‘공공아이핀 부정발급 재발방지 종합대책’ 발표 행정자치부

시사투데이 이명선 기자] 5월 1일부터 모든 공공아이핀 사용자는 본인인증을 다시 받아야 하고 재발급 후에는 매년 갱신해야 한다. 행정자치부는 이와 같은 내용의 ‘공공아이핀 부정발급 재발방지 종합대책’을 25일 발표했다.

이번 대책은 지난 2월 28일부터 3월 2일 발생한 공공아이핀 부정발급 사고 후 가동된 민관합동 ‘공공아이핀 부정발급 대책 수립 테스크포스’에서 합동점검단이 사고원인을 심도 있게 검토해 마련됐다.

합동점검단장인 노병규 한국인터넷진흥원(KISA) 개인정보보호본부장은 “금번 사고의 원인은 해커가 설계상 오류를 악용해 정상발급 절차를 우회한 뒤 프로그램을 실행할 때 명령의 세부적인 동작을 구체적으로 지정하는 숫자나 문자인 파라미터를 변조해 아이핀을 대량으로 부정발급 받은 것이다”고 했다.

이어 “발급건수 급증 등 이상징후에 대한 관제체계가 없었고 공공아이핀이 개발된 2008년 이후 프로그램 업그레이드와 보안 투자가 미흡했던 것으로 드러났다. 위탁운영기관의 관리역량과 전문성 부족도 사고의 원인 중 하나로 지적됐다”고 했다.

합동점검단은 이번 사고의 원인과 함께 공공아이핀 보안강화 대책을 발표했다. 우선 공공아이핀은 오는 5월 1일부터 일제 정비기간을 설정해 모든 사용자가 본인확인 후 재사용 하도록 했다. 공공아이핀 유효기간은 1년으로 제한해 공인인증서와 같이 매년 갱신해야 한다. 또한 ‘3개월에 한 번씩 비밀번호 변경하기’ 캠페인도 실시할 계획이다.

본인확인 수단인 공공아이핀이 과도하게 사용되고 있다는 지적에 따라 꼭 필요한 데에만 아이핀이 사용될 수 있도록 관련제도도 바꿀 예정이다. 공공기관 웹사이트는 원칙적으로 회원가입 없이 이용 가능하도록 개선하고 연령확인 같이 본인확인이 꼭 필요한 서비스에만 최소한의 범위 내에서 사용되도록 할 계획이다.

행자부는 보안전문업체를 통해 공공아이핀 업무처리절차, 시스템 구조·성능, 관리·운영상 문제점 등을 종합 검토한 후 시큐어 코딩 적용, 부정사용방지시스템(FDS) 도입 방안, 노후장비 전면 교체 등 시스템 전면 재구축 방안을 올 상반기 중 마련할 계획이다.

이외에도 경찰청, KISA, 민간아이핀 등 관계기관과 정기적으로 보안이슈를 공유하고 좀비서버·IP파악·제거, 위기상황 시 피해확산 방지를 위한 위기대응체계 구축 등 협력체계도 강화해 나갈 계획이다.

행자부 정재근 차관은 “사회 전반에 걸쳐 개인정보 유출사고가 지속되고 있어 경찰청, 방송통신위원회, 금융위원회 등 유관기관 합동으로 개인정보 유출사고 재발방지대책도 마련 중에 있다”며 “이번에 수립된 재발방지 종합대책을 차질 없이 추진해 이와 유사한 사고가 재발하지 않도록 하겠다”고 했다.

[ⓒ 시사투데이. 무단전재-재배포 금지]