1억건이 넘는 개인정보가 유출되고 국민들의 주민번호가 사실상 '공개정보'가 되어버린 상황에 결국 우려하던 사고가 터졌다.
지난 주말 지역정보개발원에서 관리하고 있는 공공아이핀시스템에서 75만건의 아이핀이 부정발급된 것이다. 부정발급이 가능한 기초 정보는 결국 주민번호였다. 주민번호 대체수단인 공공아이핀을 발급받기 위해서는 실명과 주민번호 등 개인정보를 입력하고 공인인증서나 휴대폰 문자인증, ARS 등의 '본인확인' 과정을 거쳐야 발급이 완료된다. 해커는 공공아이핀 시스템의 본인인증 과정에서 취약점을 발견, 본인임을 확인하지 않아도 아이핀을 발급받을 수 있도록 인증 데이터를 위변조 한 후 대량으로 공공아이핀을 발급 받았다. 부정한 방법으로 확보한 주민번호를 아이핀발급에 활용한 것이다.
행정자치부는 사고 발생 즉시, 부정발급에 이용된 프로그램 취약점을 수정해 추가 부정발급을 차단하고 부정발급된 아이핀 전부를 긴급 삭제조치 했다고 밝혔다. 아울러 유사 사고가 재발하지 않도록 사고발생 즉시 공공아이핀센터에 비상대응팀을 구성, 24시간 집중 모니터링체계를 운영하고 있다고 덧붙였다. 그런데 어딘지 사고의 심각성을 인식하는 긴장감이 매우 결여된 모습이다.
해커는 부정발급 받은 아이핀 중 12만건을 3개 게임사이트의 신규 회원가입, 기존 이용자 계정 수정, 변경 등에 악용했다. 당장 눈에 보이는 금전적 피해는 아니지만, 부정발급 받은 아이핀을 이용해 금융서비스를 넘나들 생각을 하면 아찔하다.
경찰청 수사가 진행되고 있는 가운데, 현재까지 파악된 사항으로는 이번 부정발급에 2000여개의 국내IP가 동원됐으며 중국어 버전의 악성 소프트웨어가 사용된 것으로 파악됐다. 행자부는 프로그램 소스분석 및 모의해킹 등을 통해 아이핀 발급 및 인증체계 보안 취약점을 긴급 점검하고 한국인터넷진흥원을 통해 아이핀시스템 전면 재구축하는 방안 등을 검토할 예정이다.
우리는 이번 사고를 유출된 주민번호의 연속선에 놓여 있다고 본다. 아이핀이 주민번호를 대체하는 수단이라는 점에서, 개인 식별번호의 또 다른 유출로 해석한다. 우리 국민의 주민번호는 해외 포털에서 쉽게 검색할 수 있는 사실상의 '공개정보'가 된지 오래다. '단군이래 최대 수출품'이 주민번호라는 자조섞인 농담이 나올 정도다.
유출되면 그 피해가 지속될수 밖에 없는 주민번호의 정보 특성상, 이를 그대로 두고선 문제가 해결되지 않는다. 결국 주민번호 제도개편이 답이다. 작년 5월 국가인권위원회가 주민등록제도의 근본적인 변화를 촉구하는 권고를 내리고, 국회는 번호 변경을 위한 방안을 내라고 행정부에 요구했다. 이에 답해 행정부는 지난해 9월 공청회를 개최하며 주민번호 변경안을 검토하기 시작하다가 올해 슬그머니 백지화했다. 행자부 올해 업무계획에 주민번호 개정 과제가 빠진 것이다.
하루에도 몇번씩 보이스피싱, 파밍, 메신저 피싱의 위협을 받고, 각종 해킹사고는 끝이 없다. 이 모든 범죄의 출발점이 한번 찍히면 바뀌지 않는, 번호 자체가 개인이 되어버린 주민번호다. 해커에게 주민번호는 만능키다. 이번 아이핀 부정발급 사건도 유출된 주민번호와 결코 무관치 않다.
정부는 아이핀시스템 전면 재구축을 검토할게 아니라, 주민번호 제도개편을 다시 추진해야 한다. 내 주민번호가 누군가에 의해 범죄에 이용되거나, 나를 위협하는 부메랑이 되고 있다면 바꿀 수 있어야 마땅하다.
