• 3 Stories

공공아이핀 부정발급

한국 인터넷 사용자들의 주민등록번호가 '공공재'가 되었다는 우스갯소리와 함께 어느 순간 아이핀과 마이핀이라는 단어를 자주 보게 되었습니다. 인터넷 사이트 가입 시 주민등록번호 말고 아이핀을 사용하면 개인정보를 보호할 수 있다나? 공공아이핀 시스템 해킹으로 75만 개의 공공아이핀이 부정 발급된 사건이 터지고 보니, 아이핀도 개인정보를 100% 보호할 수는 없는 것으로 드러났지만요.

by g4ll4is, flickr(CC BY)

공공아이핀, 5월에 본인 확인 후 매년 갱신하소서

행정자치부는 이달 초 발생한 공공아이핀 시스템 해킹 및 75만 부정발급에 대해 25일 '공공아이핀 부정발급 사고원인과 재발방지 종합대책'을 발표했습니다. 공공아이핀은 5월부터 전면 재발급되며 1년마다 갱신해야 합니다. 공공기관 웹사이트는 원칙적으로 회원 가입 없이도 이용할 수 있도록 개선할 방침입니다.

행자부는 ​공공아이핀 75만 건 부정발급에 대해 합동점검단을 꾸리고 사고 원인을 규명했습니다. 노병규 한국인터넷진흥원(KISA) 개인정보보호 본부장은 ▲정상발급 절차를 우회할 수 있도록 한 설계상 오류 ▲발급 건수 급증 등 이상징후에 대한 관제체계 없음 ▲2008년 시스템 개발 이후 프로그램 업그레이드 및 보안 투자 미흡 ▲위탁운영기관의 관리역량과 전문성 부족이 사고 원인이라고 밝혔습니다.

​행자부는 재발방지 대책도 내놨는데요. 먼저 공공아이핀 보안이 민간아이핀에 비해 취약하다는 지적을 받아들여 민간아이핀에서 사용하는 해킹방지 기능 및 2차 패스워드 등 추가 인증 수단을 도입하고, 부정발급이 의심되는 국내외 IP가 접속을 시도할 시 즉시 차단할 계획이라고 밝혔습니다.

시큐어 코딩 적용, 부정사용방지시스템 도입 방안, 노후 장비 전면 교체 등 (블라블라) 상반기 안에 아이핀 시스템도 전면 재구축합니다.

​개인정보를 보호하기 위해 만들어진 아이핀이 과도하게 사용되고 있다는 지적에는 "꼭 필요한 데에만 아이핀이 사용될 수 있도록" 관련 제도를 바꿀 예정입니다. 공공기관 웹사이트는 원칙적으로 회원가입 없이 이용할 수 있도록 개선하며, 연령확인 등 본인 확인이 꼭 필요한 서비스에만 최소 범위 내에서 공공아이핀이 사용되도록 관련 지침을 개정할 계획입니다.

​오는 5월 1일부턴 모든 아이핀에 대해 본인 확인을 거친 후 재사용토록해, 그동안 도용되었거나 타인 명의로 부정 발급된 공공아이핀을 일제 정비할 방침입니다. 또한, 공공아이핀의 유효기간이 1년으로 제한돼 매년 갱신해야 합니다.

공공 아이핀, 민간 아이핀, 그리고 마이핀?? @.@

3월 5일 행정자치부는 공공아이핀 시스템이 해킹되었으며 공공아이핀 75만 건이 부정 발급되었다고 발표했습니다. 아이핀 사용자들의 탈퇴 러시가 이어지고 있는데요. 뉴스퀘어와 함께 아이핀에 대해 먼저 알아봅시다.

먼저 아이핀(i-PIN)이란 '인터넷 개인 식별 번호(Internet Personal Identification Number)의 줄임말로, 인터넷상에서 주민등록번호를 대체할 신분 확인 수단으로 쓰이고 있습니다.

각 인터넷 사이트는 회원가입할 때 주민등록번호를 요구하고 개별적으로 (암호화된) 정보를 저장하는데, 이 경우 개별 사이트의 보안이 취약하면 가입자들의 주민번호가 해킹의 위험에 노출되곤 했습니다.

따라서 2006년 10월 옛 정보통신부는 인터넷에서 주민등록번호를 대체할 '아이핀' 서비스를 제공했습니다. 행정자치부와 본인 확인 기관(신용정보평가회사 등)에 최초 가입 후 주민번호를 등록하고 ▲휴대전화 인증 ▲공인인증서 ▲신용카드 인증 ▲오프라인 방문을 통해 아이핀을 발급받을 수 있습니다. 웹사이트 가입 때 아이핀 ID와 비밀번호만 입력하면 다음 본인 인증 절차는 기관 및 웹사이트가 알아서 하는 것입니다. 이 경우, 개별 사이트에는 본인의 주민등록번호가 저장되지 않습니다.

아이핀은 공공아이핀과 민간아이핀으로 나뉩니다. 공공아이핀은 행정자치부에서, 민간아이핀은 나이스평가정보·서울신용평가정보·코리아크레딧뷰로에서 발급받을 수 있습니다. 기능상 차이는 없지만, 민간아이핀 운영주체의 보안 수준이 더 높다는 이야기는 있습니다. 이번에 발생한 공공아이핀 부정발급 사태도 민간아이핀 시스템에서는 차단할 수 있는 수법으로 이루어졌다고 합니다.

