대량 부정발급 사태를 빚은 공공아이핀의 용도가 제한되고 시스템도 전면 재구축된다. 공공아이핀 운영을 보안전문기관에 맡기는 방안도 검토된다.

행정자치부는 이같은 내용을 담은 '공공아이핀 부정발급 사고원인과 재발방지 종합대책'을 25일 발표했다. 본인확인수단인 아이핀이 지나치게 많은 분야에 사용되고 있다는 지적에 따라 꼭 필요한 데만 사용될 수 있도록 관련제도를 바꾼다. 공공기관의 웹사이트는 원칙적으로 회원가입 없이 이용이 가능하도록 개선한다.  연령확인 등 본인확인이 꼭 필요한 서비스에만 필요 최소한의 범위 내에서 공공아이핀이 사용되도록 관련지침을 개정할 계획이다.

사고에 대한 책임과 제2의 보안사고 예방을 위해 공공아이핀 관리․운영 주체를 전문보안기관으로 이관하는 방안도 검토 중이라고 밝혔다.

상반기 중에 아이핀 시스템도 전면 개편한다. 보안전문업체를 통해 공공아이핀 업무처리절차, 시스템 구조․성능, 관리․운영상 문제점 등을 종합 검토할 계획이다. 이후 시큐어 코딩 적용, 부정사용방지시스템(FDS) 도입 방안, 노후장비 전면 교체 등 시스템 전면 재구축 방안을 금년 상반기 중으로 마련한다.민간 아이핀에서 사용하는 앞선 기능을 받아들여 보안 시스템도 강화한다. '해쉬함수' 검증 등 민간아이핀에서 사용하는 해킹방지 기능과 2차 패스워드 등 추가 인증수단을 도입하고, 부정발급이 의심되는 국내외 IP를 접속 시도 즉시 차단할 계획이다.  금융기관에서 운영 중인 부정사용방지시스템(FDS, Fraud Detection System)을 공공아이핀시스템에 도입한다. 화이트해커 등을 활용해 모의해킹을 정기적으로 실시하는 등 취약점을 점검할 예정이다. 

행자부 내 전문인력 보강을 위해 정보보호 전문인력은 순환보직에서 제외하고 평가에 따라 우선 승진시키는 등 관련 인사제도 개편을 검토한다.  주요 정보시스템의 보안 전문인력 확충에 병역특례제도를 활용하는 방안을 병무청과 협의해 나갈 예정이다.  행자부 차관을 위원장으로 하는 '주요시스템 보안점검위원회' 설치도 검토하고 있다.

또 민관합동 '공공아이핀 부정발급 대책 수립 TF 관계기관 합동점검단'은 이번 공공아이핀 대량부정발급 사태의 원인은 시스템 설계의 오류라고 밝혔다.

합동점검단장인 노병규 한국인터넷진흥원(KISA) 개인정보보호본부장은 “해커가 설계상 오류를 악용해 정상발급 절차를 우회한 뒤 파라미터를 변조해 아이핀을 대량으로 부정발급 받은 것"이라며 "해킹 경로로 이용된 프로그램 오류는 한국지역정보개발원에서 사고 발견 즉시 수정했다"고 설명했다. 

발급건수 급증 등 이상징후에 대한 관제체계가 없었으며, 공공아이핀이 개발된 2008년 이후 프로그램 업그레이드와 보안 투자가 미흡했던 것으로 드러났다.  위탁운영기관의 관리역량과 전문성 부족도 원인 중 하나로 지적됐다.

정재근 행정자치부 차관은 “이번에 수립된 재발방지 종합대책을 차질없이 추진해 다시금 이와 유사한 사고가 재발하지 않도록 하겠다”고 말했다.


nevermind@