최근 공공 아이핀(I-PIN) 75만건 유출 사건으로 따가운 비판을 받았던 행정자치부가 아이핀 폐지까지도 포함한 근본적인 대책 마련에 나서기로 해 주목된다. ‘시스템 결함’만 강조하며 아이핀 고도화에 초점을 맞췄던 것에서 벗어나 좀 더 다양한 비판에 귀를 열겠다는 뜻으로 보인다. 행자부에서는 일단 학계와 외부 전문가를 대상으로 한 자문단의 문호를 넓힌 뒤 상반기까지 개편안을 도출하는 것을 목표로 하고 있다. ●정종섭 장관 “아이핀 폐지 등 모든 대책 강구” 행자부 관계자는 13일 “정종섭 장관이 간부들과 회의를 하면서 ‘아이핀 폐지 등 모든 가능성을 염두에 두고 대책을 마련하라’고 지시했다”고 밝혔다. 행자부가 지난 2일 처음 아이핀 정보 유출을 인지한 지 열흘이 지나 아이핀 자체가 문제일 수 있다는 가능성을 염두에 두고 개인정보보호정책을 되돌아보게 된 셈이다. 과거 박정희 전 대통령이 주민등록번호 제도를 처음 시행하던 1968년 11월 “아담하게 잘 만들었다”며 자신의 주민등록번호 ‘110101-100001’이 찍힌 주민등록증을 보여줄 당시만 해도 상황이 지금처럼 될 거라고는 아무도 상상하지 못했다. 지금 주민등록번호와 주민등록번호를 기반으로 한 아이핀·마이핀(오프라인용 아이핀)은 이번 대량 유출 사건으로 행자부에 큰 부담이 돼 버렸다. 우리나라에서 주민등록번호는 사실상 만능열쇠나 다름없다. 주민등록번호만 알면 온갖 개인정보를 다 확인하는 것도 어려운 일이 아니다. 애초 개인식별번호로 출발한 주민등록번호를 공공 정보는 물론 금융 거래나 인터넷 사이트 회원 가입을 위한 암호처럼 사용하게 되면서 비롯된 문제다. 이로 인한 문제가 계속 발생하자 행자부가 내놓은 게 아이핀과 마이핀이다. 하지만 주민등록번호 문제를 해결하지 못한 상태에서는 모래성일 뿐이라는 점이 이번 대량 유출 사건에서 입증됐다. 결국 이는 아이핀 무용론을 자초하는 계기가 됐다. 국민 여론이 주민등록번호 변경에 따른 사회적 비용보다 유지로 인한 사회적 비용이 더 크다는 쪽으로 바뀌고 있지만 주무 부처인 행자부로선 수십년을 이어 온 정책을 한번에 바꾼다는 게 결코 쉽지 않다. 지금껏 해 온 정책이 잘못됐다는 걸 인정해야 하기 때문이다. 오랫동안 정보인권운동을 해 온 진보네트워크센터 오병일 활동가는 “인터넷 실명제에서 보듯 국가가 개개인을 통제하겠다는 발상에서 이 모든 문제가 비롯된다”고 꼬집는다. 그는 “개인정보 보호 권한을 개인정보보호위원회에 넘겨야 한다”며 대안을 제시했다. ●정책 잘못될수록 결국 국민들만 피해 정책연구자들은 어떤 정책이든 한번 시작하고 나면 여간해선 되돌리기 힘들다고 지적하고, 정책 리콜이 힘든 원인을 ‘경로의존성’이라는 개념으로 설명하기도 한다. 국가나 사회가 일단 어떤 경로를 택하게 되면 다른 경로로 전환하는 데 소요되는 비용이 시간이 지날수록 커지기 때문에 그 경로에서 이탈하기가 점점 더 어려워진다는 의미다. 대표적인 사례가 바로 19세기 자판기에서 출발해 컴퓨터나 스마트폰 자판기에서 주로 쓰이는 쿼티(QWERTY) 자판기다. 도로명주소사업 역시 마찬가지다. 정창수 나라살림연구소장은 “10여년 전 도로명주소사업 초창기에 행자부 책임자가 ‘이 사업이 얼마나 가겠느냐. 금방 흐지부지될 것’이라는 취지로 말했던 적이 있다”면서 “결국 잘못된 정책을 사전에 막거나 제때 바로잡지 못하면 그 피해는 고스란히 국민들에게 돌아간다”고 말했다. 강국진 기자 betulo@seoul.co.kr

“행정자치부에서 관리하는 공공 아이핀(I-PIN)이 안전한지 걱정이 됩니다. 확실히 조치해 주세요.”, “현장 전문가들이 대책을 마련하고 있습니다.” 정종섭 행정자치부 장관이 11일 경기 시흥시 신천동 주민센터에서 정보기술(IT), 육아, 여행, 생활 등 다양한 분야에서 활동하는 블로거 16명을 만났다. ‘파워블로거와 함께하는 생생 정책토크’라는 이름으로 열린 이 행사에서 정 장관은 블로거들한테서 행자부 주요 정책에 대한 의견을 들었다. 아이핀, 육아문제, 전자정부 등 불합리한 제도 탓에 겪은 불편이나 행자부에 바라는 점 등 다양한 주제가 도마에 올랐다. 정 장관은 “매일 창신(創新)을 실천하고 지식을 나누는 창조적인 파워블로거들이 생활 현장의 목소리를 전해 달라”고 말했다. 이어 “다양한 목소리는 시끄러운 게 아니다. 블로거들을 보면서 권력의 원천이 달라지고 있다는 걸 느낀다”고 밝혔다. 정책토크에 앞서 이날 참여자들은 ‘정부3.0 민관협치 우수사례’로 선정된 바 있는 은행동 모랫골 마을재생 현장을 방문해 계획 단계부터 주민들이 직접 참여해 노후한 주거환경 개선은 물론 지역 공동체 회복에 앞장서는 모습을 둘러봤다. 이번 생생 정책토크가 열린 시흥시 신천동은 대야동과 묶여 ‘대동’(大洞)을 시범 실시하는 지역이다. 대동은 시로부터 일정 권한을 넘겨받아 복지·안전 행정서비스를 수행하는 새로운 유형의 일선 행정기관으로, 올해 시범 도입됐다. 주민 입장에서는 시청까지 방문해야 하는 민원 업무가 줄어들어 더 편리해진다고 행자부는 설명했다. 강국진 기자 betulo@seoul.co.kr

