개인정보 유출을 막고자 정부가 2006년 시행했던 아이핀 시스템이 해킹됐다.

지난달 28일부터 지난 2일 오전까지 신원을 알 수 없는 누군가가 공공아이핀 시스템에 접속, 본인인증 절차를 회피하는 수법으로 공공아이핀 75만개를 부정 발급받았다. 해킹으로 발급받은 공공아이핀 가운데 10여만개는 게임사이트 회원가입 등에 사용된 것으로 파악됐다.

공공아이핀 부정 발급이 이루어지는 동안, 시스템 관리를 담당하는 공공아이핀센터는 이를 막지도 탐지하지도 못했다.

보안업계에서는 이번 해킹 사건이 비교적 널리 알려진 파라미터 위변조 방식을 사용한 것으로 파악하고 있다.

공공아이핀 발급은 각 단계별로 확인 절차를 거치는데, 이전 단계의 '인증확인' 파라미터를 확인 후 다음 단계가 진행된다. 이번 해킹 사건에서 해커는 '사용자 개인 정보 입력' 1단계와 '공인인증서 등을 통한 본인 확인' 2단계의 '인증확인' 파라미터를 위변조하여 공공아이핀을 발급받았던 것으로 보인다.

반면 민간 아이핀 시스템의 경우 동일한 해킹 공격을 차단할 수 있는 것으로 확인됐다.

/온라인뉴스팀

/정유진 기자 online01@incheonilbo.com

---