공공아이핀 중 12만건은 유명 게임사이트 3곳에서 신규 회원가입이나 기존 회원(약 8000명)의 계정 수정·변경 시도에 사용된 것으로 파악됐다.

행자부 관계자는 “(해커가) 공인인증서를 통한 본인인증 단계를 거친 것처럼 오인하도록 하는 수법으로 아이핀을 대량 발급받은 것으로 추정된다”고 설명했다.

행자부는 지난 주말 아이핀 발급량이 급증하자 경위를 조사해 사고 사실을 확인했다. 행자부는 프로그램을 수정해 해킹을 차단하고 부정 발급된 공공아이핀 전부를 삭제했다. 또 게임사이트 운영업체에 통보해 부정 발급된 아이핀으로 가입한 신규 회원은 강제탈퇴 조치하고, 이용자 계정을 수정한 회원 아이디는 사용을 잠정 중지토록 했다.

행자부는 “긴급히 사용자 보호조치를 취해 피해는 거의 없다”고 밝혔지만 이미 58시간 동안 부정 발급이 이뤄졌기 때문에 일부 이용자들이 게임 아이템을 탈취당하는 등의 피해를 입었을 수 있다.

행자부는 이번 공격에는 2000여개 국내 아이피(IP)가 동원됐고 중국어 버전 소프트웨어가 사용됐으며 ‘파라미터 위변조’라는 수법이 사용된 것으로 추정했다. 공공아이핀을 발급받으려면 사이트에 접속해 주민번호와 이름 등 개인정보를 넣고 공인인증서를 통해 본인인증을 받아야 한다. 그러나 해커는 공인인증서 본인인증이 정상적으로 이뤄진 것처럼 시스템이 오인하도록 데이터(파라미터값)를 변조한 것으로 보인다. 파라미터 위변조를 방지하기 위한 프로그램은 이미 민간아이핀 발급업체에 도입된 기초 보안장치여서 공공기관이 보안 시스템 구축과 관리에 소홀했다는 지적이 나온다.

해커가 사전에 대량으로 입수한 주민번호 등을 활용해 아이핀을 발급받았을 가능성도 제기된다. 아이핀은 주민번호 1개당 1개만 발급되기 때문에 75만개의 아이핀이 발급됐다면 해커가 75만명의 주민번호와 이름을 확보했다는 걸 의미하기 때문이다.

행자부는 아이핀 발급·인증체계를 개선하는 한편 아이핀 시스템을 전면 재구축하는 방안도 검토키로 했다.

아이핀은 인터넷상 개인식별 번호다. 각종 사이트에서 회원가입 시 주민번호가 없어도 본인임을 확인할 수 있는 수단인 데다 노출될 경우 폐기나 재발급이 가능하다.

아이핀은 현재까지 공공기관(한국지역정보개발원)이 426만건, 민간기업에서 1526만건을 발급했다.

라동철 선임기자 rdchul@kmib.co.kr