해킹에 무방비로 노출됐었던 공공아이핀의 활용처가 연령확인 등 최소한의 용도로 제한되며, 금융권에서 도입하고 있는 부정사용방지시스템(FDS)을 활용해 공공아이핀 접속자의 이상여부를 확인할 수 있게 된다.
행정자치부는 지난 2월28일~3월2일까지 발생했던 공공아이핀 75만건 부정발급 사건과 관련 이 같은 내용을 담은 '공공아이핀 부정발급 재발방지 종합대책'을 세웠다고 25일 밝혔다.
행자부에 따르면 9일부터 가동된 민관합동 공공아이핀 부정발급 대책 수립 TF가 이러한 방안을 마련했다.
행자부, 통합전산센터, 한국인터넷진흥원(KISA), 민간 보안전문가로 구성된 합동점검단은 한국지역인재개발원(KLID)에서 관리해 온 공공아이핀센터의 현장점검을 수행했다.
합동점검단장인 노병규 KISA 개인정보보호본부장은 이 사건이 공공아이핀시스템의 설계상 오류에서 비롯됐다고 밝혔다.
공격자들은 공공아이핀의 설계상 오류를 악용해 정상발급 절차를 우회한 뒤 파라미터를 변조해 아이핀을 대량으로 부정발급 받았다.
문제는 발급건수가 급증하더라도 이상징후를 감지할 관제체계가 없었던데다가, 2008년 이후 관련 시스템에 대한 업그레이드나 보안투자도 거의 전무했었다는 점이다.
이에 따라 행자부가 발표한 종합대책은 먼저 본인확인수단인 아이핀이 과도하게 사용되고 있다는 지적에 따라 최소한의 목적으로만 활용할 수 있도록 용도를 제한한다는 방침이다. 연령확인 등 본인확인이 필요한 서비스에 한해서만 최소 범위로 공공아이핀을 활용할 수 있게 오는 6월까지 관련 지침을 개정한다. 또한 공공아이핀 관리, 운영 주체를 전문보안기관으로 이관하는 방안도 검토 중이다.
해킹을 방지하기 위해서는 해시함수를 통한 검증, 2차 비밀번호 등 추가인증수단을 도입, 부정발급이 의심되는 국내외 IP주소에 대한 접속 차단 등이 도입된다. 또한 FDS를 도입해 아이핀 도용이 의심되는 경우 추가적인 인증을 요구하거나 서비스를 정지시키는 등 보호조치를 할 예정이다. 정기적인 모의해킹, 취약점 점검 등도 진행된다.
행자부는 보안전문회사를 통해 공공아이핀 업무처리절차, 시스템 구조 및 성능, 관리 및 운영상 문제점을 종합 검토해 시큐어코딩, 노후장비 전면 교체 등 계획도 상반기 안에 마련할 예정이다.
관련기사
- 공공아이핀 해킹 근본대책 "본인확인 최소화"2015.03.25
- 정부, 공공아이핀 유출 근본 대책 논의2015.03.25
- 소 잃고 외양간?…행자부, 공공아이핀 보안강화책 마련2015.03.25
- 구멍뚫린 아이핀…게임 이용자 피해 속출2015.03.25
이밖에 공공아이핀 유효기간을 1년으로 제한해 이후 재발급할 수 있게 하며, 방송통신위원회와 협의해 민간아이핀 3사와 함께 '아이핀 부정발급, 도용 근절 캠페인'을 벌인다.
그동안 부족했던 정부 내 정보보안인프라 확보를 위해 정보보호 전문인력은 전문성을 고려해 순환보직에서 예외를 두며, 주기적으로 업무성과를 평가해 일정기간이 지나면 우선 승진 시키는 등 인사제도 개편도 검토된다.