'아이핀 해킹' 개인정보 더 이상 안전한 곳 없다

공공 아이핀이 해킹 공격에 의해 뚫리는 초유의 사태가 발생했습니다.  행정자치부는 지난달 28일부터 2일 오전까지 공공 아이핀 시스템이 해커의 공격을 받아 아이핀 75만 건이 부정 발급됐노라고 밝혔습니다. 

 

아이핀(i-PIN)이란 인터넷상에서 회원가입이나 주요 서비스를 이용하기 위해 개인의 주민등록번호를 수집하고 이용하는 일이 잦아지면서 주민등록번호의 대규모 유출, 도용 따위의 각종 범죄에 노출되는 부작용이 잇따르자 이를 해결하기 위해 지난 2006년부터 정부가 도입한 본인 인증 방식입니다.  주민등록번호를 검증된 제3의 인증기관에 통합 보관하고 개인에게 발급된 번호를 대조하는 방식으로 발급이 이루어지고 있습니다.

아이핀은 관리 주체에 따라 공공과 민간 부문으로 나뉘며 공공 아이핀은 한국지역정보개발원이, 민간 아이핀은 나이스신용평가정보, KCB, 서울신용평가정보 등 민간 3개사에서 관리하고 있습니다.  그 중 한국지역정보개발원에서 관리하고 있는 공공 아이핀 시스템을 통해 아이핀 75만 건이 부정 발급된 것입니다.  이는 정상 발급된 공공 아이핀(426만건)의 17%에 달하는 규모입니다.  다행히 민간에서는 관련 피해가 없었던 것으로 전해집니다.

 

사실 아이핀 관련 해킹은 수년전부터 지속돼 왔기에 큰 이슈가 될 만한 사안이 아닐 수도 있습니다만, 이번 해킹은 과거의 사례와는 그 방식과 성격이 사뭇 달라 우려를 낳게 하고 있습니다.  우선 공공 아이핀 해킹은 최초의 사례라는 점을 꼽을 수 있으며, 무엇보다 시스템 자체가 뚫렸다는 사실이 가장 심각하게 받아들여지고 있습니다.  즉 그동안의 해킹은 훔친 개인정보를 이용해 아이핀을 부정 발급 받는 방식으로 이뤄져 왔으나 이번엔 아예 해커가 시스템 자체에 침입한 채 이를 헤집고 다니며 보안 시스템을 무력화시켰기 때문입니다.  발급 시스템 자체가 해킹에 노출된 건 사상 초유의 일이기에 더욱 엄중한 상황입니다.   

 

부정 발급된 아이핀 75만건 중 12만건은 이미 엔씨소프트 등 3개 게임 웹사이트에서 신규 회원 가입 및 기존 이용자 계정 수정 변경 등에 이용된 것으로 파악됐습니다.  2차 피해가 발생한 셈입니다.  그럼에도 불구하고 사건이 벌어진 지 수일이 지날 때까지 발표조차 않으며 쉬쉬하던 정부는 해당 사건을 접한 기자들의 브리핑 요청이 있자 이에 마지못해 응한 뒤, 이번 사태를 치기어린 해커들의 장난에 의한 단순 해프닝 쯤으로 받아들인 듯 공공 아이핀 부정발급에 따른 실질적인 피해가 없었다는 점만을 부각시킨 것으로 전해집니다. 

 

 

이게 도대체 무슨 말인 걸까요?  지금 당장 눈에 드러나는 피해가 없다고 하여 해킹 피해를 이렇듯 가볍게 취급하다니, 이쯤되면 과연 정부가 디지털의 특성에 대한 이해 따위를 제대로 하고 있는 건지 의심스러운 상황이 아닐 수 없습니다.  하지만 정부의 뒤늦은 조치와 호언장담에도 불구하고 앞서 언급된 게임 사이트에서의 아이템이 도난당하는 등 관련 피해를 호소하는 신고가 줄을 잇고 있습니다.  아이핀에 대한 불신이 극에 달해가고 있다는 방증입니다.

 

이외에도 어떤 형태로든 추가 피해가 발생할 여지는 충분합니다.  더욱 우려스러운 점은 이번에 해킹된 공공 아이핀 시스템엔 수많은 개인정보가 저장돼 있는 터라 부정발급 과정에서 또 다른 개인정보들이 대거 유출됐을 가능성을 배제할 수 없다는 사실입니다.  실질적인 피해가 없다며 마냥 안심하라는 정부를 도무지 믿을 수 없는 이유입니다.

아울러 공공 아이핀이 민간에 비해 해킹 공격에 매우 취약하다는 사실이 이번 사태를 통해 여실히 드러났습니다.  애초 해커의 공격은 공공 아이핀만을 특정한 게 아닌 듯 싶으며, 민간 아이핀은 공공 아이핀과 달리 해커의 공격을 잘 막아낸 것으로 보입니다.  해커의 아주 기초적인 공격조차 막아내지 못한 건 결국 정부가 관리하고 있는 공공 시스템이었던 셈입니다.  그동안 주민등록번호 대신 온라인 본인 인증 수단으로 아이핀을 적극적으로 홍보해온 정부 입장에선 체면을 제대로 구긴 데다, 개인정보 보호 정책과 관련한 국민의 신뢰를 한꺼번에 잃는 최악의 결과를 빚고 말았습니다.   

 

지난해 초 발생했던 카드 3사 개인정보 유출 대란을 비롯 수회에 걸쳐 빚어진 개인정보 유출 사태는 업종 불문하고 잊을만 하면 한 번씩 불거지는 그다지 달갑지 않은 불청객입니다만, 이젠 최후의 보루라 여겨져오던 정부마저 해킹에 뚫리는 상황이다 보니 개인정보를 안심하고 이용할 수 있는 영역은 우리 사회에 더 이상 존재하지 않게 됐습니다.  정부는 뒤늦게 유사사고 재발 방지를 위해 비상대응팀을 꾸려 24시간 집중 모니터링 체계를 운영하고, 공공 아이핀 시스템의 전면 재구축 방안도 고려하겠노라 밝히고 있습니다.  그러나 이미 신뢰를 잃은 뒤입니다.  

 

이번 해킹 사태에서 무엇보다 가장 큰 문제점으로 다가오는 건 아이핀 시스템이 해킹에 의해 뚫렸다는 사실 자체보다 개인정보에 대한 정부의 낮은 인식과 사전 대비에 소홀한 채 사건이 발생하자 책임 회피에만 급급해 하는 안이한 태도 때문이 아니었는가 싶습니다.  그동안 수많은 유사 사례를 겪어온 정부는 결과적으로 변한 게 하나도 없다는 의미입니다.  개인정보 보호에 대한 우려가 갈수록 커져가고 있는 상황에서 이렇듯 이의 보호에 무신경하고 무책임하기까지 한 정부를 여러분은 과연 믿을 수 있겠습니까?