게임사이트 등서… 전문가 “유사 사고 재발 가능성 높아”
공공아이핀 발급 시스템의 취약점을 악용해 75만2130건의 공공아이핀이 부정 발급되는 사고가 발생했다. 부정발급에는 실존 주민등록번호(이하 주민번호)가 악용된 것으로 파악되고 있으며 부정발급 아이핀 중 12만건은 게임사이트 등에서 2차 악용됐다. 전문가들은 "유사 사고가 재발할 가능성이 매우 높다"면서 "아이핀 발급을 전면 중단하고 시스템에 대한 전면 재검토를 당장 이행해야 한다"고 목소리를 높이고 있다.
5일 행정자치부는 지역정보개발원에서 운영하는 공공아이핀 시스템이 해커에게 뚫려 75만건의 공공아이핀이 부정 발급되는 사고가 발생했다고 밝혔다. 공공아이핀을 발급받으려면 실명과 주민번호 등 개인정보를 입력하고 공인인증서나 휴대폰 문자인증, ARS 등의 '본인확인' 과정을 거쳐야 발급이 완료된다. 해커는 공공아이핀 시스템의 본인인증 과정에서 취약점을 발견, 본인임을 확인하지 않아도 아이핀을 발급받을 수 있도록 인증 데이터를 위변조 한 후 대량으로 공공아이핀을 발급 받은 것으로 파악됐다.
장한 행자부 개인정보보호정책과장은 "사고 발생 즉시 부정발급에 이용된 프로그램 취약점을 수정해 추가 부정발급을 차단하고 부정발급된 아이핀 전부를 긴급 삭제조치 했다"면서 "유사 사고가 재발하지 않도록 공공아이핀센터에 비상대응팀을 구성, 24시간 집중 모니터링 하고 있다"고 덧붙였다.
하지만 전문가들은 '본인 인증을 우회하는 취약점'이 아이핀 발급 시스템의 구조적 문제에서 기인하기 때문에 이번 취약점만 복구한다고 해결될 일이 아니라고 강조한다. 익명을 요구한 보안 전문가는 "아이핀 발급 시스템의 본인인증을 우회할 수 있는 '인증값 변조'가 가능하다는 것은 앞으로 어떤 해커든 마음만 먹으면 또 다른 방식으로 시스템에 침투해 본인인증을 우회하는 악성 공격을 할 수 있다는 의미"라면서 "소프트웨어, 시스템의 취약점은 하나를 막는다고 해결되는 것이 아니라 끊임없이 예상하지 못한 부분에서 취약점이 튀어나오기 때문에 인증값 변조가 가능한 아이핀 발급시스템 자체를 전면 개조해야 한다"고 말했다.
현재 행자부는 "취약점을 긴급 복구했기 때문에 더 이상의 부정발급 사고는 없을 것"이라며 공공아이핀을 정상 발급하고 있는 중이다. 추가 부정발급 가능성이나 2차 피해에 대해서도 "피해는 없으며 취약점을 복구했기 때문에 부정발급은 더 이상 없을 것"이라고 사태를 축소하는데 급급한 모습을 보였다.
그러나 디지털타임스 취재 결과 공공아이핀을 발급하는 행자부와 민간 아이핀을 발급하는 회사 등은 인증값 변조의 심각성을 인지, 내부적으로는 시스템 전면 재구축에 대한 논의를 진행하고 있는 것으로 알려졌다.
국민의 2차 피해 역시 안심할 수 없는 부분이다. 이번 75만건 부정 발급에는 이미 유출된 것으로 보이는 실존 주민번호가 악용됐는데, 이 때문에 게임사이트 등에 이미 가입돼 있는 실제 이용자의 계정에 비정상적으로 접속, 아이템을 탈취하거나 이용자 정보를 임의로 변조하려는 시도까지 발견됐다.
장 과장은 "게임사이트 신규가입 등에 부정발급 아이핀을 악용한 것은 12만건으로, 이중 8000건 가량이 이미 가입돼 있는 이용자였던 것으로 확인됐다"면서 "게임사에 부정발급 아이핀 정보를 신속히 제공해 해당 아이핀으로 가입한 아이디를 삭제하고 기존 계정 침투 흔적에 대해서는 임시 사용 중지 조치를 취해 2차 피해를 막았다"고 설명했다.김승주 고려대 정보보호대학원 교수는 "아이핀 자체가 이미 다 유출된 주민번호로 발급을 받는 구조"라면서 "이미 털린 정보를 가지고 새로운 인증수단을 만들어봤자 그 인증수단은 믿을만한 수단이 될 수 없다"고 잘라 말했다.
