행자부 “모든 공공아이핀 사용자, 본인확인 후 재사용”
상태바
행자부 “모든 공공아이핀 사용자, 본인확인 후 재사용”
  • 김선애 기자
  • 승인 2015.03.25 11:49
  • 댓글 0
이 기사를 공유합니다

공공아이핀 시스템 전면 재구축···시민단체 “아이핀 제도 유지하면 사고는 반복해서 일어날 것”

행정자치부가 25일 공공아이핀 부정발급 재발방지 종합대책을 발표하고 모든 공공아이핀 사용자가 본인확인을 한 후 재사용하도록 한다는 방침을 밝혔다.

이에 대해 시민단체와 업계 전문가들은 아이핀 제도 자체가 보안에 취약하며, 본인확인을 위한 다양한 대안이 있는 만큼 아이핀 제도를 폐지하는 것이 바람직한 방향이라고 반박하고 나섰다.

“아이핀 발급 시스템 설계 오류 악용한 해킹사고”
행자부는 이날 공공아이핀 해킹사고 조사결과를 발표하며, 공공아이핀 시스템의 설계상 오류에서 사고가 발생했다고 설명했다. 해커가 설계상 오류를 악용해 정상발급 절차를 우회한 뒤 파라미터를 변조해 아이핀을 대량으로 부정발급 받았다는 설명이다.

또한 발급건수 급증 등 이상징후에 대한 관제체계가 없었으며, 공공아이핀이 개발된 2008년 이후 프로그램 업그레이드와 보안 투자가 미흡했던 것으로 드러났으며, 위탁운영기관의 관리역량과 전문성 부족도 금번 사고의 원인 중 하나로 지적됐다.

이러한 문제를 해결하기 위해 행자부는 민간 아이핀에서 사용하는 해킹방지 기능(해쉬함수 검증)과 2차 패스워드 등 추가 인증수단을 도입하고, 부정발급이 의심되는 국내외 IP를 접속 시도 즉시 차단할 계획이다.

금융기관에서 운영 중인 부정사용방지시스템(FDS)을 공공아이핀 시스템에 도입하는 한편, 모의해킹을 정기적으로 실시하는 등 취약점 점검도 강화해 나갈 예정이다. 더불어 시스템 전면 재구축, 공공아이핀 제도개선, 안전한 아이핀 이용환경 조성 등의 대책을 추진할 예정이다.

시큐어코딩·FDS 적용한 시스템 재구축
이 사고가 공공아이핀 발급 시스템의 설계상 오류로 인한 것인 만큼 시스템의 전면 재구축이 필요하다는 것이 행자부의 입장이다. 행자부는 보안전문업체를 통해 공공아이핀 업무처리절차, 시스템 구조·성능, 관리·운영상 문제점 등을 종합 검토할 예정이다. 그 후 시큐어 코딩을 적용하고, FDS를 도입해 상반기 중 시스템을 재구축할 예정이다.

더불어 공공아이핀 제도 개선의 일환으로, 본인확인수단인 아이핀이 과도하게 사용되고 있다는 지적을 수용해 꼭 필요한 데에만 아이핀이 사용될 수 있도록 관련제도를 바꿀 예정이다.

공공기관 웹사이트는 원칙적으로 회원가입 없이 이용이 가능하도록 개선하며, 연령확인 등 본인확인이 꼭 필요한 서비스에만 필요 최소한의 범위 내에서 공공아이핀이 사용되도록 관련지침을 개정할 계획이다.

행정자치부는 금번 사고에 대한 책임과 제2의 보안사고 예방을 위해 공공아이핀 관리·운영 주체를 전문보안기관으로 이관하는 방안도 검토 중에 있다고 밝혔다.

안전한 아이핀 이용 캠페인 전개
이와 함께 행정자치부는 방송통신위원회와 협의하여 안전한 아이핀 이용환경 조성을 위해 민간아이핀 3사와 함께 ‘아이핀 부정발급·도용 근절 캠페인’을 벌여 나갈 예정이다.

