[아이티투데이 성상훈 기자] 공공아이핀 75만개가 부정발급된 사건은 그동안 수차례 제기됐던 아이핀 제도의 문제점을 다시한번 입증하는 계기가 됐다. 급기야 정부에서 운영하는 웹서비스에 대한 신뢰도 역시 만만치 않은 타격을 받고 있다.

6일 행정자치부에 따르면 이번에 부정 발급된 공공아이핀 수는 그동안 정상 발급된 공공 아이핀 426만개 중 약 17%에 달한다.

사건 진행을 종합해보면 이번 부정 발급은 지난달 28일 자정부터 지난 2일 오전 9시 사이에 발생했다. 3일 사이에 75만2,130개의 공공아이핀이 한꺼번에 발급된 것으로 파악됐다.

■공공아이핀 해킹 과정은?

행자부측 설명에 따르면 공공아이핀 발급 1단계 절차인 주민번호, 이름 기입 절차를 통과하고, 2단계인 본인 확인 과정은 우회해서 통과했다. 본인확인 과정은 보통 공인인증서, 휴대폰 인증 등을 통해 이뤄진다.

이 과정에서 공격자는 '파라미터 위변조' 방식을 통해 침투한 것으로 분석되고 있다. 다만 지금까지 알려진 파라미터 위변조 공격과는 다르다는 쪽에 무게가 실리고 있다.

행정자치부 개인정보보호정책과 이연주 사무관은 "흔히 알려진 파라미터 위변조인 것인지 아닌지는 좀더 조사를 해봐야 한다. 단순한 방법을 통해 공격을 한 것은 아닌 것으로 보고 있다"라고 설명했다.

흔히 파라미터 위변조 공격 방식은 정상적인 코드에 일부 변수를 바꿔서 공격자가 원하는 것을 가져가는 개념이다. 똑같은 DB쿼리를 파라미터 값만 바꿔서 들어오는 구조이기 때문에 같은 형태로 반복적으로 접속되게 될 경우 이는 차단되게 된다. 이를 보통 웹해킹 방지 기술로 일컫는다.

공공아이핀 시스템의 경우도 이를 차단하는 웹해킹방지 기술이 일단은 적용이 되어 있다. 일반적인 파라미터 위변조 공격이 아니라는 쪽에 무게가 실리는 것도 이같은 이유에서다.

공격 방식에 대한 기본적인 개요 외에는 어디에서 어떻게 어떤 방식으로 침투가 됐고, 해킹 공격에 대한 전조는 어떻게 되는지에 대해서는 아직 파악조차 못하고 있다.

행정자치부는 국내 보안 기업들과 지식정보개발원, 정부통합전산센터 등 기관 들과 함께 아이핀 발급 절차와 시스템 재구축 여부에 대한 재검토에 들어간 상황이다.

■사용자 대부분 유출 여부 몰라

파라미터 위변조 공격에 대한 관심과 함께 정부 기관에서 제공하는 웹서비스의 신뢰도 역시 이번 사건을 계기로 추락했다. 국내 보안 전문가들은 '시스템'에 대한 해킹인지 단순히 발급 '웹사이트'에 대한 해킹인지에 따라 사안의 중요성이 달라진다고 입을 모으고 있다.

익명을 요구한 국내 보안기업 A사 한 관계자는 "아이핀 무단발급이 파라미터 위변조를 통해 이뤄졌다면 권한이 없는 자가 권한이 있는 것처럼 파라미터 변경이 가능한 모듈을 심어놨을 가능성도 있다"며 "만약 망분리 여부와 관계없이 무단발급이 이뤄진 것이라면 매우 크리티컬한 사건이 될 수도 있는 것"이라고 지적했다.

또 다른 보안기업 B사 관계자는 "'발급'은 파라미터 값 한 두개로 할 수 있는 것이 아니다"라며 "아이핀 발급과 공인인증서 발급은 구조상으로는 같다. 발급과정에 대한 페이지 전환을 75만건이 발급되고 나서야 알았다는 것은 분명 문제가 있다"고 분석했다.

즉, 해킹 공격은 반드시 공격에 대한 '전조'가 있기 마련인데, 이번 사건의 경우 이에 대한 부분이 전혀 없었다. 실제로 행자부는 갑자기 아이핀 발급 건수가 평소대비 급격히 늘어나는 것을 수상히 여겨 이를 확인하고 나서야 무단으로 발급됐다는 사실을 알았다.

공공아이핀 시스템이 구축되어 있는 대전 정부통합전산센터도 도마위에 올랐다. 국내 최고 수준의 보안 시스템이 구축되어 있는 곳으로 알려져 있지만 이번 사건을 계기로 신뢰도에 금이 가고 있다. 공공아이핀 시스템이 뚫렸다는 것 자체가 이미 공공기관 웹서비스가 모두 취약할 수 있다는 의미도 될 수 있기 때문이다.

김승주 고려대 정보보호대학원 교수는 이번 사건에 대해 "사용자들은 실제 본인의 아이핀 계정이 유출됐는지 여부를 모르는 사람이 대부분"이라며 "일단 사고가 터져야 이를 인지하게 된다. 따라서 바꿀 수 있으니 안전하는 말 자체가 성립이 되지 않는다"고 지적했다.

김 교수는 이어 "정부는 초기부터 대체수단으로 잡고 보급하려고 하지 말고 주민번호 또는 이와 유사한 것을 사용하지 않는 인터넷 생태계를 만들기 위해 노력해야 한다"며 "대체수단을 내놓고 이걸 보급했으니 우리 할일은 끝났다는 식의 접근 방식은 문제가 있다"고 덧붙였다.

행자부는 사건 이후 '피해는 거의 없다' 고 공식적인 입장을 내놓고 있다. 그러나 무단 발급된 아이핀 12만건이 이미 블리자드, 엔씨소프트 등 유명 게임사들의 온라인 게임 계정 수정을 위해 쓰여졌다. 이를 통해 계정이 해킹돼 아이템이 도난당하는 등 관련 피해를 호소하는 신고도 줄을 잇고 있다.

한 게임사 관계자는 "행자부로부터 전달받은 내용은 없지만 이번 사건은 가볍지 않은 사안으로 보고 있다"며 "해킹으로 인한 정보 유출은 사실 한두번이 아니지 않나. 그때마다 피해가 없다고 발표하는 것도 우스운 광경"이라고 전했다.

또 다른 게임사 관계자도 "계정 블록에 대한 억울함을 호소하는 민원이 밀려들고 있는 지경인데 피해가 없다는 것은 무슨 소린지 모르겠다"며 "유저들의 불만은 아이핀 자체에 쏠려 있다. 아이핀 유출을 통한 계정 해킹은 이미 수년 전부터 끊이지 않고 일어난 방식"이라고 전했다.