행자부 사흘 지나 공개 논란

정부가 주민등록번호 대체수단이라며 사용을 독려해 온 공공아이핀(I-PIN)이 해킹 공격에 무너졌다. 75만건에 이르는 아이핀이 부정 발급됐다. 행정자치부는 지난 2일 사고를 파악한 뒤 사흘이 지난 5일이 되어서야 해킹 사실을 언론에 공개했다. 행자부는 지금도 아이핀 발급을 계속하고 있지만 보안전문가들은 예견됐던 일이 발생한 것이라며 아이핀 정책 자체를 전면 재검토해야 한다고 지적한다.

행자부에 따르면 공공아이핀 시스템이 해킹 공격을 받은 것은 지난달 28일부터 지난 2일 오전까지였다. 주민등록번호 도용에 따른 아이핀 부정 발급은 있었지만 공공아이핀 시스템 자체가 외부 공격에 뚫린 것은 처음이다. 행자부는 지난 주말 급격히 아이핀 발급량이 증가하자 경위를 조사한 결과 해킹 및 부정 발급 사실을 확인했다.

현재까지 부정 발급된 공공아이핀은 약 75만건이다. 이 가운데 12만건은 유명 게임사이트 세 곳에서 신규 회원가입이나 이용자 계정 수정·변경 시도에 사용됐다. 행자부는 부정 발급된 공공아이핀 전부를 긴급 삭제했다. 또 게임사이트 운영업체에 통보해 신규회원은 강제 탈퇴 조치하고, 이용자 계정을 수정한 회원 아이디는 사용을 잠정 중지시켰다. 장한 개인정보보호정책과장은 “게임 아이템 탈취 등 실질적인 피해 사항은 지금까지 보고받은 게 없다”고 말했다.

정부는 아이핀이 주민등록번호를 대체함으로써 개인정보보호에 이바지할 것이라고 홍보해 왔지만 이번 사고를 계기로 신뢰를 잃게 됐다. 오병일 진보네트워크센터 활동가는 “아이핀을 통해 본인 확인을 하겠다는 발상 자체가 2012년 8월 제한적 본인확인제를 위헌이라 규정한 헌법재판소 결정을 부정하는 것”이라고 비판했다.

강국진 기자 betulo@seoul.co.kr