[헤럴드경제] 공공아이핀 시스템이 해킹 공격을 받아 75만 건의 공공아이핀이 부정 발급된 것으로 드러나면서 정부가 운영하는 공공아이핀의 허술한 보안 수준이 여실히 드러났다.

5일 행정자치부에 따르면 이번 해킹 공격의 주체는 ’파라미터 위변조‘라는 해킹수법을 썼다.

아이핀 가입은 ’개인정보 입력‘, ’본인인증‘, ’발급‘의 순서대로 진행되는데 이번 공격의 주체는 본인인증이 정상적으로 이뤄진 것으로 시스템이 오인할 수 있는 데이터(파라미터값)를 발생시켜 본인인증 절차를 회피할 수 있었던 것으로 파악됐다.

개인정보 입력 단계까지 우회했는지, 아니면 이미 다른 경로로 유출된 개인정보를 입수해 이용했는지는 확인되지 않았다.

다만 공공아이핀을 관리하는 한국지역정보개발원은 후자 쪽에 무게를 싣고 있는것으로 보인다.

공공아이핀 시스템의 프로그램이 파라미터 위변조 수법에 무기력하게 무너진 것과 달리 민간 아이핀은 이를 막아냈다.

이번 공격 사실을 인지한 후 정부가 관련 부처와 함께 민간 아이핀 시스템의 프로그램을 점검한 결과 파라미터 위변조를 인지, 발급이 진행되지 않았다고 행자부는설명했다.

반면 공공아이핀 시스템은 파라미터 위변조에 대한 초보적인 대책도 갖춰지지 않았다.

지역정보개발원의 한 관계자는 “공공아이핀이 2007년 개발된 후 (그 상태로 시간이 흘러) 취약점을 발견하지 못한 면이 있다”고 말했다.

매년 두 차례씩 실시하는 취약점 점검에서도 이런 결함이 파악되지 않았다.

공공아이핀 소관 부처인 행자부의 한 관계자는 “이번 공격의 빌미가 된 프로그램 취약점은 통상적인 보안취약점 점검에서는 잡아내기 어려운 부분이었다”면서 “공격의 주체가 공공아이핀 프로그램을 정밀하게 연구한 것으로 보인다”고 말했다.

onlinenews@heraldcorp.com