김소라(41·여)씨에게 공공 아이핀(I-PIN)이 해킹으로 뚫렸다는 게 갖는 의미는 생각만큼 크지 않았다. “가입했는지 잘 기억이 안 나는데요.” 평범한 아이 엄마인 김씨는 예전엔 주민등록번호 대량유출 소식을 들을 때마다 불안했다고 했다. 하지만 개인정보 유출이 계속 이어지자 말 그대로 포기해 버렸다. “하루에도 몇번씩 스팸 문자에 광고 전화가 옵니다. 대통령 주민등록번호도 유출되는 나라에서 뭘 더 기대하겠어요.” 김씨는 “그래도 혹시나 하는 마음에” 아이핀을 탈퇴했다. ● 행자부 닷새 만에 “아이핀 폐지 미검토” 10일 행정자치부는 공공 아이핀이 해킹 피해를 당해 75만건이 부정발급된 것에 대해 공식 사과하면서 “근본적인 재발방지 대책을 추진하겠다”고 약속했다. 시민단체에서 꾸준히 제기해 온 아이핀 폐지는 검토하지 않고 있다고 밝혔다. 아이핀의 근본적인 문제점인 주민등록번호제도 개혁에 대해서도 언급하지 않았다. 행자부가 밝힌 “근본적인 대책 추진”에 정작 근본적인 고민은 없었다는 지적이 나온다. 행자부는 이날 “공공 아이핀 부정발급으로 국민에 심려와 걱정을 끼쳐드려 진심으로 사과드린다”고 밝혔다. 정부가 시스템 공격 사실을 발표한 지 닷새 만이다. 김석진 공공서비스정책관은 이와 함께 “공공 아이핀 시스템과 관리·운영 모두에 허점이 있었다”고 시인했다. 그는 “외부 보안전문기관에 의뢰해 사고원인을 분석한 결과를 바탕으로 보안강화 대책을 조속히 수립하겠다”면서 “외부 보안전문업체를 통해 시스템 고도화 방안을 마련할 계획”이라고 밝혔다. 행자부는 일단 시스템 전면 재구축보다는 현재 시스템을 고도화하는 쪽으로 방침을 정했다. 하지만 주민등록번호에 대한 대책이 없는 상태에서는 아이핀 시스템을 고도화하더라도 실효성이 떨어질 것이라는 비판이 나온다. 이번 부정발급 사례처럼 75만건이나 대규모로 발급받는 게 아니라 이미 유출된 주민등록번호를 활용해 몇천 건씩 발급하려 했다면 적발 자체가 불가능했을 것이라는 점은 행자부에서도 인정한다. 주민등록번호에 이어 아이핀까지도 명의도용 수단이 될 수도 있는 셈이다. ●인권위, 무작위 일련번호 등 대안 제시 이미 국가인권위원회에서도 무작위 일련번호나 목적별 고유번호 등을 대안으로 제시한 바 있다. 오병일 진보네트워크 활동가는 “주민등록번호 변경을 원하는 사람과 신생아만이라도 일단 무작위 번호를 활용한 새로운 주민등록번호 체계를 적용하고 불필요한 본인식별을 최소화하자”고 제안했다. 하지만 행자부는 지난해 대규모 개인정보 유출 등으로 여론이 악화되자 주민등록번호 제도의 전면 개편에 나서겠다고 했는데도 지난해 10월 공청회 이후 별다른 움직임을 보이지 않고 있다. 그 사이에 아이핀 탈퇴자는 꾸준히 늘고 있다. 행자부에 따르면 지난 5~6일 이후 아이핀 탈퇴자는 하루 평균 500여명으로 기존의 평균 33명보다 15배 이상 늘었다. 번거로운 절차를 거쳐 가입했던 이용자들이 다시 불편을 감수하고라도 탈퇴한다는 것은 행자부로선 뼈아픈 대목이다. 검색어를 통해 사회흐름을 보여주는 ‘구글 검색어 트렌드’를 보면 아이핀을 검색한 횟수는 해킹사고 발표 전에는 하루 평균 20건이 안됐지만 8일부터 14일 사이에는 100건으로 5배 가량 증가했다. 강국진 기자 betulo@seoul.co.kr

‘아이핀 탈퇴’ 이틀간 1천명 넘어, 국민들 뿔났다? 75만개 부정발급에 결국.. ‘이틀간 1천명 넘어 아이핀 탈퇴’ 아이핀 시스템 해킹 사건이 발생한 가운데, 해킹 소식이 전해진 직후 이틀간 1천여명이 아이핀에서 탈퇴했다. 8일 행정자치부에 따르면 공공아이핀 시스템 공격 사실이 공개된 지난 5일과 6일 오후 6시까지 탈퇴자는 1천8명으로 집계됐다. 평소 하루 탈퇴 인원이 수십명 수준으로 100명을 넘지 않는 것과 비교하면 해킹 피해 사실이 알려진 5일 오후 탈퇴가 5배 이상 늘었다. 시스템 해킹 소식이 알려진 후 개인정보보호에 대한 우려가 작용했을 가능성이 크다. 다만 같은 기간 아이핀 발급 인원은 1만6천936명으로 평소 하루 발급자(7천명 선)에 견줘 소폭 증가했다. 이는 각종 온라인서비스를 이용할 때 공인인증서나 아이핀 등을 활용한 본인인증이 필수이기 때문인 것으로 보인다. 행자부의 한 관계자는 공공아이핀 탈퇴 급증에 대해 “가입자의 반응을 판단하려면 조금 더 지켜봐야 한다”면서도 “ 다행히 전체 가입자 추이에는 큰 변화가 없는 것으로 보인다”고 전했다. 앞서 지난달 28일 0시부터 2일 오전 9시까지 지역정보개발원에서 관리하는 공공 아이핀 시스템에서 75만2130건이 부정 발급됐다. 공공 아이핀이 부정 발급된 것은 처음이다. 유출된 신상 정보로 1단계(사용자 정보 입력) 절차를 거친 뒤 해킹으로 2단계(인증)를 통과한 것으로 추정된다. 이번 공격으로 민간 아이핀보다 부실한 공공아이핀의 보안 수준이 여실히 드러났다. 행자부와 경찰은 해킹에 사용된 소프트웨어가 중국어로 돼 있고 대규모 공격이 이뤄진 점으로 보아 중국 등 외국 해커의 소행으로 추정하고 있다. 뉴스팀 seoulen@seoul.co.kr

