56시간30분 이상유무 감지 못한 '공공 아이핀'

[김국배 기자] 지난달 28일 '아이핀 해킹' 사고는 허술한 모니터링 시스템에 따라 피해를 키웠다는 주장이 나오는 가운데 한층 강화된 개인정보 보호조치도 뒤따라야 한다는 목소리가 커지고 있다.

지난달 28일 오전 12시30분부터 지난 2일 오전 9시에 걸쳐 지역정보개발원이 관리하는 공공 아이핀시스템에서 75만 건의 아이핀이 부정 발급되는 사고가 발생, 정부가 주민등록번호 대체수단으로 강조하던 아이핀 활용 및 관리실태가 허점투성이라는 것이 확인됐다.

전문가들은 확인된 공공 아이핀 시스템 해킹 공격의 경우 취약점 관리를 잘 하지 못했고, 아이핀 발급현황에 대한 모니터링(monitoring) 체계가 제대로 수립돼 있지 않아 위험을 키웠다고 입을 모으고 있다.

◆"정상적 발급이라면 위치정보가 달랐을 것"…기본적 취약점 관리도 부실

특히 56시간 30분이라는 긴 시간 동안 75만 개에 달하는 아이핀이 부정 발급됐지만 이상여부를 파악하지 못한 건 모니터링 체계가 취약하다는 방증이라는 게 전문가들의 지적이다.

업계 관계자는 "75만 개의 아이핀 발급이 정상적으로 이뤄졌다면 위치정보가 모두 달랐을 것"이라며 "하나의 IP에서 수천 개의 아이핀을 발급받았는데 몰랐다는 건 모니터링 체계가 미흡하다는 의미"라고 말했다. 실제로 행정자치부에 따르면 이번 부정발급에 쓰인 IP는 2천여 개 정도다.

이 관계자는 "본인인증시스템 같은 중요한 인프라는 일반 시스템보다 훨씬 더 높은 수준의 모니터링과 관리가 필요하다"며 "그랬다면 이렇게 오랫동안 위험에 노출돼 위험의 규모를 키우진 않았을 것"이라고 말했다.

장항배 중앙대 산업보안학과 교수도 "아이핀을 개발해 보급만 해놓고 운영·관리의 측면은 간과한 셈"이라고 했다.

게다가 공공 아이핀 부정 발급을 불러온 취약점 역시 필수적으로 점검했어야 할 기본적인 취약점의 하나라는 말이 나온다.

해커는 '파라미터 위변조'라는 방식을 통해 프로그램 인증 취약점을 악용, 아이핀 발급단계 중 본인인증 절차를 우회해 바로 아이핀을 발급받았다. 본인인증 단계를 건너뛴 셈이다.

라온시큐어 보안기술연구팀 이종호 연구원은 "(이번 취약점은) 10대 웹 애플리케이션 취약점(OWASP TOP 10)에 속해 있는 접근제한 실패와 같은 분류"라며 "필수 체크리스트 방식의 취약점 점검이라 해도 포함됐을 매우 간단한 취약점"이라고 설명했다. 10대 웹 취약점이란 발생빈도가 높고 보안에 크게 영향을 줄 수 있는 취약점을 말한다.

◆보안 기본 원칙과도 어긋나

뿐만 아니라 공공 아이핀 부정 발급 사고에 대해 전문가들은 아이핀의 구조상 도용 위험 등에 노출돼 있어 언제든 터질 수 있는 사고로 인식하고 있다.

업계 관계자는 "아이핀은 발급할 때는 본인인증 과정을 거치지만 사용 단계에서는 아이디와 비밀번호를 통해 인증한다"며 "아이핀 이용자의 정보만 수집할 수 있다면 누구나 쉽게 쓸 수 있다는 뜻"이라고 했다. "이런 문제를 보완하기 위해 2년 전부터 일회용 비밀번호(OTP) 등 2차 인증 이야기가 거론됐으나 제대로 실현되지 못하는 실정"이라고 덧붙였다.

아이핀 발급에 주민번호, 공인인증서 등 개인정보가 쓰인다는 점도 치명적 오류로 지목된다. 이미 '개인정보=공공재'라는 말이 나올 정도로 개인정보 유출이 심각한 상황이기 때문이다. 태생적 한계에 갇힌 셈이다.

보안의 기본원칙과 어긋난다는 시각도 있다. 보안의 기본은 보호해야 할 대상을 줄이는 것이라는 설명이다.

김승주 고려대 정보보호대학원 교수는 "대체수단을 만들더라도 우리나라 전체 시스템에 대한 전수조사를 통해 주민번호를 써야만 하는 영역을 가려내 한정했어야 한다"며 "정책을 내놓기 전에 그런 현황조사가 있었는가"라고 반문했다.

진보네트워크는 지난 6일 논평을 통해 "정보사회에서 해킹사고는 불가피한 측면이 있다. 오히려 그렇기 때문에 중요한 원칙 중 하나가 '최소 수집의 원칙'"이라며 "아이핀은 애초에 도입되지 말았어야 할 제도"라고 비판하기도 했다.

◆더 넓은 보호조치 마련해야

이 때문에 제2, 3의 사고를 예방하기 위해선 단순히 취약점을 제거하는데 초점을 맞추는 게 문제가 아니라 아이핀 발급현황을 포함한 서비스에 대한 감시를 강화하고 사용 단계의 보안성을 높이는 등 더 넓은 보호조치가 필요하다는 말이 나온다.

업계 관계자는 "정책 활성화 측면에서 사용자 편의성을 충분히 고려해야겠지만 한 번 노출되면 금전적 손해와 사회적 혼란이 발생할 수 있는 서비스의 경우 이용 단계의 보안 수준도 충분히 고려돼야 할 것"이라고 말했다.

김승주 교수는 "아이핀은 과도기에 임시적으로 사용할 순 있겠으나 장기적으로는 주민번호 또는 대체수단을 사용하지 않아도 되는 생태계를 구축해야 할 것"이라고 조언했다.

김국배 기자의 다른 기사 보기

• 아이핀 외부 공격에 뚫렸다 "주민번호 대체한다더니"

• '또 해킹' 주민번호 대체수단 '아이핀' 75만 건 유출