이훈기 민주당 의원 지적…중국인이 한국인인 척 인터파크 티켓 예매 中 해커 웹사이트 본인인증서비스 취약점 노려…자체점검 한계 지적 “자체점검 거짓보고 우려도…실제 이행 여부 확인할 수 있어야”
ⓒ뉴시스
최근 일부 중국인들이 인터파크 티켓의 온라인 본인인증서비스 취약점을 악용해 한국인척 티켓팅을 시도한 사례가 발생했다. 실제 본인인증이 되지 않았음에도 통과한 것처럼 꾸민 것이다.
인터파크 티켓은 방송통신위원회와 한국인터넷진흥원(KISA)의 본인확인서비스 이용기관(웹사이트) 취약점 자체점검 체크리스트를 이행했음에도 사고가 났다.
게다가 자체점검이 강제가 아닌 자율로 이뤄지고 있어 겉으로 드러나지 않은 사고들이 더 있을 수 있다는 우려가 제기된다. 실효성 있는 정부 대책이 필요하다는 지적이 나오는 이유다.
본인확인서비스는 주민번호를 대신하는 수단으로 휴대폰 인증 등을 통해 진행한다. 이동통신사가 운영하는 패스(PASS), 아이핀, 신용카드 등이 주로 이용되고 있다.
방통위는 공공·금융·민간 등 국내 웹사이트 다수가 회원가입 등에 이용자 신원확인을 위해 본인확인서비스를 이용하고 있지만, 일부 웹사이트에서 본인확인 결과정보를 안전하게 처리하지 않아 해당 정보를 위·변조 할 수 있는 가능성이 있다고 판단했다.
이에 방통위는 KISA와 자체점검 체크리스트를 요청했으나 강제성이 없고 법적 근거가 없어 회신율이 낮았던 것으로 평가된다.
이번에 문제가 나타났던 인터파크 티켓의 경우 몇 안되는 회신 기관 중 한 곳이었다. 인터파크 티켓은 웹사이트 본인확인 취약점 자체점검 12개 항목 모두 ‘검토했다’고 답했다.
이 의원이 KISA로부터 제출받은 자료에 따르면 인터파크 티켓에서 중국인이 본인확인을 통과할 수 있었던 것은 웹페이지 통신 시 메시지 암호화를 하지 않았기 때문인 것으로 보인다. 중국 해커가 인증 ‘실패’ 메시지를 ‘성공’ 메시지로 위·변조할 수 있는 취약점을 노려 회원가입 시 타인명의 가입이 가능하도록 한 것이다.
인터파크 티켓 측은 “예매가 끝나면 정상적인 예매인지 검증작업을 하는데, 이 과정에서 문제가 있다는 사실을 확인했고 조치를 취했다”며 “정부의 체크리스트를 모두 이행했었다. 또 패스에서 준 가이드대로 설계가 돼 있다. 현재 문제점은 모두 보완한 상태”라고 말했다.
KISA는 이번 문제가 웹사이트의 보안 취약점을 노린 공격이라고 판단하고 있다. 대개 웹사이트들은 몇 곳의 보안업체를 통해 본인확인서비스를 구축, 운영하고 있다. 보안 사고를 예방하기 위해서는 패스와 보안업체, 인터파크가 제 때 업데이트를 진행해야 한다. 하지만 이번에는 이 과정에서 문제가 있었던 것으로 알려졌다.
우선 방통위와 KISA는 이같은 사고 재발방지를 위해 당장 본인확인서비스 이용기관 취약점 보안가이드 준수여부를 재확인하고, 당장 다음달에 타인명의 회원가입이 불가하도록 본인확인서비스 통합모듈을 배포할 방침이다.
관계부처 등과 본인확인서비스 관련 보안점검이 추진될 수 있도록 협의하고, 이용기관의 안전조치 점검과 관련한 제도 정비를 병행한다는 방침이다.
다만 이 의원은 자체 점검이나 가이드만으로는 사고 예방에 한계가 있다고 지적했다. 게다가 본인확인 이용기관이 2만4000여 개에 이르는 만큼 효율적인 관리가 필요하다는 것이다.
이 의원은 “법 개정으로 운영관리 실태를 점검할 수 있는 근거가 마련됐지만, 아직 하위법령 개정이나 규칙 등 구체적 규율이 없어 관리에 한계가 있다”며 “특히 자체점검에서는 거짓으로 보고할 수 있는 우려도 있어 점검에서 그치는 게 아닌 실제 이행했는지 확인할 수 있는 체계적인 시스템을 구축해야 한다”고 촉구했다.
[서울=뉴시스]