공공아이핀 시스템 전면 재구축…행자부, FDS도 도입
- 공공아이핀 관리·운영 주체를 전문보안기관으로 이관 검토
- 공공기관 웹사이트 회원제 폐지 등 공공아이핀 사용범위 축소
[디지털데일리 이민형기자] 행정자치부가 최근 발생한 공공아이핀 부정발급 사고와 관련, 공공아이핀 시스템을 전면 재구축한다. 행자부는 시스템 재구축 방안을 올해 상반기중으로 마련한다는 계획이다.
행자부는 지난달 28일 발생한 공공아이핀 부정발급 사고와 관련해 사고원인과 재발방지 종합대책을 25일 발표했다.
이날 발표된 대책은 지난 9일부터 가동된 민관합동 ‘공공아이핀 부정발급 대책 수립 TF’에서 관계기관 합동점검단이 공공아이핀센터 현장 점검으로 밝혀낸 사고원인 등을 토대로 만들어졌다.
합동점검단장인 노병규 한국인터넷진흥원(KISA) 개인정보보호본부장은 “이번 사고의 원인이 공공아이핀시스템의 설계상 오류에서 비롯됐다”고 설명했다.
해커가 설계상 오류를 악용해 정상발급 절차를 우회한 뒤 파라미터를 변조해 아이핀을 대량으로 부정발급 받은 것이다. 또한, 발급건수 급증 등 이상징후에 대한 관제체계가 없었으며, 공공아이핀이 개발된 2008년 이후 프로그램 업그레이드와 보안 투자가 미흡했던 것으로 드러났다. 위탁운영기관의 관리역량과 전문성 부족도 이번 사고의 원인 중 하나로 지적됐다.
노 본부장은 “이번에 해킹 경로로 이용된 프로그램 오류는 한국지역정보개발원에서 사고 발견 즉시 수정했다”고 설명하고 공공아이핀 보안강화대책도 발표했다.
합동점검단은 먼저, 민간아이핀에서 사용하는 해킹방지 기능(해쉬함수 검증)과 2차 패스워드 등 추가 인증수단을 도입하고, 부정발급이 의심되는 국내외 IP를 접속 시도 즉시 차단할 계획이라고 밝혔다.
현재 금융기관에서 운영 중인 부정사용방지시스템(FDS)을 공공아이핀시스템에 도입하고, 화이트해커 등을 활용, 실제 공격상황에 버금가는 모의해킹을 정기적으로 실시하는 등 취약점 점검도 강화해 나갈 예정이다.
아울러 시큐어코딩 적용, 노후장비 전면교체 등 시스템 전면 재구축도 함께 진행할 계획이다.
더불어 행자부는 시스템 전면 재구축, 공공아이핀 제도개선, 안전한 아이핀 이용환경 조성 등 이번 사고와 관련해 종합적인 대책을 추진한다.
먼저, 본인확인수단인 아이핀이 과도하게 사용되고 있다는 지적과 관련해 앞으로는 꼭 필요한 데에만 아이핀이 사용될 수 있도록 관련제도를 바꿀 예정이다.
공공기관의 웹사이트는 원칙적으로 회원가입 없이 이용이 가능하도록 개선하며, 연령확인 등 본인확인이 꼭 필요한 서비스에만 필요 최소한의 범위 내에서 공공아이핀이 사용되도록 관련지침을 개정할 계획이다.
행자부는 이번 사고에 대한 책임과 제2의 보안사고 예방을 위해 공공아이핀 관리·운영 주체를 전문보안기관으로 이관하는 방안도 검토 중에 있다고 밝혔다.
이와 함께, 행자부는 방송통신위원회와 협의해 안전한 아이핀 이용환경 조성을 위해 민간아이핀 3사와 함께 ‘아이핀 부정발급·도용 근절 캠페인’을 대대적으로 벌여 나갈 예정이다.
특히, 공공아이핀은 오는 5월 1일부터 일제 정비기간을 설정하여 모든 사용자가 본인확인 후 재사용토록 함으로써 그동안 도용되었거나 타인 명의로 부정발급된 공공아이핀을 일제히 정비해 나갈 방침이다. 또한, 공공아이핀 유효기간을 1년으로 제한하는 한편, ‘3개월에 한 번씩 비밀번호 변경하기’ 캠페인도 실시할 계획이다.
경찰청, KISA, 민간아이핀 3사 등 관계기관과 정기적인 보안이슈 공유, 좀비 서버·IP 파악·제거, 위기상황시 피해확산 방지를 위한 위기대응체계 구축 등 협력체계도 강화해 나갈 계획이다.
아울러, 행자부는 정보보안 인프라 확충방안을 검토할 예정이다. 정보보호 전문인력은 순환보직에서 제외하되, 주기적으로 업무성과 등을 평가해 일정기간 소요시 우선 승진시키는 등 관련 인사제도 개편을 검토한다.
또 행자부내 주요시스템에 대한 보안 운영실태와 최신 해킹기술 대비체계 점검 등을 위해 ‘주요시스템 보안점검위원회(위원장 행자부차관)’ 설치도 고려하고 있다고 전했다.
정재근 행자부 차관은 “이번에 수립된 재발방지 종합대책을 차질없이 추진해 다시금 이와 유사한 사고가 재발하지 않도록 하겠다”고 말했다.
<이민형 기자>kiku@ddaily.co.kr
[2024 IT혁신상품] AI 협업부터 비정형데이터 보호까지…지란지교그룹 '각개약진'
2024-12-19 18:33:01비트코인, 1억5000만원대 유지…RWA NOVA 코인, 비트마트에 신규 상장
2024-12-19 18:06:07'계엄군 점거' 서버 살펴본 선관위 보안자문위…"침입 흔적 없다"
2024-12-19 17:56:25[현장] 티빙·웨이브 합병 두고 CEO별 온도차…"주주 동의 필요 vs 無 관여"
2024-12-19 17:13:57[DD퇴근길] 갈길 먼 AI 기본법…바디프랜드, '가구' 선보인 이유는
2024-12-19 16:52:18