행정자치부는 해커가 지난달 28일 자정 무렵 시스템에 침입한 뒤 공공아이핀을 대량 발급하기 시작해 지난 1일까지 총 75만건을 부정 발급했다고 밝혔다. 해커는 본격적인 대량 발급에 앞서 소규모 시험 발급까지 하는 등 철저한 준비를 거친 뒤 범행을 저질렀다. 75만건 중 12만건이 유명 게임사이트 3곳에서 신규 회원 가입이나 이용자 계정 수정·변경 시도에 사용된 것으로 파악됐다.
행자부는 이번 공격에 2,000여개의 국내 아이피(IP)가 동원됐고 중국어 버전 소프트웨어가 쓰였다고 밝혔다. 해커는 '파라미터 위변조'라는 수법으로 공공아이핀 시스템의 취약점을 노렸는데 이용자가 본인 인증을 정상적으로 받은 것처럼 데이터(파라미터 값)을 변조해 시스템을 속였다는 것이다. 여러 차례 발생한 개인정보 유출 사고 때 빠져나간 주민번호가 이용된 것으로 추정된다. 공공아이핀 발급에는 이름과 주민번호가 필수인데 게임 사이트 계정에 부정 발급된 공공아이핀과 동일한 개인정보가 쓰였기 때문이다. 한 보안 업계 관계자는 "한번 유출된 개인정보는 다양하게 활용될 수 있다"며 "한번은 이름, 한번은 전화번호가 빠져나가면 이를 조합해 정보가 완성된다"고 설명했다. 이번 해킹 역시 계속된 유출 사고의 연장선일 가능성이 높다는 의미다.
정부가 잇따른 개인정보 유출 사고 이후 주민번호 대체수단으로 홍보해온 공공아이핀이 해커의 공격에 속수무책으로 당함에 따라 앞으로 신뢰도 추락을 막을 방법이 없게 됐다. 행자부는 해킹 확인 후 "부정 발급된 75만건을 즉시 삭제하고 게임 사이트에서 쓰인 12만건에 대해서는 회원탈퇴 또는 사용중지 조치를 취했기 때문에 피해는 거의 없을 것"이라는 입장을 밝혔지만 정확한 피해 파악까지 상당한 시간이 걸릴 것으로 전망된다.