해커 기초 공격에도 뚫리다니..'아이핀' 신뢰도 '뻥'

진달래|남형도 기자|기자 입력 2015. 3. 6. 05:02 수정 2015. 3. 6. 05:02
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

공공 아이핀 75만건 부정 발급, 12만건 게임사 3곳서 사용

[머니투데이 진달래 기자, 남형도 기자] [공공 아이핀 75만건 부정 발급, 12만건 게임사 3곳서 사용]

'아이핀'이 대량 부정 발급됐다. 해커의 아주 기초적인 공격 방식에 뻥 뚫렸다. 주민등록번호 대신 온라인 본인 인증 수단으로 아이핀을 적극적으로 홍보해온 정부의 개인정보보호 정책 신뢰가 치명상을 입게 됐다.

행정자치부는 지난달 28일부터 2일 사이 지역정보개발원에서 관리하고 있는 공공아이핀시스템에서 아이핀 75만 건이 부정 발급됐다고 5일 밝혔다. 정상 발급된 공공 아이핀(426만건)의 17%에 달하는 규모다.

아이핀은 공공아이핀 외에도 나이스신용평가정보, KCB, 서울신용평가정보 등 민간 3개사에서 발급하고 있다. 이들 민간에서는 관련 피해가 없는 것으로 파악됐다.

◇어떻게?=해커는 아이핀 발급 시스템 취약점을 악용했다. 통상 3단계로 이뤄지는 아이핀 발급 절차 가운데 1, 2단계에서 입력 값을 조작해 마치 정상적으로 본인 인증을 받은 것처럼 시스템을 속인 것이다.

오윤택 한국지역정보개발원 책임은 "아이핀을 발급을 위해 다음 단계로 넘어가려면 정확한 값을 시스템에 넣어 앞 단계를 정상적으로 수행했다는 것을 알려야 한다"며 "공격자(해커)들이 이른바 '파라미터 위변조 방식'으로 위조된 값을 넣어 다 단계로 넘어가는 방식으로 부정 발급받은 것"이라고 설명했다.

이는, 아이디와 비밀번호로 계정에 접속할 때 데이터를 변조하거나 해당 단계를 뛰어넘도록 조작하는 기술로 고전적인 공격 방식으로 통한다.

조주봉 라온화이트햇 보안기술교육팀장은 "파라미터 위변조는 과거 쇼핑몰에서 금액을 0원으로 조작해 물건을 사는 공격에서도 활용된 방식"이라며 "서버가 입력되는 데이터 값을 제때 검증하지 않아서 공격자가 마음대로 값을 조작할 수 있는 것"이라고 설명했다.

결국 공공아이핀발급 시스템 서버 단에서 정상적인 값이 입력됐는지 점검을 제대로 못한 셈이다. 이런 공격은 개발 단계부터 시큐어코딩을 통해 보안을 강화하면 쉽게 차단할 수 있지만, 일정 패턴이 존재하지 않아 대량 발급처럼 비정상 행위가 일어나기 전에는 낌새를 알아채기 어렵다.

조 팀장은 "프로그램 개발 단계부터 보안 의식을 갖고 만들어야 파라미터 위변조를 막을 수 있다"며 "해외에서도 기본적인 공격 방식으로 파라미터 위변조 기술을 보고 있다"고 덧붙였다.

◇어디에 사용?=부정 발급받은 아이핀 가운데 12만건은 엔씨소프트, 엑스엘게임즈, 블리자드 엔터테인먼트 등 3개 게임 웹사이트에서 신규 회원 가입, 기존 이용자 계정 수정·변경 등에 이용된 것으로 파악됐다. 장한 행자부 개인정보보호정책과장은 "게임별로 거래사이트를 통해 현금화할 수 있기 때문에 부정 발급받은 아이핀으로 신규 회원 가입을 한 것으로 보인다"고 말했다.

행자부는 부정 발급된 아이핀 전부 긴급 삭제했고, 추가 부정 발급을 차단했다. 2차 피해를 최소화하기 위해 민간 아이핀 기관과 관련 게임사에 사용 내용을 전달, 긴급 사용자 보호조치를 취하도록 했다.

3개 게임사는 부정 발급된 아이핀으로 가입한 신규회원에 대해 탈퇴 조치했다. 사용자 정보를 수정·변경한 경우에는 임시로 사용 중지를 조치했다. 한 게임사 관계자는 "정부 가이드라인대로 대응했고 피해가 거의 없는 것으로 파악하고 있다"고 답했다.

◇누가?=경찰 수사 결과 이번 부정 발급에 2000여개의 국내IP가 동원됐고, 중국어 버전의 소프트웨어가 사용됐다. 장 과장은 "대규모 공격의 대담성 등을 고려하면 해외에서 시도했을 것으로 예상한다"고 말했다. 또, 부정 발급 과정에서 실제 주민번호가 사용됐을 가능성도 제기됐다.

아이핀 발급시스템은 2007년도에 개발됐다. 장 과장은 "(공격자가) 프로그램 상 가장 약한 부분을 연구한 것 같다"며 "매년 2번씩 취약점을 점검하고 있지만, 통상적인 점검으로 잡기 어렵다"고 답했다.

행자부는 공공아이핀센터에 비상대응팀을 구성해 24시간 집중 모니터링체계를 운영하는 한편 관련 기관과 아이핀 발급 인증체계 보안 취약점을 긴급 점검, 개선 조치키로 했다고 밝혔다. 현재 공공아이핀 발급 시스템을 담당하는 한국지역정보개발원(KLID)과 아이핀시스템 전면 재구축 방안 등을 검토할 예정이다.

진달래 기자 aza@mt.co.kr, 남형도 기자 human@mt.co.kr

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>

Copyright © 머니투데이 & mt.co.kr, 무단 전재 및 재배포 금지

이 기사에 대해 어떻게 생각하시나요?