정부가 주민등록번호의 대안으로 제시했던 공공아이핀이 해킹 폭격을 맞았다.
행정자치부는 지난달 28일부터 이달 2일까지 지역정보개발원이 관리하고 있던 공공아이핀 발급 시스템에서 75만건 가량이 부정한 방법으로 무단 발급된 것을 확인했다고 5일 밝혔다.
행자부는 이날 브리핑에서 “짧은 시간 내에 75만건을 발급받을 정도로 대담한 범행”이라며 “게임 사이트에서 기존 계정의 정보를 찾으려 했었고 상당수를 신규로 만들었기 때문에 소수보다는 팀으로 한 범행 같다”고 밝혔다.
전문가들은 이번 공공아이핀 사고가 발급 과정의 취약점을 노린 범행으로 보고 있다. 일반적으로 아이핀은 ‘개인정보 입력-본인확인-아이핀 발급’의 세 단계로 구성이 되는데 앞의 1, 2단계를 해킹으로 뛰어넘어 3단계에서 발급을 한다면 이를 걸러낼 수 있는 방법이 없다는 것이다. 특히 게임 사이트에서는 가입할 때 사용한 아이핀이 정상적인지 불법인지 판별할 수 있는 시스템이 없다. 발급 단계에서부터 불법적으로 생성된다면 게임 업체에서는 불법 여부인지 알지 못하고 가입할 수 있도록 한다는 것이다.
이렇게 부정적으로 발급된 공공아이핀 75만 건 중 17만 건 가량이 게임 사이트 회원 가입과 계정 수정 등에 사용된 것으로 알려졌다. 부정 발급된 공공아이핀이 사용된 곳은 엔씨소프트, 엑스엘게임즈, 블리자드 엔터테인먼트 등 3곳이다. 현재 불법 아이핀이 사용된 계정은 행자부의 지침에 따라 정지조치를 완료한 상태다.
엔씨소프트 관계자는 “불법으로 생성된 아이핀을 사용한 계정은 현재 블럭(BLOCK·계정 차단)처리를 해뒀다”며 “앞으로 계정을 영구적으로 삭제할지 여부에 대해서는 행자부의 지침을 기다리고 있다”고 설명했다. 아이핀 해킹으로 인한 고객·게임사의 피해 사례는 현재 접수되지 않았다.
다만 모바일게임 업계에서는 아이핀으로 인한 피해는 없을 것으로 보고 있다. 모바일게임에 가입하기 위해서는 구글플레이·카카오 계정 등을 통한 가입이 이뤄지고 있어 아이핀이 사용되지 않기 때문이다.
민간아이핀 발급을 담당하고 있는 KISA는 공공아이핀과는 달리 해킹에 안전하다고 밝혔다. KISA 관계자는 “최근 별도로 점검을 실시했는데 불법 발급과 같은 취약성에 대한 문제는 없었다”며 “앞으로 추가적으로 모니터링과 점검을 강화하고 2차 인증을 의무화 하는 등의 방안도 추진할 계획”이라고 밝혔다.