공공아이핀을 부정발급해 게임사이트 회원가입 및 기존 회원들의 정보변경에 악용한 사건이 발생하면서 아이핀의 보안성이 도마위에 올랐다.
정부는 그동안 인터넷에서 주민번호 대체수단으로 활용돼 온 아이핀에 대해 주민번호와는 달리 사용자가 원하면 언제든 변경할 수 있다는 점에서 보안성이 높다는 점을 강조해 왔다. 그러나 아이핀을 부정발급해 다른 웹사이트 계정도용에 악용하는 사건들이 끊이지 않고 있어 발급 과정에 대해 더욱 정밀한 보안대책이 필요하다는 지적이다.
5일 행정자치부는 긴급 기자간담회를 열고, 문제가 된 한국지역정보개발원에서 관리하는 공공아이핀시스템에서 발견된 보안취약점을 악용한 공격을 통해 2월28일~3월2일까지 3일 간 75만건의 공공아이핀이 부정발급되는 사건이 발생했다고 발표했다.
오윤택 한국지역정보개발원 책임에 따르면 여기에 악용된 공격수법은 '파라미터 위변조'다. 공격자가 아이핀 발급을 위해 필요한 사용자정보입력, 공인인증서 등을 통한 본인확인 단계를 우회해 아이핀을 발급했다는 것이다.
국내 보안전문가들에 따르면 파라미터 위변조는 웹해킹 공격에 쓰이는 일반적인 수법이다. 일본에서 개최된 국제해킹대회 우승자이기도 한 이종호 보안연구원은 파라미터 위변조는 범위가 너무 커서 웹해킹은 전부 이 방법을 썼다고 보면된다며 이번 사건에서는 암호화키가 노출됐거나 서버 설정값에서 발견된 취약점 등이 악용됐을 가능성도 있다고 밝혔다.
아이핀이 발급되는 과정은 일반 서버들 간에 정보를 전송하는 과정과 크게 다르지 않다. 예를 들어 지디넷코리아 웹사이트 회원가입을 위해 아이핀이 필요할 경우 해당 사이트 웹서버에 본인확인정보를 입력한 뒤 아이핀 발급을 요청하면 아이핀 발급 전용 서버에서 해당 내용을 받아 확인을 거쳐 암호화된 아이핀 정보를 전송해 준다. 지디넷코리아 웹사이트에서는 해당 내용을 암호화키로 복호화해 내용을 확인하고 회원가입시키는 과정을 거친다. 한국지역정보개발원에서도 이러한 과정을 거치는 중에 암호화키나 웹서버 설정상 취약점이 악용됐을 수 있다는 설명이다.
파라미터 위변조는 지난해 발생한 KT 홈페이지 정보유출 사건에도 악용된 바 있다. 당시에는 로그인을 위해 필요한 ID, 비밀번호값을 위변조해 내부 서버에서 데이터를 유출시킨 바 있다. 한국지역정보개발원 사건의 경우 KT때와 마찬가지로 파라미터 위변조 수법이 쓰인 것은 맞지만 아직은 구체적으로 어떻게 유출됐는지에 대해서는 추가적인 조사가 필요할 것으로 전망된다.
관련기사
- 주민번호 대체 공공아이핀 75만건 부정발급2015.03.05
- 주민번호 대용 마이핀 직접 발급해보니…2015.03.05
- 주민번호 대신 '마이핀' 도입…땜질 처방 논란2015.03.05
- 주민번호 대신 아이핀을 확대한다고?2015.03.05
다만 익명을 요구한 네트워크 보안전문가는 파라미터 위변조는 크게 어려운 공격 수법은 아니다라며 공공아이핀 시스템 자체 취약점과 파라미터 위변조 수법이 함께 쓰였을 가능성도 있다고 밝혔다.
행정자치부 개인정보보호정책과 이연주 사무관은 2007년 시스템을 개발한 뒤로 기능을 계속 추가하는 과정에서 취약점 점검을 진행했지만 알려진 취약점을 위주로 확인해 왔다며 이 사건을 계기로 더 정밀한 취약점 점검 체계를 마련하는 방안을 검토 중이라고 해명했다.