[아이티데일리] 개인정보 보호 강화를 위해 주민등록번호 대신 사용되고 있는 아이핀이 외부 해킹에 뚫리는 사고가 발생했다. 75만 건의 아이핀이 부정발급된 것으로 확인된 가운데, 관계부처에서는 해당 시스템에 대한 전면 재구축을 검토하고 있는 것으로 전해졌다.

5일 행정자치부는 지난 2월 28일부터 3월 2일까지 행자부 산하 지역정보개발원에서 관리하고 있는 공공아이핀 시스템에서 75만 건의 아이핀이 부정 발급되는 사고가 발생했다고 발표했다.

행자부는 이번 사건을 경찰에 긴급히 수사 요청을 했으며, 현재 이에 관해 수사가 진행 중이라고 밝혔다.

행자부 발표에 따르면, 이번 공공아이핀 부정발급에 2천여 개의 국내IP가 동원됐으며, 중국어 버전의 SW가 사용된 것으로 파악됐다. 외부 공격자는 프로그램 취약점 이용을 이용해 공공아이핀 정상발급 절차를 우회해서 아이핀을 대량으로 부정발급 받았으며, 부정발급 받은 아이핀 중 12만 건이 3개 게임사이트의 신규 회원가입, 기존 이용자 계정 수정 및 변경 등에 이용됐다.

행자부(지역정보개발원)는 사고 발생 즉시, 부정발급에 이용된 프로그램 취약점을 수정해 추가 부정발급을 차단하고, 부정발급된 아이핀 전부를 긴급 삭제조치 했다고 밝혔다. 그리고 유사 사고가 재발하지 않도록 사고발생 즉시 공공아이핀센터에 비상대응팀을 구성해 24시간 집중 모니터링 체계를 운영하고 있다고 덧붙였다.

행자부는 이번 사고로 인한 2차 피해를 최소화하기 위해 민간아이핀 기관과 관련 게임사에 사용내역을 전달, 긴급 사용자 보호조치를 취하도록 했다고 강조했다. 관련 게임사에서는 부정 발급된 아이핀으로 신규 회원 가입을 한 경우에는 회원 탈퇴 조치를 했으며, 사용자 정보를 수정‧변경한 경우에는 임시 사용중지 조치를 취한 것으로 전해졌다.

또한 행자부는 사고 다음날인 지난 3일과 4일, 아이핀 관계기관 대책회의를 긴급 소집해 이번 사고 대책에 대해 논의하고 기관별 추진상황을 점검했다고 밝혔다. 대책회의 결과, 프로그램 소스 분석 및 모의해킹 등을 통해 아이핀 발급‧인증체계 보안 취약점을 긴급점검, 개선조치 하고, 전문기관(한국지역정보개발원, KLID)을 통해 공공아이핀 시스템 전면 재구축 방안 등을 검토할 예정이다.

한편, 민간아이핀의 경우에는 이번 사고와 같은 부정발급은 없는 것으로 확인됐다. 그러나 민간아이핀의 안전성 강화를 위해 방송통신위원회는 아이핀 2차 인증을 의무화하는 방안을 추진할 계획인 것으로 알려졌다.