8일 행정자치부에 따르면 공공아이핀 시스템 공격 사실이 공개된 지난 5일과 6일 오후 6시까지 탈퇴자는 1천8명으로 집계됐다. 평소 하루 탈퇴 인원이 수십명 수준으로 100명을 넘지 않는 것과 비교하면 해킹 피해 사실이 알려진 5일 오후 탈퇴가 5배 이상 늘었다. 앞서 지난달 28일 0시부터 2일 오전 9시까지 지역정보개발원에서 관리하는 공공 아이핀 시스템에서 75만2130건이 부정 발급됐다. 공공 아이핀이 부정 발급된 것은 처음이다. 유출된 신상 정보로 1단계(사용자 정보 입력) 절차를 거친 뒤 해킹으로 2단계(인증)를 통과한 것으로 추정된다. 뉴스팀 seoulen@seoul.co.kr

8일 행정자치부에 따르면 공공아이핀 시스템 공격 사실이 공개된 지난 5일과 6일 오후 6시까지 탈퇴자는 1천8명으로 집계됐다. 평소 하루 탈퇴 인원이 수십명 수준으로 100명을 넘지 않는 것과 비교하면 해킹 피해 사실이 알려진 5일 오후 탈퇴가 5배 이상 늘었다. 앞서 지난달 28일 0시부터 2일 오전 9시까지 지역정보개발원에서 관리하는 공공 아이핀 시스템에서 75만2130건이 부정 발급됐다. 공공 아이핀이 부정 발급된 것은 처음이다. 유출된 신상 정보로 1단계(사용자 정보 입력) 절차를 거친 뒤 해킹으로 2단계(인증)를 통과한 것으로 추정된다. 이번 공격으로 민간 아이핀보다 부실한 공공아이핀의 보안 수준이 여실히 드러났다. 행자부와 경찰은 해킹에 사용된 소프트웨어가 중국어로 돼 있고 대규모 공격이 이뤄진 점으로 보아 중국 등 외국 해커의 소행으로 추정하고 있다. 뉴스팀 seoulen@seoul.co.kr

8일 행정자치부에 따르면 공공아이핀 시스템 공격 사실이 공개된 지난 5일과 6일 오후 6시까지 탈퇴자는 1천8명으로 집계됐다. 평소 하루 탈퇴 인원이 수십명 수준으로 100명을 넘지 않는 것과 비교하면 해킹 피해 사실이 알려진 5일 오후 탈퇴가 5배 이상 늘었다. 시스템 해킹 소식이 알려진 후 개인정보보호에 대한 우려가 작용했을 가능성이 크다. 앞서 지난달 28일 0시부터 2일 오전 9시까지 지역정보개발원에서 관리하는 공공 아이핀 시스템에서 75만2130건이 부정 발급됐다. 공공 아이핀이 부정 발급된 것은 처음이다. 유출된 신상 정보로 1단계(사용자 정보 입력) 절차를 거친 뒤 해킹으로 2단계(인증)를 통과한 것으로 추정된다. 뉴스팀 seoulen@seoul.co.kr

8일 행정자치부에 따르면 공공아이핀 시스템 공격 사실이 공개된 지난 5일과 6일 오후 6시까지 탈퇴자는 1천8명으로 집계됐다. 평소 하루 탈퇴 인원이 수십명 수준으로 100명을 넘지 않는 것과 비교하면 해킹 피해 사실이 알려진 5일 오후 탈퇴가 5배 이상 늘었다. 앞서 지난달 28일 0시부터 2일 오전 9시까지 지역정보개발원에서 관리하는 공공 아이핀 시스템에서 75만2130건이 부정 발급됐다. 공공 아이핀이 부정 발급된 것은 처음이다. 유출된 신상 정보로 1단계(사용자 정보 입력) 절차를 거친 뒤 해킹으로 2단계(인증)를 통과한 것으로 추정된다. 행자부와 경찰은 해킹에 사용된 소프트웨어가 중국어로 돼 있고 대규모 공격이 이뤄진 점으로 보아 중국 등 외국 해커의 소행으로 추정하고 있다. 뉴스팀 seoulen@seoul.co.kr

‘아이핀 탈퇴’ 이틀간 1천명 넘어, 75만건 해킹에 국민들 분노 ‘안전하다더니..’ ‘이틀간 1천명 넘어 아이핀 탈퇴’ 아이핀 시스템 해킹 사건이 발생한 가운데, 해킹 소식이 전해진 직후 이틀간 1천여명이 아이핀에서 탈퇴했다. 8일 행정자치부에 따르면 공공아이핀 시스템 공격 사실이 공개된 지난 5일과 6일 오후 6시까지 탈퇴자는 1천8명으로 집계됐다. 평소 하루 탈퇴 인원이 수십명 수준으로 100명을 넘지 않는 것과 비교하면 해킹 피해 사실이 알려진 5일 오후 탈퇴가 5배 이상 늘었다. 시스템 해킹 소식이 알려진 후 개인정보보호에 대한 우려가 작용했을 가능성이 크다. 다만 같은 기간 아이핀 발급 인원은 1만6천936명으로 평소 하루 발급자(7천명 선)에 견줘 소폭 증가했다. 이는 각종 온라인서비스를 이용할 때 공인인증서나 아이핀 등을 활용한 본인인증이 필수이기 때문인 것으로 보인다. 행자부의 한 관계자는 공공아이핀 탈퇴 급증에 대해 “가입자의 반응을 판단하려면 조금 더 지켜봐야 한다”면서도 “ 다행히 전체 가입자 추이에는 큰 변화가 없는 것으로 보인다”고 전했다. 앞서 지난달 28일 0시부터 2일 오전 9시까지 지역정보개발원에서 관리하는 공공 아이핀 시스템에서 75만2130건이 부정 발급됐다. 공공 아이핀이 부정 발급된 것은 처음이다. 유출된 신상 정보로 1단계(사용자 정보 입력) 절차를 거친 뒤 해킹으로 2단계(인증)를 통과한 것으로 추정된다. 이번 공격으로 민간 아이핀보다 부실한 공공아이핀의 보안 수준이 여실히 드러났다. 행자부와 경찰은 해킹에 사용된 소프트웨어가 중국어로 돼 있고 대규모 공격이 이뤄진 점으로 보아 중국 등 외국 해커의 소행으로 추정하고 있다. 뉴스팀 seoulen@seoul.co.kr

