75만건 부정발급 파장
아이핀이란 온라인에서 주민등록번호를 대신해 사용하는 개인 식별 번호다. 공인인증서 인증 같은 절차를 거치기 때문에 보안성이 높다는 평가를 받아왔다. 그동안 정부가 아이핀 사용을 적극 권장했던 이유다. 그러나 이번 대규모 부정 발급 사태로 아이핀의 신뢰성 추락이 불가피하게 됐다.
○ 공공 아이핀 보안상 허점 노린 듯
보통 아이핀 발급 절차는 △사용자 정보 입력(1단계) △공인인증서 인증 등 본인 확인(2단계) △아이핀 발급(3단계)으로 이뤄진다. 이번 대규모 부정 발급 땐 유출된 개인정보가 1단계 절차에서 입력되고 2단계에선 공인인증서를 발급받은 것처럼 인식하도록 위조된 값이 입력된 것으로 보인다. 일부는 1단계 때부터 해킹이 이뤄졌을 가능성도 제기하고 있다.
오윤탁 한국지역정보개발원 책임연구원은 “아이핀 발급 1, 2단계를 통과하려면 정확한 값을 시스템에 넣어 앞 단계를 정상 수행했다는 것을 알려야 한다”며 “공격자(해커)들이 이른바 ‘파라미터 위변조’ 방식으로 부정 발급 받은 것”이라고 설명했다. 파라미터 위변조란 정상 작동으로 오인하도록 데이터 값을 발생시키는 해킹 방법이다.
파라미터 위변조는 비교적 기초적인 해킹 방식으로 알려졌다. 실제로 보안이 철저한 민간 아이핀 시스템에서 이 방식은 거의 통하지 않았다. 그동안 공공 아이핀 시스템의 보안 점검이 제대로 이뤄지지 않았음을 보여준다. 공공 아이핀은 2007년 개발됐다. 장한 행정자치부 개인정보보호정책과장은 “매년 2번씩 취약점을 점검하고 있지만 (공격자가) 프로그램의 가장 약한 부분을 연구한 것 같다. 통상적인 점검으로 잡기 어렵다”고 답했다.
전문가들은 “시스템상 특정 주소나 개인정보로 여러 개의 아이핀이 발급되는 ‘비정상 행동’에 대한 대책을 마련하지 않아 벌어진 일”이라고 분석했다. 이번에 동원된 국내 인터넷 주소(IP 주소)는 2000여 개. 모두 동일한 공인인증서와 패스워드가 쓰인 것으로 알려졌다.
○ 추가 피해 가능성 있나
행자부와 경찰은 해킹에 사용된 소프트웨어가 중국어로 돼 있고 대규모 공격이 이뤄진 점으로 보아 중국 등 외국 해커의 소행으로 추정하고 있다. 부정 발급된 아이핀 일부는 엑스엘게임즈 플레이엔씨 블리자드 등의 게임 사이트에서 신규 회원 가입이나 기존 회원 계정 수정에 이용됐다. 지난해 11월에는 중국 등에 이른바 ‘작업장’을 차리고 1조 원대 게임 아이템을 불법 환전한 이들이 검찰에 검거되기도 했다.
게임업체들은 부정 발급된 아이핀으로 가입한 신규 회원을 강제탈퇴 시키는 등 이용자 피해를 최소화하는 중이다. 엑스엘게임즈 측은 “해당 아이핀으로 회원 정보가 변경된 기존 가입자들에게는 메일로 안내한 뒤 추가 본인인증 절차를 진행 중”이라고 말했다.
우경임 woohaha@donga.com·서동일 기자
-
- 좋아요
- 0개
-
- 슬퍼요
- 0개
-
- 화나요
- 0개
댓글 0