정부도 뚫렸다…공공아이핀 시스템 해킹으로 75만건 부정발급돼

< 앵커멘트 >
정부가 주민번호 대신 도입한 공공아이핀 시스템이 해커에 뚫려 수십만 건이 부정발급됐습니다. 정부의 시스템마저 이렇게 허술하게 뚫리면서 개인정보 유출에 대한 불안감이 더 커지고 있습니다. 보도에 이정 기잡니다.

< 리포트 >
정부가 주민번호 대체수단으로 권장하고 있는 공공아이핀.

평소 이곳에서 발급되는 아이핀은 월 평균 17만건인데, 지난 주말(2.28일-3.2일) 이틀간 4배 가량 많은 75만 건이 발급됐습니다.

이를 이상하게 여긴 지역정보개발원이 곧바로 원인 파악에 나섰고, 해커들에 의해 아이핀을 대량으로 부정 발급된 사실이 확인됐습니다.

해커들은 아이핀 발급 시스템의 허점을 교묘하게 노렸습니다.

[전화인터뷰] 장헌 / 행정자치부 개인정보정책과 과장
"원래 아이핀을 발급받으려면 정상적으로 세 단계를 거치는데 이번 사고는 1단계, 2단계 본인 확인 절차를 거치지 않고, 우회해서 아이핀을 대량으로 부정발급받은 것으로 확인됐습니다."

해커들은 '파라미터 위변조'라는 수법으로 공공아이핀 시스템의 취약점을 공격했습니다.

통상 공공아이핀을 발급 절차는 사용자 정보 입력, 공인인증서 같은 본인확인 , 아이핀 발급단계로 이뤄지는데, 본인인증이 정상적으로 이뤄진 것처럼 시스템이 오인하도록 파라미터 값을 변조해 본인인증 절차를 건너뛴겁니다.

이 부정발급에 2천여 개의 국내 IP가 동원됐고, 75만 건 중 12만 건은 3개 게임사이트에서 신규가입이나 이용자 계정수정에 사용된 것으로 확인됐습니다.

행자부는 본인인증 단계에서 주민등록번호가 사용했는지 여부에 대해선 알 수 없다고 밝혔지만 전문가들은 이미 유출된 주민번호가 사용됐을 가능성이 높은 것으로 보고 있습니다.

행자부는 부정 발급된 75만건의 아이핀을 긴급 삭제하고, 게임사이트에 이용된 12만 건에 대해선 사용중지 조치해 부정발급으로 인한 피해는 없을 것이라고 밝혔습니다.

또, 해킹에 이용된 프로그램의 취약점을 수정해 추가 부정발급을 차단했다고 밝혔습니다.

하지만 공공기기관이 운영하는 아이핀 시스템까지 보안에 허점이 드러나면서 또 다시 개인정보 유출에 대한 국민들의 불안감이 커지고 있습니다.

머니투데이방송 이정(right@mtn.co.kr)입니다.