강은성기자 esther@
공공아이핀 발급 시스템의 취약점을 악용해 75만2130건의 공공아이핀이 부정 발급되는 사고가 발생했다. 부정발급에는 실존 주민등록번호(이하 주민번호)가 악용된 것으로 파악되고 있으며 부정발급 아이핀 중 12만건은 게임사이트 등에서 2차 악용됐다. 전문가들은 "유사 사고가 재발할 가능성이 매우 높다"면서 "아이핀 발급을 전면 중단하고 시스템에 대한 전면 재검토를 당장 이행해야 한다"고 목소리를 높이고 있다.
5일 행정자치부는 지역정보개발원에서 운영하는 공공아이핀 시스템이 해커에게 뚫려 75만건의 공공아이핀이 부정 발급되는 사고가 발생했다고 밝혔다. 공공아이핀을 발급받으려면 실명과 주민번호 등 개인정보를 입력하고 공인인증서나 휴대폰 문자인증, ARS 등의 '본인확인' 과정을 거쳐야 발급이 완료된다. 해커는 공공아이핀 시스템의 본인인증 과정에서 취약점을 발견, 본인임을 확인하지 않아도 아이핀을 발급받을 수 있도록 인증 데이터를 위변조 한 후 대량으로 공공아이핀을 발급 받은 것으로 파악됐다.
장한 행자부 개인정보보호정책과장은 "사고 발생 즉시 부정발급에 이용된 프로그램 취약점을 수정해 추가 부정발급을 차단하고 부정발급된 아이핀 전부를 긴급 삭제조치 했다"면서 "유사 사고가 재발하지 않도록 공공아이핀센터에 비상대응팀을 구성, 24시간 집중 모니터링 하고 있다"고 덧붙였다.
하지만 전문가들은 '본인 인증을 우회하는 취약점'이 아이핀 발급 시스템의 구조적 문제에서 기인하기 때문에 이번 취약점만 복구한다고 해결될 일이 아니라고 강조한다. 익명을 요구한 보안 전문가는 "아이핀 발급 시스템의 본인인증을 우회할 수 있는 '인증값 변조'가 가능하다는 것은 앞으로 어떤 해커든 마음만 먹으면 또 다른 방식으로 시스템에 침투해 본인인증을 우회하는 악성 공격을 할 수 있다는 의미"라면서 "소프트웨어, 시스템의 취약점은 하나를 막는다고 해결되는 것이 아니라 끊임없이 예상하지 못한 부분에서 취약점이 튀어나오기 때문에 인증값 변조가 가능한 아이핀 발급시스템 자체를 전면 개조해야 한다"고 말했다.
현재 행자부는 "취약점을 긴급 복구했기 때문에 더 이상의 부정발급 사고는 없을 것"이라며 공공아이핀을 정상 발급하고 있는 중이다. 추가 부정발급 가능성이나 2차 피해에 대해서도 "피해는 없으며 취약점을 복구했기 때문에 부정발급은 더 이상 없을 것"이라고 사태를 축소하는데 급급한 모습을 보였다.
그러나 디지털타임스 취재 결과 공공아이핀을 발급하는 행자부와 민간 아이핀을 발급하는 회사 등은 인증값 변조의 심각성을 인지, 내부적으로는 시스템 전면 재구축에 대한 논의를 진행하고 있는 것으로 알려졌다.
국민의 2차 피해 역시 안심할 수 없는 부분이다. 이번 75만건 부정 발급에는 이미 유출된 것으로 보이는 실존 주민번호가 악용됐는데, 이 때문에 게임사이트 등에 이미 가입돼 있는 실제 이용자의 계정에 비정상적으로 접속, 아이템을 탈취하거나 이용자 정보를 임의로 변조하려는 시도까지 발견됐다.
장 과장은 "게임사이트 신규가입 등에 부정발급 아이핀을 악용한 것은 12만건으로, 이중 8000건 가량이 이미 가입돼 있는 이용자였던 것으로 확인됐다"면서 "게임사에 부정발급 아이핀 정보를 신속히 제공해 해당 아이핀으로 가입한 아이디를 삭제하고 기존 계정 침투 흔적에 대해서는 임시 사용 중지 조치를 취해 2차 피해를 막았다"고 설명했다.김승주 고려대 정보보호대학원 교수는 "아이핀 자체가 이미 다 유출된 주민번호로 발급을 받는 구조"라면서 "이미 털린 정보를 가지고 새로운 인증수단을 만들어봤자 그 인증수단은 믿을만한 수단이 될 수 없다"고 잘라 말했다.
강은성기자 esther@
[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]
실시간 주요뉴스
기사 추천
- 추천해요 0
- 좋아요 0
- 감동이에요 0
- 화나요 0
- 슬퍼요 0