[뉴스토마토 류석기자] 앞으로 공공아이핀은 꼭 필요한 경우에 한해 사용하는 것으로 활용도가 제한된다. 5월1일을 기준으로 모든 사용자가 본인확인 후 재발급받아야 한다. 

 

행정자치부(행자부)는 지난 2월28일~3월2일 발생한 공공아이핀 부정발급 사고와 관련해 사고원인과 재발방지 종합대책을 25일 발표했다. 행자부는 공공아이핀의 운용 시스템이 전면 재구축하는 등 부정발급을 막기위한 종합적인 대책을 추진할 계획이다.

 

합동점검단장인 노병규 한국인터넷진흥원(KISA) 개인정보보호본부장은 "이번 사고의 원인이 공공아이핀시스템의 설계상 오류에서 비롯됐다"고 설명했다.

 

합동점검단에 따르면 이번 사고는 해커가 설계상 오류를 악용해 정상발급 절차를 우회한 뒤 파라미터를 변조해 아이핀을 대량으로 부정발급 받았다. 또 발급건수 급증 등 이상징후에 대한 관제체계가 없었으며, 시스템에 대한 업그레이드와 보안 투자가 미흡했다. 아울러 위탁운영기관의 관리역량과 전문성 부족도 금번 사고의 원인 중 하나로 지적됐다.

 

합동점검단은 공공아이핀 보안강화대책도 발표했다.

 

먼저, 민간아이핀에서 사용하는 해킹방지 기능(해쉬함수 검증)과 2차 패스워드 등 추가 인증수단을 도입하고, 부정발급이 의심되는 국내외 IP를 접속 시도 즉시 차단할 계획이라고 밝혔다.

 

또 시큐어 코딩 적용, 부정사용방지시스템(FDS) 도입, 노후장비 전면 교체 등 시스템 전면 재구축 방안을 상반기 중으로 마련할 계획이다. 화이트해커 등을 활용해 실제 공격상황에 버금가는 모의해킹을 정기적으로 실시하는 등 취약점 점검도 강화한다.

 

아울러 행자부는 앞으로는 꼭 필요한 데에만 아이핀이 사용될 수 있도록 관련제도를 바꿀 예정이다. 공공기관의 웹사이트는 원칙적으로 회원가입 없이 이용이 가능하도록 개선한다. 연령확인 등 본인확인이 꼭 필요한 서비스에만 필요 최소한의 범위 내에서 공공아이핀이 사용되도록 관련지침을 개정할 계획이다.

 

이와 함께 공공아이핀 관리·운영 주체를 전문보안기관으로 이관하는 방안도 검토 중이다. 또 오는 5월1일부터 일제 정비기간을 설정해 모든 사용자가 본인확인 후 재사용토록 함으로써 그동안 도용되었거나 타인 명의로 부정발급된 공공아이핀을 일제히 정비해 나갈 방침이다.

 

정재근 행정자치부 차관은 "이번에 수립된 재발방지 종합대책을 차질없이 추진해 다시금 이와 유사한 사고가 재발하지 않도록 하겠다"고 말했다.