정부가 주민번호 대체수단으로 권장한 공공 아이핀이 해킹에 속수무책으로 당했다. 이에 따라 한국인터넷진흥원(KISA)은 아이핀 시스템을 전면 재구축하는 방안을 검토중이다.
행정자치부는 지난달 28일부터 2일 오전까지 지역정보개바원에서 관리하고 있는 공공아이핀 시스템이 해킹 공격을 받아 75만 건이 부정 발급됐다고 5일 밝혔다.현재까지 부정 발급된 공공아이핀 75만 건 중 17만 건이 3개 게임사이트에서 신규회원가입이나 이용자 계정 수정·변경에 사용된 것으로 파악됐다.
장한 행자부 개인정보보호정책과장은 “공격이 대담하고 대규모인데다 단기간에 75만 건을 발급 받았다”며 “(부정 발급된 아이핀으로)게임사이트 기존 계정 회원정보를 찾으려 했었고 회원 계정도 상당수 신규로 만들어냈기 때문에 혼자서 하기에는 힘든 작업”이라고 밝혔다.
현재까지 경찰 수사 결과 이번 부정발급에 2,000여 개의 국내IP가 동원됐고, 중국어 버전의 SW(소프트웨어)가 사용됐다.
현재까지 부정 발급된 공공아이핀 75만건 중 17만건이 엔씨소프트, 엑스엘게임즈, 블리자드 엔터테인먼트 등 총 3개 게임사이트에서 신규회원가입이나 이용자 계정 수정·변경에 사용된 것으로 파악됐다.
이번 공격은 주민번호를 도용해 정식으로 발급받은 아이핀을 거래한 것이 아니라 아예 시스템에 침범해 공공아이핀을 대거 만들어내 사용한 것이다.
행자부는 부정 발급된 공공아이핀 전부를 긴급 삭제했으며, 게임사이트 운영업체에 통보해 신규회원은 강제탈퇴 조치하고, 이용자 계정을 수정한 회원 아이디는 사용을 잠정 중지시켰다. 현재까지 게임아이템 탈취 등 실질적인 피해사항은 보고되지 않았다.
행자부는 프로그램을 수정해 해킹 공격을 차단하고, 경찰청에 수사를 요청했다.
한편, 연이은 개인정보 유출사고로 정부가 주민번호 대체수단으로 권고한 공공아이핀이 해커 공격에 취약점을 드러내자 정부는 당혹감을 감추지 못하고 있다.
아직까지 행자부는 이번 해킹 공격으로 추가로 부정 발급된 아이핀이 있는지 주민번호가 함께 노출됐는지의 사실 여부를 파악하지 못하고 있다.