[미디어펜=온라인뉴스팀] 앞으로 공공아이핀은 꼭 필요한 경우에 한해 사용하는 것으로 제한된다. 더불어 공공아이핀의 운용 시스템이 전면 재구축되는 등 공공아이핀 부정발급을 막기위한 종합적인 대책이 추진된다.
행정자치부는 지난 2월28일~3월2일까지 발생한 공공아이핀 부정발급 사고와 관련해 사고원인과 재발방지 종합채책을 25일 발표했다.
관계기관 합동점검단장인 노병규 한국인터넷진흥원(KISA) 개인정보보호 본부장은 "이번 사고의 원인이 공공아이핀시스템의 설계상 오류에서 비롯됐다"고 말했다.
이는 해커가 설계상 오류를 악용해 정상발급 절차를 우회한 뒤 파라미터를 변조해 아이핀을 대량으로 부정발급 받은 것이다.
또한 발급건수 급증 등 이상징후에 대한 관제체계가 없었으며 공공아이핀이 개발된 2008년 이후 프로그램 업그레이드와 보안투자가 미흡했던 것으로 드러났다.
더불어 위탁운영기관의 관리역량과 전문성 부족도 이번 사고의 원인으로 지적됐다.
노 본부장은 "이번 해킹 경로로 이용된 프로그램 오류는 한국지역정보개발원에서 사고 발견 즉시 수정했다"고 설명했다.
이에 따라 공공아이핀시스테 보안을 한층 더 강화키로 했다. 먼저 민간아이핀에서 사용하는 해킹방지 기능과 2차 패스워드 등 추가 인증수단을 도입하고 부정발급이 의심되는 국내외 IP를 접속 시도 즉시 차단할 방침이다.
현재 금융기관에서 운영 중인 부정사용방지시스템(FDS)을 공공아이핀시스템에 도입하는 한편, 화이트해커 등을 활용해 실제 공격상황에 버금가는 모의해킹을 정기적으로 실시하는 등 취약점 점검도 강화해 나갈 예정이다.
특히, 본인확인수단인 아이핀이 과도하게 사용되고 있다는 지적에 대해 앞으로 꼭 필요한 데에만 아이핀이 사용될 수 있도록 관련제도를 바꿀 계획이다.
공공기관 웹사이트는 원칙적으로 회원가입 없이 이용이 가능토록 개선하며 연령확인 등 본인확인이 꼭 필요한 서비스에만 필요 최소한의 범위 내에서 공공아이핀이 사용되도록 관련지침을 개정할 예정이다.
이밖에 행자부 내 주요시스템에 대한 보안 운영실태와 최신 해킹기술 대비체계 점검 등을 위해 '주요시스템 보안점검위원회'설치도 검토 중이다.
정재근 행정자치부 차관은 "이번에 수립된 재발방지 종합대책을 차질없이 추진해 다시금 이와 유사한 사고가 재발하지 않도록 하겠다"고 강조했다.