공공아이핀 해킹 75만건 부정 발급
공공아이핀 해킹으로 75만건이 부정 발급되어 공공아이핀을 탈퇴하는 회원이 발생하는 등 시끄럽다. 이 번 사건은 지역정보개발원에서 관리하고 있는 공공 아이핀 시스템이 지난 2월 28일부터 3월 2일 오전까지 해킹당해 75만개의 아이핀이 부정 발급된 사건이다.
이렇게 부정 발급된 공공아이핀 중 12만 개는 엔씨소프트, 엑스엘게임즈, 블리자드에서 신규회원 가입이나 기존 사용자 계정 수정 및 변경에 이용된 것으로 파악되고 있다고 한다.
문제는 해킹을 당한 것이 아니라 해킹을 발견한 내용이 황당하기 그지없다. ‘아이핀 발급량이 급증한 사실을 확인하고 원인을 파악하던 중 해킹당했다는 것을 인지’했다고 한다. 아이핀 발급량이 급증하지 않고 조금씩 증가 했다면 해킹을 알아차리지 못했을 수도 있다는 말도 된다.
해킹당한 공공 아이핀은 행정자치부와 한국지역정보개발원에서 관리하고, 민간아이핀은 방송통신위원회와 한국인터넷진흥원이 담당한다. 다행히 아직 게임 아이템 탈취등의 피해사례는 없다고 행자부는 설명했다. 하지만 이 번 사건으로 아이핀의 신뢰도가 무너졌다.
공공 아이핀(Internet Personal Identification Number, I-PIN)은 13자리의 번호로, 인터넷상 개인 식별번호를 의미하며, 홈페이지에서 회원가입, 글쓰기 시 주민등록번호를 사용하지 않고도 본인임을 확인할 수 있는 개인정보보호 서비스다.
아이핀 제도는 웹상에서 주민번호 등 개인정보가 유출되는 것을 차단하기 위해 2006년부터 도입된 제도다. 주민번호는 성별과 출생지 등 개인정보를 담고 있지만, 아이핀은 이런 정보를 담고 있지 않아 외부로 유출되더라도 개인정보 유출과 같은 피해가 없다는 장점이 있었다. 유출된 아이핀은 바로 폐기하고 새로운 아이핀을 만들면 되기 때문이다.
아래는 행자부 공공아이핀 부정발급 사고에 대한 보도자료 내용이다.
공공아이핀 부정발급 사고 발생, 피해는 거의 없어!
- 부정발급 아이핀 삭제, 2차피해 최소대책 시행 등 -
행정자치부는 지난 주말(2.28. 00:30 ~ 3.2. 09:00) 지역정보개발원에서 관리하고 있는 공공아이핀시스템에서 75만건의 아이핀이 부정발급되는 사고가 발생했다고 발표했다. 행자부(지역정보개발원)는 사고 발생 즉시, 부정발급에 이용된 프로그램 취약점을 수정하여 추가 부정발급을 차단하고 부정발급된 아이핀 전부를 긴급 삭제조치 했으며, 유사 사고가 재발하지 않도록 사고발생 즉시 공공아이핀센터에 비상대응팀을 구성하여 24시간 집중 모니터링체계를 운영하고 있다.
□ 이번 사고는 공공아이핀 정상발급 절차를 우회(프로그램 취약점 이용)하여 아이핀을 대량으로 부정발급한 것으로 확인되었다.
○ 또한, 부정발급 받은 아이핀 중 12만건이 3개 게임사이트의 신규 회원가입, 기존 이용자 계정 수정․변경 등에 이용한 것으로 파악되었다.
□ 행자부는 이번 사고로 인한 2차 피해를 최소화하기 위하여 민간아이핀기관과 관련 게임사에 사용내역을 전달, 긴급 사용자 보호조치를 취하도록 하였다.
○ 관련 게임사에서는 부정발급된 아이핀으로 신규회원 가입을 한 경우에는 회원 탈퇴 조치를 하였으며, 사용자 정보를 수정‧변경한 경우에는 임시 사용중지 조치를 하였다.
□ 한편, 행자부는 금번 사건을 경찰청에 긴급히 수사요청하여 현재 수사중에 있다고 밝혔다.
○ 지금까지 파악된 사항은 이번 부정발급에 2천여개의 국내IP가 동원되었으며, 중국어 버전의 SW가 사용된 것으로 파악되었다.
□ 또한 사고 다음날 3.3일과 오늘, 아이핀 관계기관 대책회의를 긴급 소집하여 금번 사고 대책에 대해 논의하고 기관별 추진상황도 점검하였다.
○ 대책회의 결과, 프로그램 소스분석 및 모의해킹 등을 통해 아이핀 발급‧인증체계 보안 취약점을 긴급점검, 개선조치 하고,
○ 전문기관(한국지역정보개발원, KLID)을 통해 공공아이핀시스템 전면 재구축 방안 등을 검토할 예정이다.
□ 민간아이핀의 경우에는 이번 사고와 같은 부정발급은 없는 것으로 확인되었으며, 방통위는 민간아이핀의 안전성 강화를 위해 2차 인증을 의무화하는 방안을 추진할 계획인 것으로 알려졌다.
