정부가 주민등록번호를 대체하기 위해 도입한 인터넷 개인식별 번호인 공공아이핀이 해킹 공격에 뚫렸다. 최근 잇단 개인정보 유출사고 후 정부가 주민번호 대체 수단이라고 대대적으로 홍보한 공공아이핀마저 해킹당한 것이다.

행정자치부는 지난달 28일부터 이달 2일 오전까지 공공아이핀 시스템이 해킹 공격을 받아 75만건의 아이핀이 부정 발급되는 사고가 발생했다고 5일 발표했다. 지금까지 주민번호 도용에 따른 아이핀 부정 발급 사례는 간혹 있었지만 민간과 공공아이핀을 통틀어 시스템 자체가 해킹당한 것은 이번이 처음이다.

아이핀은 인터넷상 개인정보 노출을 차단하기 위한 주민번호 대체 수단으로 2006년 도입됐다. 행자부에 따르면 지난 1월 말 기준으로 민간 3사(서울신용평가정보 나이스신용평가정보 코리아크레딧뷰로)가 발급한 아이핀은 1526만건, 공공아이핀은 426만건이다.

행정자치부는 지난 주말 급격히 아이핀 발급량이 증가하자 경위를 조사한 결과 부정 발급 사실을 확인했다. 지금까지 부정 발급된 공공아이핀 75만건 중 12만건이 X사, P사, B사 등 유명 게임사이트 3곳에서 신규회원 가입이나 이용자 계정 수정·변경 시도(8000건)에 사용된 것으로 파악됐다.

해커가 시스템에 침범해 공공아이핀을 대량 발급받은 것으로 드러났다. 장한 행자부 개인정보보호정책과장은 “공공아이핀에 가입하려면 공인인증서로 본인 인증을 거쳐야 한다”며 “본인 인증이 정상적으로 이뤄진 것처럼 시스템이 오인하도록 데이터(파라미터값)를 변조해 본인 인증을 건너뛰었다”고 설명했다.

행자부는 부정 발급된 공공아이핀 전부를 긴급 삭제했고, 게임사이트 운영업체에 통보해 신규회원은 강제탈퇴 조치하고 이용자 계정을 수정한 회원 아이디는 사용을 잠정 중지시켰다. 게임아이템 탈취 등 실질적인 피해 사항은 지금까지 보고되지 않았다. 행자부는 프로그램을 수정해 해킹 공격을 차단하고, 즉시 경찰청에 수사를 요청했다. 이번 공격에 2000여개 국내 아이피(IP)가 동원됐고, 중국어 버전 소프트웨어가 사용된 것으로 드러났다. 이번 해킹이 대담하고 짧은 시간에 대규모로 이뤄졌다는 점을 감안할 때 전문 해커의 조직적인 공격일 가능성이 높다는 게 전문가들의 지적이다.

■ 아이핀(i-PIN)

인터넷 개인 식별 번호로, 인터넷상에서 주민등록번호 대신 신분을 확인하는 데 쓰인다. 주민번호를 대체하기 위해 2006년 도입됐다. 해당 인터넷 사이트에 주민등록번호가 저장되지 않기 때문에 개인정보 유출 위험을 줄일 수 있다. 서울신용평가정보, 나이스신용평가정보, 코리아크레딧뷰로 등에서 발급받는 민간 아이핀과 행정자치부가 제공하는 공공 아이핀으로 나뉜다.

강경민 기자 kkm1026@hankyung.com