'소 잃고 외양간 고치는' 공공아이핀 보안 대책

행정자치부, 25일 종합 대책 발표...해킹 방지 기능·부정사용방지시스템 도입 등..."민간엔 이미 사용 중"

[아시아경제 김봉수 기자]정부가 최근 해킹에 의해 75만 여건의 부정 발급 사실이 확인된 공공아이핀(개인식별번호)에 대해 해킹 방지기능ㆍ부정사용방지시스템 도입 등 보안 강화 대책을 마련했다. 하지만 이미 민간아이핀에서 사용하고 있는 것들이어서 '소 잃고 외양간 고치기'라는 지적이 일고 있다.

행정자치부는 25일 오전 이같은 내용의 공공아이핀 부정발급 재발방지 종합 대책을 발표했다.

행자부는 우선 지난번 부정 발급 사고의 원인에 대해 해커가 개인정보 입력시 1,2단계를 건너 뛸 수 있도록 된 공공아이핀시스템의 설계상 오류를 악용해 부정발급 받은 것으로 확인됐다고 밝혔다. 또 발급 건수 급증 등 이상 징후 감시 체계 미구축, 프로그램 업그레이드 및 보안 투자 소홀, 위탁 운영 기관의 관리 역량 및 전문성 부족 등도 원인이라고 꼽았다.

이에 따라 행자부는 보안 강화를 위해 민간 아이핀에서 사용 중인 해킹 방지 기능(해쉬함수 검증)과 2차 패스워드 등 추가 인증 수단을 도입한다. 부정발급이 의심되는 국내외 IP가 접속을 시도할 경우 즉시 차단할 계획이다.

현재 금융기관에서 운영 중인 부정사용방지시스템(FDS)도 도입해 단말기 정보와 접속 정보, 서비스 정보 등을 수집ㆍ분석해 도용 등으로 의심되는 경우 재인증ㆍ서비스정지 등 보호 조치를 취한다. 화이트 해커를 활용해 실제 공경 상황에 버금가는 모의 해킹을 토앻 취약점도 점검해 갈 예정이다.

올 상반기 내에 보안전문업체를 통해 업무처리절차, 시스템 구조ㆍ성능, 관리ㆍ운영상 문제를 종합 재검토한 뒤 시큐어 코딩 적용, 노후 장비 전면 교체 등의 방안도 마련한다.

제도 개선 대책도 시행할 예정이다. 현재 공공아이핀이 과도하게 사용되고 있는 만큼 앞으로는 꼭 필요한 데에만 사용하도록 제도를 바꾼다. 예컨대 공공기관 웹사이트는 원칙적으로 회원 가입없이 이용하도록 개선하고, 연령 확인 등 본인 확인이 꼭 필요한 서비스에만 제한적으로 공공아이핀을 사용하도록 하는 식이다. 사고 재발을 막기 위해 전문보안기관에게 공공아이핀 관리ㆍ운영 주체를 맡기는 방안도 검토 중이다.

아울러 아이핀 부정발급ㆍ도용 근절 캠페인, 현 사용자 대상 본인 확인 여부 일제 확인, 공공아이핀의 유효기간 1년 제한, 3개월에 한 번씩 비밀번호 변경하기 캠페인도 벌인다. 관계 기관 협력 체계, 정보 보안 전문 인력 확충도 계획하고 있다.

행자부는 지난 2일 부정발급 사실이 확인된 직후 프로그램상 오류 수정ㆍ24시간 비상관제 체계 운영ㆍ시스템 취약점 확인 및 제거ㆍ이상 징후 발생시 자동 통보 기능 적용 등의 응급 조치를 취한 상태다.

정재근 행자부 차관은 "이번에 수립된 재발방지 대책을 제대로 수행하면 다시금 이와 같은 유사한 사고가 발생하지 않을 것"이라고 말했다.

한편 전문가들은 이번 행자부의 대책이 졸속·한시적일 우려가 높다는 지적을 내놨다. 김승주 고려대 정보보호대원 교수는 "게임회사들은 이미 몇년전부터 공공아이핀 사용을 차단하는 등 이상이 있다는 사실을 알고 있었고, 시스템 취약은 해커들에게 널리 알려졌던 사실"이라며 "추가로 아이핀이 부정 발급돼 사용됐는지 여부에 대한 확인 작업이 반드시 필요하다"고 지적했다.

김 교수는 이와함께 유지 보수를 위한 꾸준한 예산 투자를 강조했다. 그는 "이번 대책이 유효하더라도 당장 문제가 생긴 부분을 해결하기 위한 수준에 그치지만, 해킹 기술은 나날이 발전하므로 꾸준한 대비와 투자가 필요하다"며 "이번 사건의 원인으로 노후 장비가 원인으로 지적되고 교체하겠다고 나선 것은 그만큼 그동안 유지보수가 제대로 이뤄지지 않았다는 것"이라고 지적했다.

김 교수는 특히 "매년 전체 예산의 15% 이상을 시스템 유지 보수 예산으로 편성해 꾸준히 관리하고 보안 기술을 강화시키는 것이 근본적인 해결책"이라고 강조했다.

김봉수 기자 bskim@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>