정부가 관리하는 본인 인증 수단인 공공 아이핀 시스템이 해킹으로 뚫렸다. 아이핀 발급자 430만명의 17%인 75만여명의 개인정보가 털려 부정 발급됐다. 아이핀은 잇단 대규모 해킹으로 주민등록번호가 시중에 떠돌자 주민번호의 대체 수단으로 정부에서 사용을 적극 권장해 왔다. 이번 사고는 기존의 단순한 주민번호 도용이 아니라 정부가 관리하는 시스템의 부실로 발생했다는 점에서 결코 가볍지 않다. 부정 발급한 아이핀이 게임 사이트 3곳에서 이용됐지만 피해가 없었다는 것이 다행이라면 다행이다. 행정자치부와 경찰에 따르면 이번 해킹은 공인인증서로 본인 인증을 거치는 과정에서 인증이 정상적으로 이뤄진 것처럼 시스템이 오인토록 인증 데이터를 위·변조했다. 사실상 인증 절차를 건너뛴 것이다. 아이핀은 인터넷상에서 본인을 확인하는 개인 식별 번호로, 발급 과정에서 이름과 주민번호 등 개인정보를 입력해 확인한다. 주민번호는 저장하지 않는다. 2006년 민간에서 시작해 공공기관의 웹사이트에도 폭넓게 적용하고 있다. 공공 아이핀 해킹 사건을 보면 정부의 한심한 수준을 그대로 알 수 있다. 이번에 이용한 ‘파라미터 위·변조 방식’은 기업에서도 방지 기능을 갖출 수 있는 초보 수준이라고 한다. 그런데도 정부는 시스템을 갖추지 못했고 취약점도 발견하지 못했다. 해킹당한 것을 바로 알리지 않은 것도 심각한 문제다. 행자부는 지난 2일 부정 발급 사실을 알았지만 사흘이 지나서야 공개했다. 피해 예방이 우선이었다고 주장하겠지만 쉬쉬하는 동안 개인정보 유출 당사자들은 이 사실을 까마득히 몰랐다. 만약 해커가 금융 서비스에 접근했더라면 큰 피해를 입을 수 있었다. 아이핀이 대체 수단으로 거론될 때 보안의 취약성은 지적됐었다. 하지만 정부는 아이핀을 수시로 바꿀 수 있어 해킹 직후 신속한 대처가 가능하다는 점에서 차선책으로 권장했다. 예상했던 해킹 우려는 현실이 됐고, 정부의 개인정보 보호 체계의 신뢰도는 땅에 떨어졌다. 해킹은 새로운 유형으로 진화를 거듭한다. 이번 해킹 사건을 계기로 현재 시스템과 방지 감시 체계의 문제점을 바로잡아야 한다. 행자부는 조만간 나올 경찰의 수사 결과를 토대로 시스템 전반을 점검해야 한다. 시스템을 재구축해야 할지, 아니면 암호화 수준 등 보안 관리를 어떻게 촘촘히 할 것인지를 강구해야 한다. 일각에서 폐기를 주장하는 주민번호 인증제를 버릴 수 없다면 시스템 구축과 관리가 더 완벽해져야 한다.

’아이핀 해킹’ 정부가 주민번호 대체 수단으로 권장한 공공아이핀이 해킹 당했다. 행정자치부는 지난달 28일부터 2일 오전까지 지역정보개발원이 관리하는 공공아이핀 시스템(사진)이 해킹 공격을 받아 75만건이 부정 발급된 것으로 확인됐다고 5일 밝혔다. 아이핀은 온라인에서 주민번호 등 개인정보가 유출되는 것을 차단하기 위해 2006년 민간부문부터 도입됐다. 2013년까지 발급 실적이 미미했지만 지난해 카드 3사의 개인정보 대량 유출을 계기로 주민번호 무단 수집이 법으로 금지되면서 가입자 수가 급증했다. 정부기관이 운영하는 공공아이핀에 수요가 몰려 최근까지 430만명이 발급을 받았다. 행자부는 “단기간에 급격히 아이핀 발급량이 증가해 경위를 조사한 결과 해킹 및 부정 발급 사실을 확인했다”며 “현재까지 부정 발급된 공공아이핀 75만건 중 17만건이 3개 게임사이트에서 신규 회원가입이나 이용자 계정 수정·변경에 사용된 것으로 파악됐다”고 밝혔다. 게임아이템 탈취 등 실질적인 피해 상황은 지금까지 확인되지 않았다. 이번 공격은 시스템에 침범해 공공아이핀을 만들어내는 방법이 사용됐다. 행자부는 부정 발급된 공공아이핀을 모두 긴급 삭제했다. 게임사이트 운영업체에 통보해 신규 회원은 강제 탈퇴 조치하고, 이용자 계정을 수정한 회원 아이디는 사용을 중지시켰다. 이번 공격에 2000여개 국내 아이피(IP)가 동원됐고, 중국어 버전 소프트웨어가 사용됐다. 행자부는 프로그램을 수정해 해킹 공격을 차단하고, 경찰청에 수사를 요청했다. 아이핀 해킹, 아이핀 해킹, 아이핀 해킹, 아이핀 해킹, 아이핀 해킹, 아이핀 해킹 사진 = 서울신문DB (아이핀 해킹) 뉴스팀 chkim@seoul.co.kr

