주민등록번호의 대체제로 정부와 KISA에서 제시한 아이핀… 하지만 그 아이핀 마저 아이핀 관리 시스템 취약성으로 인해 75만건이 일시에 부정 발급 되는 보안 사고가 발생했다. 이로써 주민등록 번호와 크게 다를 바 없는 단순한 “일련번호와 같은 숫자”로 개인을 식별하려는 그 어떤 시스템도 보안 취약점만 발견되면 언제든 무력화 될 수 있다는 사실이 입증된 사건이라고 할 수 있다.
해킹에 의한 대량의 아이핀 부정 발급 사건 (2015년 2월)
2015년 2월 28일에서 3월 2일 사이에 발생한 이번 해킹 사건은 지금까지의 아이핀 부정 발급이 주로 개인정보 도용에 의한 것인 것과는 달리 공공 아이핀 시스템의 해킹을 통한 아이핀 대량 부정 발급이라는 점에서 아이핀 시스템 자체의 취약성이 매우 심각할 수도 있다는 것을 의미한다.
그리고 이번 해킹으로 부정 발급된 75만 건의 아이핀은 주로 게임사이트 등에서 이미 사용된 것으로 확인이 되었다고 한다.
이렇게 부정 발급된 아이핀은 게임 사이트에서 아이디 탈취 등에 악용될 수 있기 때문에 아이디를 탈취하여 게임 아이템을 팔고 대포 통장으로 송금 받는 등의 피해가 발생했을 가능성이 높다. 그 외에도 매우 치명적인 사고의 주범으로 탈취된 아이핀이 악용될 수 있다는 점에서 매우 심각한 사태가 아닐 수 없다.
대한민국의 인증 강박증
우리나라의 인증 강박증은 세계적으로 유명하다. 모든 인터넷 서비스, 예를 들면 게시판에 댓글을 달 때 조차 실명 인증을 강요하는 보안이 철저한(?) 우리나라에서 개인정보 유출사고가 빈번하게 발생하고 그로 인해 심각한 피해가 발생하는 이유는 아이러니하게도 실명 인증(신원확인)에 대한 강박에서 비롯된다. 인증을 강화하는데 그 결과로 개인정보가 보호되는 것이 아니라 개인정보 유출 사고가 증가하는 역설적인 현상이 발생하는 것이다.
우리나라의 모든 공공기관과 기업에서는 고객과 국민 개인의 신원 확인에 이상하리 만치 집착을 보인다. 누가 누구 인지를 식별하고 본인인증을 받아야만 한다는 강박에 사로잡혀 있는 것이다. 그래서 공공기관과 기업은 과거 1968년 부터 간첩색출 등을 주 목적으로 만들어진 “주민등록번호”라는 전 국민에게 부여된 일련번호를 개인 식별과 인증에 사용하기 시작했다. 그리고 그때부터 인증강박증이 시작되었다. 주민번호에 의한 실명 확인을 하지 않는 시스템은 안전하지 않다는 불안감에 휩싸이는 것이다.
공공기관과 기업은 고객과 국민들에게 서비스를 제공하는 시스템을 만들면서 주민등록번호를 이용해 누워서 떡먹기 수준의 개발이 무척 간단한 개인 식별 및 인증 시스템을 구축하기 시작했다. 해외 처럼 매우 다양하고 복잡한 수단을 이용해 개인을 식별해야 하는 시스템을 구축하지 않고 Unique(고유한)한 주민등록번호를 이용하니 비용도 줄이고 시스템 개발도 쉽게 할 수 있었다. 한마디로 거저 먹었다는 표현이 적합할 것이다. 이렇게 편리하게 개인을 식별할 수 있다 보니 공공기관과 기업은 주민등록번호에 중독되었다 해도 될만큼 인증에 대한 강박증이 생겨버렸다.
하지만 정보 기술 환경이 좋아지면서 문제가 발생하기 시작한 것이다. 범죄자나 해커가 수 많은 개인정보 중 하나일 뿐인주민등록 번호만 획득하면 범죄의 타겟을 손쉽게 특정할 수 있고 여러 곳에서 빼낸 다양한 개인정보를 주민번호를 키(Key)로 하여 조합하여 완벽한 개인정보를 얻을 수 있게 된 것이다.
해커들에게 그야말로 대한민국 국민의 주민등록번호는 개인정보를 줄줄이 얻을 수 있는 개인정보 노다지의 시발점인 셈이고 그 시발점을 국가가 만들어 놓은 것이다.
아이핀 부정 발급에 악용된 취약점(파라미터 변조 취약점)
이번 아이핀 75만건 부정 발급에 이용된 공공 아이핀 시스템의 취약점은 “파라미터 변조 취약점”이다. 웹 서비스로 구성된 모든 애플리케이션은 기본적으로 파라미터 변조 공격에 노출되게 마련이다.
파라미터 변조 취약점은 클라이언트 서버 방식 혹은 웹 서비스와 같이 브라우저와 웹 서버처럼 분리된 환경에서 정보를 주고받거나 하나의 시스템 내에서 실행되더라도 여러 개의 프로세스가 서로 정보를 주고 받으며 동작하는 경우에 발생할 수 있는 매우 기본적인 취약점이다.
이번 사고의 경우 해커는 아이핀의 발급에 필요한 사전 사용자 인증 과정을 수행하는 웹 페이지에서 다음 단계인 발급 단계로 진행될 때 전달되는 정보(파라미터)를 변조하여 부정 발급을 받은 것이다.
이와 관련한 기술문서가 한국인터넷 진흥원의 인터넷침해대응센터에 공개되어 있다. (보러 가기)