초유의 대규모 아이핀 시스템 해킹 사건이 알려지면서 공공아이핀 탈퇴자가 급증하고 있는 것으로 나타났다.
8일 행정자치부에 따르면 공공아이핀 시스템 공격 사실이 공개된 지난 5일과 6일 오후 6시까지 탈퇴자는 1008명으로 집계됐다.
앞서 행자부는 지난달 28일부터 2일 오전까지 지역정보개발원에서 관리하고 있는 공공아이핀 시스템에서 75만건의 아이핀이 부정발급되는 사고가 발생했다고 지난 5일 밝힌바 있다.
평소 하루 탈퇴 인원이 수십명 수준으로 100명을 넘지 않는 것과 비교하면 해킹 사실이 알려진 5일 오후 탈퇴자 수는 5배 이상 늘었다.
다만 5일과 6일 오후 6시까지 발급 인원은 1만6936명으로 평소 하루 발급자인 7000명 선 대비 소폭 증가했다.
이는 각종 온라인서비스를 이용할 때 공인인증서나 아이핀 등을 활용한 본인인증이 필수여서 평상시 꾸준히 아이핀 발급 수요가 있기 때문인 것으로 보인다.
하지만 이번 공공아이피 시스템 해킹으로 민간 아이핀보다 부실한 보안 수준이 여실히 드러난 셈이어서 그에 따른 신뢰도 타격은 피할 수 없을 전망이다.
특히 공공아이핀센터는 이틀 동안이나 대량으로 부정 발급이 진행됐는데도 공격 징후를 전혀 알아차리지 못했고, 비교적 잘 알려진 공격수법에도 허무하게 무너졌다.
이번 아이핀 해킹 수법은 '파라미터 위변조'라는 수법으로, 방지하기는 어려운 것으로 알려지고 있다. '파라미터'는 일종의 매개 변수로, 함수와 함수 사이에 관계를 증명해 이어주는 역할을 한다.
파라미터는 모든 프로그램을 짤 때 필수적으로 들어가고, 우회 접속을 하려면 파라미터 변조가 필요하기 때문에 '파라미터 변조'는 해킹에서 많이 이용되는 수법이다.
현재까지 부정 발급된 공공아이핀 75만 건 중 17만 건이 3개 게임사이트에서 신규회원가입이나 이용자 계정 수정·변경에 사용된 것으로 파악됐다.
행자부에 따르면 이번 공격에 2000여 개 국내 아이피(IP)가 동원됐고, 중국어 버전 소프트웨어가 사용됐다. 부정 발급된 공공아이핀에는 모두 동일한 공인인증서와 패스워드가 쓰였다.
행자부는 아이핀 발급·인증체계 보안 취약점을 긴급점검, 개선조치 하고 한국지역정보개발원(KLID)을 통해 공공아이핀시스템을 전면 재구축하는 방안 등을 검토하고 있는 것으로 알려졌다.
민간 아이핀의 경우에는 이번 사고와 같은 부정발급 사항은 없으며, 동일한 공격을 차단할 수 있는 것으로도 확인됐다.
지난 1월 말 현재 공공아이핀 누적 발급 인원은 426만명이며, 민간 아이핀은 이보다 훨씬 많은 1600만명에게 발급됐다.
[신아일보] 최휘경 기자 sweet5533@hanmail.net