정부가 주민등록번호 대체수단이라며 사용을 독려해 온 공공아이핀(I-PIN)이 해킹 공격에 무너졌다. 75만건에 이르는 아이핀이 부정 발급됐다. 행정자치부는 지난 2일 사고를 파악한 뒤 사흘이 지난 5일이 되어서야 해킹 사실을 언론에 공개했다. 행자부는 지금도 아이핀 발급을 계속하고 있지만 보안전문가들은 예견됐던 일이 발생한 것이라며 아이핀 정책 자체를 전면 재검토해야 한다고 지적한다. 행자부에 따르면 공공아이핀 시스템이 해킹 공격을 받은 것은 지난달 28일부터 지난 2일 오전까지였다. 주민등록번호 도용에 따른 아이핀 부정 발급은 있었지만 공공아이핀 시스템 자체가 외부 공격에 뚫린 것은 처음이다. 행자부는 지난 주말 급격히 아이핀 발급량이 증가하자 경위를 조사한 결과 해킹 및 부정 발급 사실을 확인했다. 현재까지 부정 발급된 공공아이핀은 약 75만건이다. 이 가운데 12만건은 유명 게임사이트 세 곳에서 신규 회원가입이나 이용자 계정 수정·변경 시도에 사용됐다. 행자부는 부정 발급된 공공아이핀 전부를 긴급 삭제했다. 또 게임사이트 운영업체에 통보해 신규회원은 강제 탈퇴 조치하고, 이용자 계정을 수정한 회원 아이디는 사용을 잠정 중지시켰다. 장한 개인정보보호정책과장은 “게임 아이템 탈취 등 실질적인 피해 사항은 지금까지 보고받은 게 없다”고 말했다. 정부는 아이핀이 주민등록번호를 대체함으로써 개인정보보호에 이바지할 것이라고 홍보해 왔지만 이번 사고를 계기로 신뢰를 잃게 됐다. 오병일 진보네트워크센터 활동가는 “아이핀을 통해 본인 확인을 하겠다는 발상 자체가 2012년 8월 제한적 본인확인제를 위헌이라 규정한 헌법재판소 결정을 부정하는 것”이라고 비판했다. 강국진 기자 betulo@seoul.co.kr

‘아이핀 해킹 75만건’ 아이핀 해킹 75만건…부정 발급 후 게임사이트 등에 사용 ‘충격’ 정부가 주민번호 대체수단으로 권장한 공공아이핀이 해킹공격에 무너졌다. 정부는 아이핀 시스템을 전면 재구축하는 방안까지 검토하고 있다. 행정자치부는 지난달 28일부터 이달 2일 오전까지 공공아이핀 시스템이 해킹 공격을 받아 75만 건이 부정 발급된 것으로 파악됐다고 5일 밝혔다. 행자부는 지난 주말 급격히 아이핀 발급량이 증가하자 경위를 조사한 결과 해킹 및 부정발급 사실을 확인했다. 현재까지 부정 발급된 공공아이핀 75만 건 중 12만 건이 유명 게임사이트 3곳에서 신규회원가입이나 이용자 계정 수정·변경 시도(8000건)에 사용된 것으로 파악됐다. 이번 사건은 주민번호를 도용해 아이핀을 발급받은 것이 아니라 해커가 아예 시스템에 침범해 공공아이핀을 대량 발급받은 것으로 드러났다. 행자부는 부정 발급된 공공아이핀을 전부 긴급 삭제했다. 또 게임사이트 운영업체에 연락해 신규회원은 강제탈퇴 조치하고, 이용자 계정을 수정한 회원 아이디는 사용을 잠정 중지시켰다. 온라인뉴스부 iseoul@seoul.co.kr

아이핀 해킹 75만건 아이핀 해킹 75만건 “민간은 안 뚫리는데 왜 뚫리나” 분노 여론 공공아이핀 시스템이 해킹 공격을 받아 75만 건의 공공아이핀이 부정 발급된 것으로 드러나면서 정부가 운영하는 공공아이핀의 허술한 보안 수준이 여실히 드러났다. 5일 행정자치부에 따르면 이번 해킹 공격의 주체는 ‘파라미터 위변조’라는 해킹 수법을 썼다. 아이핀 가입은 ‘개인정보 입력’, ‘본인인증’, ‘발급’의 순서대로 진행되는데 이번 공격의 주체는 본인인증이 정상적으로 이뤄진 것으로 시스템이 오인할 수 있는 데이터(파라미터값)를 발생시켜 본인인증 절차를 회피할 수 있었던 것으로 파악됐다. 개인정보 입력 단계까지 우회했는지, 아니면 이미 다른 경로로 유출된 개인정보를 입수해 이용했는지는 확인되지 않았다. 다만 공공아이핀을 관리하는 한국지역정보개발원은 후자 쪽에 무게를 싣고 있는 것으로 보인다. 공공아이핀 시스템의 프로그램이 파라미터 위변조 수법에 무기력하게 무너진 것과 달리 민간 아이핀은 이를 막아냈다. 이번 공격 사실을 인지한 후 정부가 관련 부처와 함께 민간 아이핀 시스템의 프로그램을 점검한 결과 파라미터 위변조를 인지, 발급이 진행되지 않았다고 행자부는 설명했다. 반면 공공아이핀 시스템은 파라미터 위변조에 대한 초보적인 대책도 갖춰지지 않았다. 지역정보개발원의 한 관계자는 “공공아이핀이 2007년 개발된 후 (그 상태로 시간이 흘러) 취약점을 발견하지 못한 면이 있다”고 말했다. 매년 두 차례씩 실시하는 취약점 점검에서도 이런 결함이 파악되지 않았다. 공공아이핀 소관 부처인 행자부의 한 관계자는 “이번 공격의 빌미가 된 프로그램 취약점은 통상적인 보안취약점 점검에서는 잡아내기 어려운 부분이었다”면서 “공격의 주체가 공공아이핀 프로그램을 정밀하게 연구한 것으로 보인다”고 말했다. 네티즌들은 “정부 시스템이 이렇게 허술한데 뭘 믿고 해야 되나”, “민간은 안 뚫리는데 세금으로 만드는 정부 아이핀이 뚫리는 이유가 뭐지?”, “도대체 제대로 하는 게 뭐냐”, “가입하라고 할 때는 언제고” 등 분노의 목소리를 높이고 있다. 온라인뉴스부 iseoul@seoul.co.kr

