EZ EZViwe

정부 "보안정책 새 틀 짜겠다"…'공공아이핀' 존속 결정

행자부, 전문가 동원해 상반기 중 개선대책 마련키로

유한태 기자  2015.03.10 08:57:43

기사프린트

해킹으로 75만 건이 부정발급된 공공아이핀(I-PIN·인터넷 개인식별번호)에 대해 폐지 여론이 높아지고 있지만 정부는 이를 그대로 사용하기로 결정했다.

번호가 바뀌지 않는 개인식별번호인 주민등록번호와 달리 재발급으로 번호가 바뀌고 가입과 탈퇴가 자유롭다는 이유에서다. 대신 해킹 재발방지를 위한 추가적인 보안대책을 마련하기로 했다. 하지만 여전히 뾰족한 수를 내놓지 못하고 있어 해킹 재발 우려를 불식시키기에는 부족한 게 현실이다.

10일 행정자치부는 '공공아이핀 부정발급 재발방지 종합대책'을 세우기 위해 관련기관과 학계 전문가 등으로 테스크포스(T/F)를 구성해 종합대책을 마련하고 있다고 밝혔다.

행자부는 이번 주 안에 외부 보안전문기관에 맡겨 사고원인을 분석한 뒤 이를 토대로 상반기 중으로 공공아이핀 보안강화대책을 조속히 수립하겠다고 말했다.

김석진 행자부 공공서비스정책관은 "외부 보안전문업체를 통해 공공아이핀 시스템 구조 및 성능진단, 관리·운영상의 문제점과 개선사항을 검토한 뒤 상반기 중으로 시스템 고도화 방안을 마련하겠다"며 "이번 사고와 같은 부정발급이 발생하지 않도록 근본적인 재발방지 대책을 추진할 계획"이라고 설명했다.

그는 "해킹에 의한 시스템상의 문제를 막기 위해 24시간 상시 감시체계를 가동하고 있다. 여러 가지 형태의 해킹 시도가 있을 수 있어 전문그룹을 통해 보완해 나가겠다"며 "3개월 가량 전면 재검토를 거쳐 시스템을 전면 고도화하고 근본적인 보완대책 등을 만들겠다는 것이다. 예산과 인력 등 가용 가능한 것을 모두 동원해 현재의 시스템을 업그레이드해 나갈 것"이라고 말했다.

이번 해킹과 관련해서는 "사고 원인이 시스템의 취약점을 이용해 정상 공공아이핀 발급단계를 우회한 파라미터 위변조 방식이 사용된 것으로 파악됐다"고 말했다.

그러면서 "공공아이핀 시스템 자체를 전면 재검토하는 부분은 여러 가지 대안 중 하나일 수 있지만 현재는 현 시스템을 유지하면서 고도화하는 것에 집중할 것"이라며 "그동안은 아이핀에 대해 관심이 적었던 것이 사실이다. 그래서 예산을 투입해 시스템 고도화하는 작업도 늦춰진 것이다. 이제는 기술적으로 해킹을 막는 획기적인 방안을 마련할 것"이라고 덧붙였다.

공공아이핀 대량 탈퇴에 대해서는 "(해킹으로 인한) 심리적 불안감으로 탈퇴 건수가 많아진 것은 사실이다. 평소 30여건 수준인데 지난 5~6일에 하루 500명씩 1000명 이상이 탈퇴했다"면서 "반대로 가입도 늘었는데, 3월이 시기상 개학 등과 맞물려 가입이 느는 시기여서 그렇다. 현재 하루에 9300건 가량으로 신규 가입이 증가했다. 주민번호는 불변이지만 아이핀은 탈퇴가 쉬워 재가입하는 경우도 있어서 신규가입이 늘었다"고 설명했다.

