행정자치부는 지난달 28일부터 지난 2일 오전까지 공공아이핀 시스템이 해킹 공격을 받아 75만건이 부정 발급된 것으로 파악됐다고 5일 밝혔다. 행자부는 지난주 말 급격히 아이핀 발급량이 증가하자 해킹 및 부정 발급 사실을 확인했다.
통상 아이핀의 발급 과정은 주민번호를 통해 본인 인증을 받는 절차부터 시작된다. 이후 공인인증서를 통한 개인 인증을 받은 뒤 아이핀 번호를 부여 받게 된다. 쉽게 말해 '주민번호-공인인증서-아이핀'이라는 3단계 절차로 개인 인증을 받게 되는 셈이다.
하지만 이번 사태에서 확인된 해커들의 수법은 2단계 공인인증 단계를 뛰어넘는 방식으로 아이핀을 확보했다. 해커들은 이 과정에서 일명 '파라미터 위변조'라는 수법으로 본인 인증이 정상적으로 이뤄진 것처럼 시스템이 오인하도록 데이터를 변조하는 방식을 사용했다. 이로써 이들은 75만건에 달하는 불법 아이핀을 발급 받게 됐다.
현재까지 부정 발급된 공공아이핀 75만건 중 12만건이 유명 게임 사이트 3곳에서 신규회원 가입이나 이용자 계정 수정·변경 시도(8,000건)에 사용된 것으로 확인됐다. 이에 행자부는 부정 발급된 공공아이핀 전부를 긴급 삭제 조치했고 게임 아이템 탈취 등 실질적인 피해사항은 보고되지 않은 상태인 것으로 알려졌다.
정부는 또 아이핀 관계기관 대책회의에서 프로그램 소스 분석 및 모의 해킹을 실시하는 등 아이핀 발급·인증 체계의 보안 취약점 점검에 나섰다. 한국인터넷진흥원(KISA)을 통해 아이핀 시스템을 전면 재구축하는 방안도 검토하기로 했다고 행자부는 설명했다.
'시스템의 전반적인 검토를 하겠다' '아직 피해가 없다'는 정부의 설명에도 불구하고 따른 개인정보 유출 사고 이후 주민번호 대체수단으로 홍보해온 공공아이핀이 해커에 농락당하자 정부의 개인정보 보호 시스템에 대한 신뢰도는 땅에 떨어질 수밖에 없게 됐다. 주민번호 개편 체계에 대해 활발한 의견을 제시해왔던 시민단체 진보네트워크 또한 "아이핀은 애초에 도입되지 말았어야 했다"며 공식 논평을 냈다. 진보네트워크는 아이핀이 주민번호 대체수단으로 도입됐지만 그 자체가 또 다른 '만능 키'로 역할을 하는 셈이라 아이핀이 뚫리면 이용자가 가입한 여러 사이트가 한꺼번에 뚫리게 돼 해커들의 표적이 되고 있다고 설명했다.