침해사고/위협동향

아이핀 시스템 뚫렸다…취약점 악용으로 부정발급 75만건

이민형

[디지털데일리 이민형기자] 정부가 주민번호 대체수단으로 권장한 아이핀(i-pin) 시스템이 외부공격에 의해 취약점이 밝혀졌다. 공격자는 취약점을 악용해 75만건의 아이핀을 부정발급하고 이를 게임사이트 가입 등에 사용했다.

5일 행자부는 지난달 28일부터 이달 2일까지 지역정보개발원에서 관리하고 있는 아이핀 시스템에서 75만건의 아이핀이 부정발급되는 사고가 발생했다고 발표했다.

행자부(지역정보개발원)는 사고 발생 즉시, 부정발급에 이용된 프로그램 취약점을 수정해 추가 부정발급을 차단하고 부정발급된 아이핀 전부를 긴급 삭제조치 했다. 또 유사 사고가 재발하지 않도록 비상대응팀을 구성해 24시간 집중 모니터링체계를 운영하고 있다.

이번 사고는 공공아이핀 정상발급 절차를 우회(프로그램 취약점 이용)하여 아이핀을 대량으로 부정발급한 것으로 확인됐다. 또한, 부정발급 받은 아이핀 중 12만건이 3개 게임사이트의 신규 회원가입, 기존 이용자 계정 수정·변경 등에 이용한 것으로 파악됐다.

행자부는 이번 사고로 인한 2차 피해를 최소화하기 위하여 민간아이핀기관과 관련 게임사에 사용내역을 전달, 긴급 사용자 보호조치를 취하도록 했다. 관련 게임사에서는 부정발급된 아이핀으로 신규회원 가입을 한 경우에는 회원 탈퇴 조치를 했으며, 사용자 정보를 수정·변경한 경우에는 임시 사용중지 조치를 했다.

한편, 행자부는 이번 사건을 경찰청에 긴급히 수사요청해 현재 수사중에 있다고 밝혔다. 지금까지 파악된 사항은 이번 부정발급에 2000여개의 국내IP가 동원됐으며, 중국어 버전의 SW가 사용된 것으로 파악됐다..

행자부는 향후 프로그램 소스분석 및 모의해킹 등을 통해 아이핀 발급·인증체계 보안 취약점을 긴급점검, 개선조치 하고, 전문기관(한국인터넷진흥원)을 통해 아이핀시스템 전면 재구축 방안 등을 검토할 예정이다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널