정부, 공공웹사이트 회원가입도 없애기로

  • ▲ 시스템 해킹으로 75만건의 부정발급 논란을 일으킨 공공아이핀 보안에 대한 정부의 종합대책이 나왔다ⓒ뉴데일리 DB
    ▲ 시스템 해킹으로 75만건의 부정발급 논란을 일으킨 공공아이핀 보안에 대한 정부의 종합대책이 나왔다ⓒ뉴데일리 DB

     

    75만건의 부정발급으로 큰 논란을 일으킨 공공아이핀 해킹을 막기 위한 정부의 종합대책이 나왔다.

     

    우선 공공아이핀을 이용하는 가입자들은 오는 5월 1일부터 전원 본인인증을 거쳐 재발급을 받아야 한다. 기존 아이디는 그대로 사용할 수 있지만 패스워드는 반드시 변경해야 한다. 재발급 후에는 공인인증서와 같은 유효기간이 도입돼 이용자는 1년마다 갱신해야 한다.

     

    공공아이핀은 지난달 28일부터 이달 2일까지 단 사흘간 시스템 해킹으로 인해 75만건이 부정 발급된 것으로 파악됐다. 75만건 중 17만건은 3개 게임사이트에서 신규회원 가입이나 이용자 계정 수정·변경에 사용된 것으로 드러났다. 이번 해킹은 주민번호를 도용해 정식으로 발급받은 아이핀을 거래한 것이 아닌 시스템에 침범해 공공아이핀을 대거 만들어내 사용한 것이다.

     

    정부의 대책도 여기에 초점이 맞춰졌다. 공공아이핀 시스템에 민간 아이핀의 해킹방지 기능을 적용하고 2차 패스워드 같은 추가 인증수단이 도입된다. 부정 발급을 시도하는 것으로 의심되는 IP는 접속 즉시 차단되도록 보안을 강화한다. 또 공공아이핀 사용을 최소화하기 위해 공공웹사이트는 원칙적으로 회원가입 없이 이용할 수 있도록 운영지침이 바뀐다.

     

    정부는 25일 이같은 내용의 '공공아이핀 부정발급 재발방지 종합대책'을 발표했다. 행정자치부는 근본적으로 보안수준을 높이기 위해 상반기 중 시스템 전면 재구축 방안을 마련하고 연말까지 사업을 완료할 계획이다.

     

    도입한 지 7년이 지난 노후장비는 교체하는 한편, 보안전문업체에 의뢰해 부정사용방지시스템(FDS) 같은 보안기술을 도입할 예정이다. FDS는 단말기·접속 정보를 분석, 도용이 의심되면 재인증이나 서비스정지 같은 보호조처가 가동되는 보안기법을 말한다.

     

    본인확인수단인 공공아이핀이 남용되지 않도록 제도 개선도 추진된다. 행자부는 공공기관 웹사이트는 원칙적으로 회원가입을 없애고, 본인확인이 꼭 필요한 서비스에만 공공아이핀이 쓰이도록 관련 지침을 개정하기로 했다.

     

    아울러 행자부는 이번 사고를 계기로 정부 내 보안전문가 확충에 나선다. 주요 정보시스템의 보안 전문인력 확충에 병역특례제도를 활용하는 방안도 병무청과 협의할 예정이다. 주요시스템에 대한 보안 운영실태와 최신 해킹기술 대비체계를 점검하는 '주요시스템 보안점검위원회'를 설치하는 방안도 검토한다.

     

    행자부는 "이번 공공아이핀 해킹을 비롯해 사회 전반에 걸쳐 개인정보 유출사고가 계속돼 경찰청, 방송통신위원회, 금융위원회 등 유관기관 합동으로 개인정보 유출사고 재발방지대책을 마련하고 있다"고 밝혔다.