지난 주말 지역정보개발원에서 관리하고 있는 공공아이핀시스템에서 75만건의 아이핀이 부정발급된 것이다. 부정발급이 가능한 기초 정보는 결국 주민번호였다. 주민번호 대체수단인 공공아이핀을 발급받기 위해서는 실명과 주민번호 등 개인정보를 입력하고 공인인증서나 휴대폰 문자인증, ARS 등의 '본인확인' 과정을 거쳐야 발급이 완료된다. 해커는 공공아이핀 시스템의 본인인증 과정에서 취약점을 발견, 본인임을 확인하지 않아도 아이핀을 발급받을 수 있도록 인증 데이터를 위변조 한 후 대량으로 공공아이핀을 발급 받았다. 부정한 방법으로 확보한 주민번호를 아이핀발급에 활용한 것이다.
행정자치부는 사고 발생 즉시, 부정발급에 이용된 프로그램 취약점을 수정해 추가 부정발급을 차단하고 부정발급된 아이핀 전부를 긴급 삭제조치 했다고 밝혔다. 아울러 유사 사고가 재발하지 않도록 사고발생 즉시 공공아이핀센터에 비상대응팀을 구성, 24시간 집중 모니터링체계를 운영하고 있다고 덧붙였다. 그런데 어딘지 사고의 심각성을 인식하는 긴장감이 매우 결여된 모습이다.
해커는 부정발급 받은 아이핀 중 12만건을 3개 게임사이트의 신규 회원가입, 기존 이용자 계정 수정, 변경 등에 악용했다. 당장 눈에 보이는 금전적 피해는 아니지만, 부정발급 받은 아이핀을 이용해 금융서비스를 넘나들 생각을 하면 아찔하다.
경찰청 수사가 진행되고 있는 가운데, 현재까지 파악된 사항으로는 이번 부정발급에 2000여개의 국내IP가 동원됐으며 중국어 버전의 악성 소프트웨어가 사용된 것으로 파악됐다. 행자부는 프로그램 소스분석 및 모의해킹 등을 통해 아이핀 발급 및 인증체계 보안 취약점을 긴급 점검하고 한국인터넷진흥원을 통해 아이핀시스템 전면 재구축하는 방안 등을 검토할 예정이다.
우리는 이번 사고를 유출된 주민번호의 연속선에 놓여 있다고 본다. 아이핀이 주민번호를 대체하는 수단이라는 점에서, 개인 식별번호의 또 다른 유출로 해석한다. 우리 국민의 주민번호는 해외 포털에서 쉽게 검색할 수 있는 사실상의 '공개정보'가 된지 오래다. '단군이래 최대 수출품'이 주민번호라는 자조섞인 농담이 나올 정도다.
유출되면 그 피해가 지속될수 밖에 없는 주민번호의 정보 특성상, 이를 그대로 두고선 문제가 해결되지 않는다. 결국 주민번호 제도개편이 답이다. 작년 5월 국가인권위원회가 주민등록제도의 근본적인 변화를 촉구하는 권고를 내리고, 국회는 번호 변경을 위한 방안을 내라고 행정부에 요구했다. 이에 답해 행정부는 지난해 9월 공청회를 개최하며 주민번호 변경안을 검토하기 시작하다가 올해 슬그머니 백지화했다. 행자부 올해 업무계획에 주민번호 개정 과제가 빠진 것이다.
하루에도 몇번씩 보이스피싱, 파밍, 메신저 피싱의 위협을 받고, 각종 해킹사고는 끝이 없다. 이 모든 범죄의 출발점이 한번 찍히면 바뀌지 않는, 번호 자체가 개인이 되어버린 주민번호다. 해커에게 주민번호는 만능키다. 이번 아이핀 부정발급 사건도 유출된 주민번호와 결코 무관치 않다.
정부는 아이핀시스템 전면 재구축을 검토할게 아니라, 주민번호 제도개편을 다시 추진해야 한다. 내 주민번호가 누군가에 의해 범죄에 이용되거나, 나를 위협하는 부메랑이 되고 있다면 바꿀 수 있어야 마땅하다.
[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]
실시간 주요뉴스
기사 추천
- 추천해요 0
- 좋아요 0
- 감동이에요 0
- 화나요 0
- 슬퍼요 0