공공 아이핀 부정 발급에 대한 행정자치부의 기본적인 입장은 “프로그램의 취약점을 악용한 것이며, 이로 인한 피해는 거의 없다”는 것으로 요약된다. 반면 그동안 아이핀 정책을 비판해온 전문가들은 “취약한 것은 아이핀 그 자체이며, 개인정보 유출 피해는 이미 예견됐다”고 꼬집는다. 5일 행자부에 따르면 해킹은 ‘파라미터 위·변조’라는 수법으로 공공 아이핀 시스템의 취약점을 공격했다. 공공 아이핀에 가입하려면 공인인증서로 본인인증을 거쳐야 하는데, 본인인증이 정상적으로 이뤄진 것처럼 시스템이 오인하도록 데이터(파라미터값)를 변조해 본인인증을 사실상 건너뛰었다. 행자부에선 “파라미터 위·변조 방지는 민간에는 다 돼 있는 초보적인 부분”이라고 밝혔지만 “왜 초보적인 대비도 없었던 것인가”라는 질문에 대해서는 즉답을 피했다. 행자부는 기존에 유출된 주민등록번호와 이름으로 실명확인을 하는 단계를 거쳤는 지는 아직 확인하지 못했다. 이번 해킹 공격에는 2000개가 넘는 국내 아이피(IP)가 동원됐고 중국어 버전 소프트웨어도 사용됐다. 행자부는 “짧은 시간에 대규모로 이뤄진 것으로 봐서 조직적인 범행으로 본다”면서 “내부 관계자 공모 가능성은 전혀 없다”고 단정했다. 재발 가능성을 묻는 질문에는 “없다고 단정해서 말할 수는 없다”고 밝혔다. 정부는 2012년 헌법재판소가 제한적 본인확인제를 위헌으로 판결하고 주민등록번호가 대량으로 유출되는 사고가 잇따르자 2013년부터 공공 아이핀 사용을 본격 장려했다. 현재까지 약 430만명이 공공 아이핀을 발급받았다. 하지만 이번 해킹사고는 공공 아이핀 역시 주민등록번호처럼 대량유출될 수 있고 도용도 가능하다는 걸 드러냈다. 아이핀을 부정 발급받은 뒤 오프라인용 아이핀인 마이핀(My-PIN)을 발급받는 것도 기술적으론 가능하다. 행자부는 아이핀 해킹 사고의 의미를 축소하기에 급급하다는 비판을 받고 있다. 2일 상황을 인지한 뒤 사흘이 지난 5일 오전 11시50분이 되어서야 언론에 보도자료를 배포했다. 오후 기자간담회에선 책임자끼리 서로 말이 다르거나, 본인 말을 뒤집었다. 가령 처음엔 “본인확인과 공인인증서 단계를 건너뛰었다”고 설명하다가 나중에는 “기존에 유출된 주민등록번호와 실명을 확인해 본인확인을 거쳤다”고 한 뒤, 결국 “본인확인은 거친 것으로 추정한다”고 오락가락했다. 진보네트워크센터는 긴급 논평을 통해 “아이핀은 애초 도입되지 말았어야 했다”고 강조했다. 오병일 활동가는 “해킹 피해를 최소화하려면 정보수집을 최소화해야 하지만 아이핀은 불필요한 본인확인을 강요한다”면서 “주민등록번호가 문제인 것은 만능열쇠이기 때문인데 아이핀도 또다른 만능열쇠로 기능한다면 주민등록번호와 동일한 문제가 발생 할 수밖에 없다”고 말했다. 강국진 기자 betulo@seoul.co.kr

아이핀 해킹 75만건, 민간 아이핀은 막았는데…왜 못 막나? ‘아이핀 해킹 75만건’ 정부가 주민번호 대체수단으로 권장한 공공아이핀이 해킹공격에 무너졌다. 정부는 아이핀 시스템을 전면 재구축하는 방안까지 검토하고 있다. 행정자치부는 지난달 28일부터 이달 2일 오전까지 공공아이핀 시스템이 해킹 공격을 받아 75만건이 부정 발급된 것으로 파악됐다고 5일 밝혔다. 행자부는 지난 주말 급격히 아이핀 발급량이 증가하자 경위를 조사한 결과 해킹 및 부정발급 사실을 확인했다. 현재까지 부정 발급된 공공아이핀 75만건 중 12만건이 유명 게임사이트 3곳에서 신규회원가입이나 이용자 계정 수정·변경 시도에 사용된 것으로 파악됐다. 이번 사건은 주민번호를 도용해 아이핀을 발급받은 것이 아니라 해커가 아예 시스템에 침범해 공공아이핀을 대량 발급받은 것으로 드러났다. 행자부는 부정 발급된 공공아이핀을 전부 긴급 삭제했다. 또 게임사이트 운영업체에 연락해 신규회원은 강제탈퇴 조치하고, 이용자 계정을 수정한 회원 아이디는 사용을 잠정 중지시켰다. 주민번호 도용에 따른 아이핀 부정 발급은 있었지만 민간 또는 공공 아이핀 시스템 자체가 외부공격에 뚫린 것은 초유의 일이다. 한편 정부가 같은 수법으로 민간 아이핀 시스템을 점검한 결과도 화제다. 민간 아이핀은 해킹 시도를 포착해 아이핀을 발급하지 않았다. 온라인뉴스부 iseoul@seoul.co.kr

