preLoad Image preLoad Image
검색 바로가기
주메뉴 바로가기
주요 기사 바로가기
다른 기사, 광고영역 바로가기
중앙일보 사이트맵 바로가기

아이핀도 뚫렸다 … 75만 개 부정발급

인터넷상에서 주민등록번호 대신 쓰이는 공공 아이핀(I-PIN)이 해킹에 의해 무더기로 부정 발급됐다.

공공 아이핀이란 행정자치부 산하 공공아이핀센터(www.g-pin.go.kr)가 개인에게 발급해 주는 공인 번호다. 국내의 인터넷 사이트 가입, 온라인 쇼핑 등에 필요하다.

행자부는 공공아이핀센터에 해커가 침입해 지난달 28일부터 이달 2일까지 아이핀 75만2130개를 부정으로 발급받았다고 5일 밝혔다. 해커는 이 아이핀들을 게임 사이트 등에서 사용한 것으로 드러났다. 아이핀 발급 및 인증 체계가 해킹에 의해 뚫린 건 처음 있는 일이다. 지금까지 발급된 아이핀은 약 1952만 개이며, 그중 공공 아이핀은 426만 개다.

 이번 해킹에는 2000여 개의 국내 인터넷 주소(IP)가 사용됐다. 이를 추적한 결과 중국어로 된 소프트웨어를 쓴 서버가 연결된 것으로 나타났다. 행자부 관계자는 “중국의 해커가 IP를 변조해 공공아이핀센터에 침입한 것으로 추정된다”고 말했다.

 해커는 아이핀을 발급받기 위해 실명과 주민등록번호 정보를 입력했다. 이미 대량으로 유출된 개인정보를 활용한 것이다. 그 다음 ‘패러미터(매개변수) 변조’ 프로그램을 이용해 공공 아이핀 시스템의 취약점을 공격했다. 개인이 공공 아이핀을 받으려면 공인인증서를 가지고 본인인증을 거쳐야한다. 해커는 이 과정이 정상적으로 이뤄진 것으로 시스템이 오인하도록 패러미터 값을 변조해 본인인증 절차를 우회했다.

 이렇게 발급받은 아이핀 중 약 12만 개는 B·P·X사 등 3개의 게임업체 사이트에서 사용된 것으로 확인됐다. 신규 회원 등록, 기존 이용자의 계정(ID) 찾기, 이용자 계정 변경·수정 등에 쓰였다. 행자부는 게임 포인트 모으기나 게임 아이템 빼돌리기가 목적이었을 것으로 보고 있다.

 행자부와 별도로 아이핀을 발급해 주는 민간 업체들은 패러미터 변조를 방지하는 시스템을 갖추고 있어 해킹당하지 않았다. 행자부는 부정 발급된 아이핀 모두에 대해 사용을 중지시키고 경찰청에 수사를 의뢰했다. 정부는 해마다 두 차례씩 공공기관 인터넷 사이트의 보안 점검을 실시하고 있다. 보안전문업체 라온시큐어의 조주봉 팀장은 “패러미터 변조는 2012년의 KT 전산시스템 해킹 등 그동안 흔하게 사용된 방법이다. 이처럼 이미 널리 알려져 있는 초보적인 수법에 당했다는 것은 시스템 점검을 제대로 하지 않았다는 것을 의미한다”고 지적했다. 행자부는 공공 아이핀 발급 시스템을 전면 재구축하는 방안을 검토하고 있다.

이상언 기자


◆공공 아이핀(I-PIN)=아이핀(Internet Personal Identification Number)은 인터넷상 주민 번호를 대체한 개인 식별번호(13자)다. 행정자치부와 3개 민간기관이 발급하며 행자부가 발급하는 걸 공공 아이핀이라고 부른다.
AD
온라인 구독신청 지면 구독신청

PHOTO & VIDEO

shpping&life