현재 아이핀은 공공과 민간으로 나뉘는데, 주무부처는 방송통신위원회다. 관리는 공공의 경우 행자부 한국지역정보개발원(KLID)이 발급과 관리를 담당하고 있다. 민간은 나이스신용평가정보·코리아크레딧뷰로(KCB)·서울신용평가정보 등 3곳이 발급하고 한국인터넷진흥원(KISA)이 이를 관리한다. 아이핀은 발급기관과 상관없이 모두 공유해 사용가능한데 총괄은 인터넷진흥원이 담당하고 있다.

하지만 정부는 아이핀 업무를 민간에 모두 넘기는 것에 반대하고 있다. 공공아이핀은 저소득 가구나 청소년, 노약자 등을 위한 공공재 성격의 보편적 서비스인 만큼 민간에 맡길 수 없기 때문이다.

민간 아이핀은 인증을 위해 핸드폰이나 공인인증서가 필요한데, 이 경우 비용을 부담해야 한다. 때문에 주민번호만으로 발급이 가능한 공공아이핀이 필요하다는 것이다.

행자부는 이번 개선 대책에 민간 3사의 아이핀도 정부와 연동되도록 할 계획이다. 공공과 민간 아이핀을 마음대로 연동해 사용할 수 있게 하겠다는 것이다. 행자부 관계자는 "최대한 새로 시스템을 개발하는 정도의 재설개 및 재구축사업을 하겠다는 것이다. 민간도 맞물려 있다보니 용어를 고도화라고 한 것이다"고 설명했다.

김 정책관은 "시스템 개혁을 위해 아직 답은 내놓지 않았지만 정부가 할 수 있는 것은 다 할 것이다. 어느 정도까지 필요한지 상반기에 분석을 마치고 방향이 제시되는 대로 전면적으로 개선할 것이다"며 "필요한 예산과 보안, 기술을 모두 투입 한다는 게 정부의 기본 방침이다"고 말했다.

앞서 지난 달 28일부터 2일까지 공공아이핀 발급시스템이 해킹당한 이후 행자부는 프로그램 수정을 통해 취약점을 보완조치하고 불법 발급된 공공아이핀도 모두 삭제조치 했다.

현재 행자부는 유사 사고가 재발하지 않도록 공공아이핀센터에 비상대응팀을 구성해 24시간 집중 모니터링체계를 운영하고 있다. 지역정보개발원이 모의 해킹, 소스코드 분석 등 취약점 점검을 하고 세 차례의 관계기관 회의를 열어 기관별 조치현황과 피해상황을 점검하고 있다.

김 정책관은 "지역정보개발원에서 관리하고 있는 공공 아이핀 시스템 부정발급과 관련해 국민 여러분들께 심려와 걱정을 끼쳐드린 점에 대해 진심으로 사과드린다"고 말했다.

한편 공공아이핀이 주민번호만 있으면 쉽게 인증된다는 점은 앞으로 해결해야할 문제다. 해커들 역시 이번에 이점을 노렸다. 실제로 민간아이핀은 이번 사고와 같은 부정발급은 없는 것으로 확인됐다.

주민번호를 대체하기 위한 수단으로 지난해 8월 적극 도입한 공공아이핀이 또 다시 해킹을 당하면서 정부가 보안정책의 새 틀을 짜야 한다는 목소리가 나오는 것도 이 때문이다.

아이핀이 이미 해킹당해 주민번호 대체 수단으로서 의미가 퇴색된 데다 정부가 해킹을 막기는커녕 제대로 대응하지도 못하고 있기 때문이다. 게다가 이번 해킹에 쓰인 '파라미터 위변조 방식'이 널리 알려진 것임에도 정부는 이를 뒤늦게 파악했다.

아이디와 비밀번호로 계정에 접속할 때 데이터 값이 단계별로 서버에 넘어가야 접속이 가능한데, 이 방식은 해당 데이터를 변조하거나 단계를 뛰어넘도록 위조된 값을 넣어 조작하는 기술이다.

전문가들은 이 방식이 고전적인 공격 방식이라 어렵지 않게 대책을 마련할 수 있었다고 지적한다. 때문에 이같은 현실을 감안해 국민들의 신뢰를 얻을 수 있는 보안대책 마련이 필요하다고 강조하고 있다.