아이핀 해킹 75만건 아이핀 해킹 75만건 “민간은 안 뚫리는데 세금들인 시스템 왜 뚫리냐” 분노 공공아이핀 시스템이 해킹 공격을 받아 75만 건의 공공아이핀이 부정 발급된 것으로 드러나면서 정부가 운영하는 공공아이핀의 허술한 보안 수준이 여실히 드러났다. 5일 행정자치부에 따르면 이번 해킹 공격의 주체는 ‘파라미터 위변조’라는 해킹 수법을 썼다. 아이핀 가입은 ‘개인정보 입력’, ‘본인인증’, ‘발급’의 순서대로 진행되는데 이번 공격의 주체는 본인인증이 정상적으로 이뤄진 것으로 시스템이 오인할 수 있는 데이터(파라미터값)를 발생시켜 본인인증 절차를 회피할 수 있었던 것으로 파악됐다. 개인정보 입력 단계까지 우회했는지, 아니면 이미 다른 경로로 유출된 개인정보를 입수해 이용했는지는 확인되지 않았다. 다만 공공아이핀을 관리하는 한국지역정보개발원은 후자 쪽에 무게를 싣고 있는 것으로 보인다. 공공아이핀 시스템의 프로그램이 파라미터 위변조 수법에 무기력하게 무너진 것과 달리 민간 아이핀은 이를 막아냈다. 이번 공격 사실을 인지한 후 정부가 관련 부처와 함께 민간 아이핀 시스템의 프로그램을 점검한 결과 파라미터 위변조를 인지, 발급이 진행되지 않았다고 행자부는 설명했다. 반면 공공아이핀 시스템은 파라미터 위변조에 대한 초보적인 대책도 갖춰지지 않았다. 지역정보개발원의 한 관계자는 “공공아이핀이 2007년 개발된 후 (그 상태로 시간이 흘러) 취약점을 발견하지 못한 면이 있다”고 말했다. 매년 두 차례씩 실시하는 취약점 점검에서도 이런 결함이 파악되지 않았다. 공공아이핀 소관 부처인 행자부의 한 관계자는 “이번 공격의 빌미가 된 프로그램 취약점은 통상적인 보안취약점 점검에서는 잡아내기 어려운 부분이었다”면서 “공격의 주체가 공공아이핀 프로그램을 정밀하게 연구한 것으로 보인다”고 말했다. 네티즌들은 “정부 시스템이 이렇게 허술한데 뭘 믿고 해야 되나”, “민간은 안 뚫리는데 세금으로 만드는 정부 아이핀이 뚫리는 이유가 뭐지?”, “도대체 제대로 하는 게 뭐냐”, “가입하라고 할 때는 언제고” 등 분노의 목소리를 높이고 있다. 온라인뉴스부 iseoul@seoul.co.kr

정보공개청구를 할 때마다 주민등록번호를 요구하는 행정자치부 방침에 대해 대통령 소속 개인정보보호위원회가 제동을 걸었다. 그동안 과도한 개인정보 침해라며 문제제기를 해 온 시민단체들은 5일 논평을 내고 개인정보보호위원회의 결정을 환영했다. 행자부가 운영하는 정보공개포털(www.open.go.kr)은 지난해 11월부터 회원가입뿐 아니라 정보공개청구서를 작성할 때도 주민등록번호를 입력해 실명확인을 하도록 했다. 그 전까지는 회원가입을 할 때만 주민등록번호를 입력했지만 개인정보 강화 정책에 따라 회원가입 시 입력한 주민등록번호를 수집할 수 없게 됐다는 게 이유였다. 행자부 공공정보정책과 관계자는 이와 관련, “자신과 관련한 정보를 정보공개청구하는 사례가 있으며 본인 여부를 알아야 답변을 줄 수 있다”고 밝혔다. ‘투명사회를 위한 정보공개센터’와 진보네트워크센터에 따르면 개인정보보호위원회는 최근 심의에서 “정보공개청구 절차에서 주민등록번호의 처리가 불가피하지 않다”고 결정했다. 특히 전자서명, 아이핀, 휴대전화 등 인증수단을 통해 청구인 혹은 이의신청인에 대한 본인확인을 할 수 있는 점 등을 고려해야 한다는 이유를 들어 “제3자에게 공개하지 않도록 본인확인이 필요하다”는 주장을 받아들이지 않았다. 개인정보보호위원회는 방문이나 팩스로 정보공개청구를 할 때도 청구서와 위임장, 이의신청서 등에 주민등록번호를 기재하도록 하는 ‘공공기관의 정보공개에 관한 법률’ 시행령과 규칙 등에 대해서도 “주민등록번호 처리는 불가피하지 않다”고 결정했다. 공공기관에 직접 출석해 청구서를 제출할 때는 신분증을 통해 본인확인이 가능하고 우편이나 팩스로 제출할 때도 청구인 본인확인을 할 수 없어 주민등록번호 자체가 필요하지 않은 점 등을 이유로 들었다. 이번 결정은 행자부가 정보공개 등 기록관리와 개인정보보호 등 각 정책을 제대로 조율하지 못한다는 현실을 드러냈다. 행자부 안에서도 정보공개청구에 주민등록번호를 요구하도록 한 부서와 개인정보보호위원회에 이 문제를 심의·의결해 줄 것을 요청한 부서가 서로 달랐다. 행자부 개인정보보호과는 이날 “법령상 근거가 없는 주민등록번호 수집 단속 및 처벌을 강화한다”는 보도자료를 냈다. 행자부는 “주민등록번호 수집법정주의 계도기간이 6일 종료됨에 따라 7일부터 불법적인 주민등록번호 수집 행위에 대한 단속을 강화하고 무단 수집행위를 엄정 처분할 것”이라고 밝혔다. 하지만 여기에 정보공개포털은 해당되지 않는다. 행자부는 앞서 지난해 7월부터 지난달까지 한국인터넷진흥원과 함께 개인정보를 대량으로 수집·처리하는 공공기관과 각종 협회·단체 웹사이트 15만 8936곳을 대상으로 실태조사를 벌여 약 5800곳을 확인하고 시정조치한 바 있다. 내년 8월까지는 이미 수집한 주민등록번호를 파기하도록 했다. 진보네트워크센터 소속 신훈민 변호사는 “민간영역에서는 주민등록번호 처리가 적지 않게 제한되었으나 공공영역은 아직 가야 할 길이 멀다. 여전히 주민등록번호를 처리할 수 있도록 허용하는 법령이 1000개가 넘는다”면서 “공공영역에서도 주민등록번호 처리를 최소화할 수 있도록 해야 한다”고 말했다. 강국진 기자 betulo@seoul.co.kr

