[사설]해킹당한 정부 아이핀, 시민은 불안하다

정부가 주민등록번호 대신 도입, 관리해온 공공 아이핀이 뚫렸다. 해커 공격으로 아이핀이 대규모로 부정 발급된 사실이 확인된 것이다. 온라인상의 개인식별번호인 아이핀은 민간과 공공이 각각 운영 중인데 이번에 공공 아이핀에서 대형 사고가 났다. 잇단 주민등록번호 유출과 도용 사고 방지를 위해 도입한 아이핀 시스템마저 구멍이 뚫렸으니 충격적이다.

행정자치부에 따르면 최근 행자부 산하 지역정보개발원이 관리하는 공공 아이핀 시스템에서 아이핀 75만여건이 부정발급됐다. 그간 주민등록번호를 도용한 아이핀 부정발급 사건은 간혹 발생했으나 해커가 시스템에 침입해 아이핀을 대거 발급받은 것은 이번이 처음이다. 도대체 어떻게 해야 개인정보가 보호될 수 있는지 불안하다.

공공아이핀 홈페이지 (출처 : 경향DB)

이번에 드러난 정부의 아이핀 관리 및 점검 체계의 문제점은 한둘이 아니다. 특히 초보적 해킹 방식에 속수무책으로 당한 것은 반드시 짚고 넘어가야 한다. 공공 아이핀 가입 시 거쳐야 하는 본인 인증이 정상적으로 이뤄진 것처럼 시스템이 오인하도록 데이터를 변조해 본인 인증 단계를 사실상 건너뛰도록 하는 ‘파라미터 위·변조’ 수법이 사용됐는데, 이는 기초적인 해킹 방식이라고 한다. 더구나 민간업체 아이핀 시스템에는 파라미터 위·변조 방지 장치가 구축된 것으로 확인됐다. 공공의 개인정보 보호체계가 민간보다 훨씬 못하다는 얘기다. 56시간에 걸쳐 공공 아이핀이 대규모로 부정발급되는 것을 전혀 파악 못한 보안체계도 한심하다. 또한 정부는 2007년 공공 아이핀 시스템 개발 후 매년 두 차례 취약점을 점검해왔으나 이번 사고를 막지 못했다. 개인정보 유출사고를 숱하게 겪고도 교훈을 얻지 못한 셈이다.

이번 사고는 갈수록 진화하는 사이버 범죄에 정부가 효율적으로 대처하지 못하고 있음을 잘 보여준다. 정부는 사고 뒤 부정발급 아이핀 75만여건을 삭제하고 게임사이트에 사용된 12만여건은 사용중지 조치를 취했지만 보다 근본적인 대책이 필요하다. 취약점을 노출한 공공 아이핀 시스템의 전면 재구축 방안을 모색해야 한다. 차제에 문제가 된 본인확인 제도를 폐지하는 방안도 진지하게 검토하기 바란다. 개인정보를 수집하지 않으면 유출될 위험도 없다. 그러나 이 같은 실무적 대처보다 더 중요한 것은 정부가 개인정보 보호에 한 치의 허점도 없도록 모든 노력을 다해야 한다는 것이다.