공공아이핀 해킹 후폭풍이 거세다. 공공기관에서 관리하는 아이핀이 시스템 해킹을 당해 75만여건의 계정이 부당발급당했다는 점 때문에 공공기관의 IT 시스템 보안성이 도마에 오른 것이다.
특히 정부가 아이핀 부정발급으로 인한 개인 피해는 없다고 단정하고 있지만, 부정발급된 아이핀 계정을 이용해 공공시스템 등에 접속해 추가적으로 정보유출을 하거나 게임 아이템 거래 등에 사용될 수 있는 등 추가 피해는 계속 나올 것으로 보인다.
초보적인 해킹기술로 공격
행정자치부에 따르면 주말인 2월28일부터 3월2일까지 3일간 공공아이핀센터에서 아이핀 발급량이 급격히 증가했다는 사실을 인지하고 경위를 조사한 결과 아이핀 발급 시스템 취약점을 해킹한 공격이 일어났다는 사실을 밝혀냈다고 설명했다.
아이핀 정보 유출만으로는 개인에게 심각한 피해를 주지 않을 수 있다. 아이핀은 일종의 ‘토큰’으로 주민등록번호를 기반으로 발급된다. 그러나 아이핀만으로 주민번호 등 개인정보를 알 수는 없다. 그러나 부정발급된 아이핀을 이용해 게임 아이템을 탈취하거나 공공서비스에 로그인해 추가적인 개인정보 탈취 등의 피해를 입힐 수 있는 가능성은 높다.
특히 이번 공격은 이미 유출된 개인정보를 이용했으며, ‘파라미터 변조’라는 비교적 초보적인 해킹툴을 사용했던 것으로 알려지면서 더욱 충격을 주고 있다.
아이핀 발급을 위해 개인정보와 사용자 정보를 입력하는 1단계 인증과 공인인증서를 활용한 2단계 인증을 완료한 후 해당 정보를 아이핀 발급 단계로 보낸다. 해커는 1·2단계를 거친 후 발급되는 ‘인증완료’ 메시지를 탈취한 후 파라미터를 변조하는 방법으로 1·2단계 본인인증 절차를 건너뛰고 3단계 아이핀을 발급받았다. 1단계에서는 실명과 주민등록번호를 입력해 이미 유출된 개인정보를 이용한 것으로 알려진다.
민간아이핀 발급 기관의 시스템에서는 파라미터 위변조 방지 시스템이 작동해 해킹을 탐지했던 것으로 전해진다.
추가 인증 기술 ‘주목’
정부는 아이핀 부정발급으로 인한 피해가 없다고 강조하고 있지만, 이미 유출된 개인정보를 이용한 공격이 일어났다는 점 때문에 경각심이 더해지고 있다
아이핀은 공무원과 학생 등이 많이 사용하고 있으며, 학생들은 보안에 대한 지식이나 인식이 낮은 편이어서 어떤 피해를 입었는지 확실하게 파악하기 어려울 수 있다는 지적도 있다. 아이핀을 발급받은 후 사용하지 않고 있는 사람도 많아 자신의 계정이 부당하게 사용되고 있다는 사실을 인지하지 못하는 경우도 많다.
실제로 부정발급된 공공아이핀 75만건 중 12만건이 유명 게임사이트에서 신규회원가입이나 이용자 계정 수정·변경 시도 등에 사용된 것으로 알려진다.
한편 정부는 추가 피해를 차단하기 위해 부정발급된 아이핀 정보를 포털·게임사 등에 전달해 해당 정보로 로그인하지 않도록 조치했으며, 공인인증서 외에 추가인증기술을 검토할 방침인 것으로 알려졌다.