공공아이핀은 5월 1일부터 일제 정비기간을 설정하여 모든 사용자가 본인확인 후 재사용토록 함으로써 그동안 도용되었거나 타인 명의로 부정발급된 공공아이핀을 일제히 정비해 나갈 방침이다.

공공아이핀 유효기간을 1년으로 제한하는 한편,‘3개월에 한 번씩 비밀번호 변경하기’ 캠페인도 실시할 계획이다.

경찰청, KISA, 민간아이핀 3사 등 관계기관과 정기적인 보안이슈 공유, 좀비 서버·IP 파악·제거, 위기상황시 피해확산 방지를 위한 위기대응체계 구축 등 협력체계도 강화해 나갈 계획이다.

행자부는 이번 사고의 원인이 정부 내 보안전문가가 부족하기 때문이라는 지적과 관련하여, 정보보안 인프라 확충방안을 검토할 예정이라고 밝혔다. 정보보호 전문인력은 순환보직에서 제외하되, 주기적으로 업무성과 등을 평가해 일정기간 소요시 우선 승진시키는 등 관련 인사제도 개편을 검토할 계획이다. 또한 주요 정보시스템의 보안 전문인력 확충에 병역특례제도를 활용하는 방안을 병무청과 협의해 나갈 예정이다.

행정자치부 내 주요시스템에 대한 보안 운영실태와 최신 해킹기술 대비체계 점검 등을 위해 ‘주요시스템 보안점검위원회(위원장 행자부차관)’ 설치도 검토하고 있다고 밝혔다.

행정자치부는 그동안 특별한 장애가 발생하지 않은 주요 전자정부 시스템들에 대해서도 지난 10일부터 전면 진단을 실시하고 있으며, 24시간 특별관제 활동도 유지해 오고 있다. 이어 사회 전반에 걸쳐 개인정보 유출사고가 지속되고 있어 경찰청, 방송통신위원회, 금융위원회 등 유관기관 합동으로 개인정보 유출사고 재발방지대책도 마련 중에 있다고 밝혔다.

“민간아이핀도 위험하기는 마찬가지”
공공아이핀 해킹사고를 수습하기 위해 행자부가 빠르게 사고조사를 진행하고 대책을 마련해 발표하고 있지만, 사고 수습 과정을 바라보는 전문가와 시민단체의 시각은 싸늘하다.

주민등록번호를 기반으로 발급되는 아이핀 제도는 근본적으로 보안에 취약하며, 전 국민에게 단일한 본인식별번호 체제를 부여하는 것은 본인확인 수단을 다양화하고 있는 현재 트렌드와 역행하는 것이라는 지적이다.

경실련과 진보넷은 행자부 대책이 발표되자 성명을 발표하고 “공공아이핀 유출사태는 근본적으로 주민등록번호제도 때문에 발생한 일임이 명백하다. 이미 공공재가 된 ‘주민등록번호제도’로 시민들의 생명, 신체, 재산에 치유할 수 없는 피해가 반복되는 상황에서도 이를 온라인상 대체번호로 유지하려고 한 것이 아이핀”이라고 지적했다.

이들은 “공공아이핀 유출사태의 근본적인 해결방법은 주민등록번호제도의 폐지를 지향해야 하는 것이 당연하고, 이것이 당장에 어렵다면 적어도 주민등록번호의 변경 등 제도 개선과 공공아이핀의 폐지와 연계돼야 한다”고 주장했다.

“아이핀·주민제도 폐지해야”
이어 행자부가 ‘아이핀 폐지 등 모든 가능성을 염두에 두고 대책을 마련’하겠다고 밝혔던 사실을 언급하며 “주민등록번호제도 및 관련 대체수단의 근본적인 해결방법은 없었으며, 공공아이핀의 폐지 역시 남겨둔 숙제가 됐다”고 비판했다.

또한 “이번 종합대책에서 공공아이핀과 다를 것 없는 민간아이핀에 대한 대책 역시 포함돼 있지 않고 있으며, 민간에서의 다양한 본인확인제도를 전혀 문제삼지 않고, 공공아이핀의 사용처만 축소하는 것만으로는 또 다시 이번과 같은 대형 참사 사건의 재발을 막을 수 없다”고 밝혔다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.