마이핀은 '아이핀의 오프라인 버전', '제2의 주민번호'라고 생각하시면 됩니다. 안전행정부는 2014년 8월부터 '주민등록번호 수집 법정주의'를 시행하며 수집 근거가 없는 사업장은 주민번호를 수집할 수 없게 했습니다. 따라서 주민번호를 대체하는 오프라인 본인 인증 수단으로 13자리의 '마이핀'을 발급받을 수 있게 했는데요. 마이핀은 주민등록번호처럼 생년월일이나 성별, 출생등록지 등 개인정보를 시사하는 내용이 전혀 없고, 유출이나 도용 등이 의심된다면 1년에 5회까지 폐기하거나 변경할 수 있습니다.

[5W1H] 공공아이핀 75만 건 부정 발급

​지난 5일, 행정자치부는 지역정보개발원이 관리하는 공공아이핀 시스템이 해킹 공격을 받아 75만 건의 아이핀이 부정 발급되었다고 밝혔습니다. 해커들은 누구이며, 무엇을 바라고, 그리고 무엇보다 '어떻게' 공공아이핀 시스템을 해킹한 걸까요.​

​WHO▷ 범인은 밝혀지지 않았으나, 아이핀 해킹을 오랫동안 준비한 해커 조직일 가능성이 있음. 해킹에 중국어 버전 소프트웨어가 사용돼, 중국 해커집단일 가능성도 배제하지 못함.

​WHEN▷ 2월 28일 새벽 ~ 3월 2일 오전

​WHERE▷ 행자부 산하 한국지역정보개발원이 관리하는 공공아이핀 시스템

HOW▷ '파라미터 위변조'라는 방식을 통해, 아이핀 발급 과정 4단계에 해당하는 '본인 인증' 과정을 뛰어넘게 함

​WHAT▷ 75만 건의 공공아이핀을 부정 발급받음

​WHY▷ 부정 발급된 공공아이핀 중 12만 건이 '블리자드', '엔씨소프트', 'XL게임즈' 등 게임사이트에 신규 가입에 사용된 것으로 보아, 온라인 게임의 아이템과 캐시, 포인트 등을 타겟으로 삼은 것으로 보임.

​행자부는 부정 발급된 공공 아이핀을 긴급 삭제하고, 게임 업체에 통보해 해당 아이핀으로 가입한 신규 회원을 강제 탈퇴 조치했습니다. 아이템 탈취 등 실질적인 피해는 보고되지 않았습니다.

공공아이핀 시스템 해킹 사태를 계기로, '주민번호제도 개편'이 개인정보 보호의 근본적인 대책이라는 주장이 고개를 들고 있습니다.

공공아이핀, 5월에 본인 확인 후 매년 갱신하소서

행정자치부는 이달 초 발생한 공공아이핀 시스템 해킹 및 75만 부정발급에 대해 25일 '공공아이핀 부정발급 사고원인과 재발방지 종합대책'을 발표했습니다. 공공아이핀은 5월부터 전면 재발급되며 1년마다 갱신해야 합니다. 공공기관 웹사이트는 원칙적으로 회원 가입 없이도 이용할 수 있도록 개선할 방침입니다.

행자부는 ​공공아이핀 75만 건 부정발급에 대해 합동점검단을 꾸리고 사고 원인을 규명했습니다. 노병규 한국인터넷진흥원(KISA) 개인정보보호 본부장은 ▲정상발급 절차를 우회할 수 있도록 한 설계상 오류 ▲발급 건수 급증 등 이상징후에 대한 관제체계 없음 ▲2008년 시스템 개발 이후 프로그램 업그레이드 및 보안 투자 미흡 ▲위탁운영기관의 관리역량과 전문성 부족이 사고 원인이라고 밝혔습니다.

​행자부는 재발방지 대책도 내놨는데요. 먼저 공공아이핀 보안이 민간아이핀에 비해 취약하다는 지적을 받아들여 민간아이핀에서 사용하는 해킹방지 기능 및 2차 패스워드 등 추가 인증 수단을 도입하고, 부정발급이 의심되는 국내외 IP가 접속을 시도할 시 즉시 차단할 계획이라고 밝혔습니다.

시큐어 코딩 적용, 부정사용방지시스템 도입 방안, 노후 장비 전면 교체 등 (블라블라) 상반기 안에 아이핀 시스템도 전면 재구축합니다.

​개인정보를 보호하기 위해 만들어진 아이핀이 과도하게 사용되고 있다는 지적에는 "꼭 필요한 데에만 아이핀이 사용될 수 있도록" 관련 제도를 바꿀 예정입니다. 공공기관 웹사이트는 원칙적으로 회원가입 없이 이용할 수 있도록 개선하며, 연령확인 등 본인 확인이 꼭 필요한 서비스에만 최소 범위 내에서 공공아이핀이 사용되도록 관련 지침을 개정할 계획입니다.

​오는 5월 1일부턴 모든 아이핀에 대해 본인 확인을 거친 후 재사용토록해, 그동안 도용되었거나 타인 명의로 부정 발급된 공공아이핀을 일제 정비할 방침입니다. 또한, 공공아이핀의 유효기간이 1년으로 제한돼 매년 갱신해야 합니다.