지난해 12월 취재차 중국 베이징에 다녀온 적이 있다. 칭기즈칸의 손자이자 13세기 중요한 인물로 꼽고 싶은 쿠빌라이칸이 도읍으로 삼은 ‘칸의 도시’에서 유래한 천년수도 베이징을 방문해서 정작 가장 놀랐던 건 베이징 도착한 날부터 중국어로 쏟아진 문자메시지였다. 처음엔 중국 당국에서 보낸 문자인가 했다. 현지 가이드가 얘기해주길 ‘젊고 헐벗은 세계 각국 아가씨들이 당신을 기다린다’는 뜻이라고 했다. 시시때때로 도착하던 중국어 문자는 신기하게도 베이징을 떠나는 날이 되자 딱 끊어졌다. 그날 이후 중국어 문자메시지를 받아본 적이 없다. 스팸문자를 보낸 업자들은 도대체 어떻게 휴대전화번호는 물론 중국 체류기간까지 알았던 것일까. 최근 여행업에 종사하는 분한테서 얘기를 듣고 나서야 비밀이 풀렸다. 발단은 놀랍게도 여권이었다. 해외에 가서 호텔에 숙박하거나 렌터카 회사에 갈 때 여권을 제출하곤 한다. 여권에는 생년월일과 주민번호 뒷자리가 적혀 있다. 그분은 렌터카 회사와 호텔에서 아르바이트로 일한 경험이 있다고 했다. 한국인 손님들이 오면 여권에 있는 주민번호를 복사해서 써먹는 걸 많이 봤다고 한다. “한류 스타 여배우가 제가 일하던 호텔에서 숙박한 적이 있는데 신분 확인하고 여권을 복사합니다. 그거 유출 잘 됩니다.” 스팸문자나 스팸메일을 받고 기분 좋은 사람은 없을 것이다. 홀가분하게 떠난 해외 여행지에서도 스팸문자가 시시때때로 쏟아진다면 기분이 어떻겠는가. 사실 따지고 보면 그 근원에는 우리가 그동안 관리하기 편하다는 이유로 온갖 곳에 다 사용하던 주민번호가 자리 잡고 있다. 국회에 가서 방문증을 받기 위해 신분증을 제출했더니 그걸 받아든 경비 아저씨가 대뜸 고향을 물었다. 왜 그러느냐고 했더니 주민번호 뒷자리가 자기랑 비슷한 걸 보니 고향이 근처인 것 같다고 했다. 아닌 게 아니라 그분 말씀이 맞았다. 우리는 주민번호만 있으면 모든 걸 알 수 있는 나라에 살고 있다. 애초에 여권과 운전면허증은 그 자체로 신분을 증명한다. 주민번호 표기를 지우기만 해도 시민들에겐 적잖은 도움이 될 것이다. 하지만 정부가 내놓은 대책은 공인인증서, 샵메일, 아이핀, 마이핀 등 모두 주민번호를 기반으로 한다. 현관문 도어록 비밀번호가 유출되자 부랴부랴 도어록은 바꾸면서 정작 비밀번호 바꿀 생각은 못한다. betulo@seoul.co.kr

개방형 직위에 민간 출신 임용이 저조하다는 지적이 제기되고 있는 가운데 정부가 중앙부처 국·과장급 8개 직위를 공개 모집한다. 이번 공모는 지난 7월 민간위원만으로 구성된 중앙선발시험위원회 출범 이후 세 번째 개방형 직위 공모로, 민간 출신이 얼마나 임용될지도 관심을 모으고 있다. 안전행정부는 27일부터 ‘나라일터’ 온라인 지원 시스템을 통해 개방형 직위 8개를 공모한다고 26일 밝혔다. 공모 대상은 특히 인사권과 예산권을 갖는 책임운영기관장인 미래창조과학부 국립중앙과학관장을 비롯해 안전행정부 감사관과 지방행정연수원 교수부장, 기획재정부 국유재산심의관 등 실·국장급 4개 직위와 공정거래위원회 할부거래과장, 보건복지부 보건산업진흥과장과 출산정책과장, 질병관리본부 혈액안전감시과장 등 과장급 4개 직위다. 이번 공모는 중앙선발시험위 출범 이후 선발에 대한 신뢰도가 높아진 데다 의료계와 과학계, 학계 등에서 관심을 갖는 분야여서 민간 전문가들의 지원이 어느 때보다 많을 것으로 안행부는 보고 있다. 특히 임용 기간을 2년에서 3년으로 늘리고 개방형 직위로 정년 퇴직도 가능하게 되는 등 신분 보장이 된 점도 민간의 관심을 끄는 대목이다. 지금까지는 민간기업에 비해 상대적으로 낮은 임금과 짧은 임용 기간 등의 이유로 민간 전문가들이 지원을 꺼려 왔다. 아울러 이번 개방형 직위 공모부터는 온라인 지원이 가능해 민간의 지원율을 높이는 데 긍정적인 역할을 할 것으로 보인다. 그동안에는 지원자가 직접 방문하거나 우편으로 원서를 접수시켰지만 이제는 ‘나라일터’(gojobs.mospa.go.kr)에서 직접 신청할 수 있다. 지원자는 나라일터에서 공인인증서 등을 통한 아이핀(I-PIN)과 액티브X 등을 설치한 뒤 접수 프로그램에 접속하면 지원이 가능하다. 원서 접수는 다음달 12일까지다. 중앙선발시험위는 서류전형을 거쳐 9월 말 면접시험을 진행하고, 임용 직위별로 2~3명을 임용예정 기관장에게 추천한다. 따라서 실제 임용은 10월 이후가 될 것으로 보인다. 중앙선발시험위 신설 후 처음 공모를 했던 금융위원회 대변인 등 3개 국장급은 지난 12일 임용예정 기관장에게 후보자들을 추천했으며, 역량평가 등 후속 절차를 진행 중이다. 두 번째 공모 대상이었던 기재부 재정업무관리관 등 9개 개방형 직위는 서류전형을 마쳤고 이달 말과 다음달 초 면접을 앞두고 있다. 황서종 안행부 인사정책관은 “개방형 직위는 경쟁을 통해 내부·외부 구분 없이 직위에 가장 적합한 전문가를 뽑자는 취지”라면서 “앞으로는 개방형 직위로 채용된 인재들이 역량을 발휘할 수 있도록 지원하고 여건을 마련해 주는 데 관심을 기울일 것”이라고 말했다. 강국진 기자 betulo@seoul.co.kr