행자부, 해킹 의미 축소에만 급급

공공 아이핀 부정 발급에 대한 행정자치부의 기본적인 입장은 “프로그램의 취약점을 악용한 것이며, 이로 인한 피해는 거의 없다”는 것으로 요약된다. 반면 그동안 아이핀 정책을 비판해온 전문가들은 “취약한 것은 아이핀 그 자체이며, 개인정보 유출 피해는 이미 예견됐다”고 꼬집는다.

5일 행자부에 따르면 해킹은 ‘파라미터 위·변조’라는 수법으로 공공 아이핀 시스템의 취약점을 공격했다. 공공 아이핀에 가입하려면 공인인증서로 본인인증을 거쳐야 하는데, 본인인증이 정상적으로 이뤄진 것처럼 시스템이 오인하도록 데이터(파라미터값)를 변조해 본인인증을 사실상 건너뛰었다. 행자부에선 “파라미터 위·변조 방지는 민간에는 다 돼 있는 초보적인 부분”이라고 밝혔지만 “왜 초보적인 대비도 없었던 것인가”라는 질문에 대해서는 즉답을 피했다.

행자부는 기존에 유출된 주민등록번호와 이름으로 실명확인을 하는 단계를 거쳤는 지는 아직 확인하지 못했다. 이번 해킹 공격에는 2000개가 넘는 국내 아이피(IP)가 동원됐고 중국어 버전 소프트웨어도 사용됐다. 행자부는 “짧은 시간에 대규모로 이뤄진 것으로 봐서 조직적인 범행으로 본다”면서 “내부 관계자 공모 가능성은 전혀 없다”고 단정했다. 재발 가능성을 묻는 질문에는 “없다고 단정해서 말할 수는 없다”고 밝혔다.

정부는 2012년 헌법재판소가 제한적 본인확인제를 위헌으로 판결하고 주민등록번호가 대량으로 유출되는 사고가 잇따르자 2013년부터 공공 아이핀 사용을 본격 장려했다. 현재까지 약 430만명이 공공 아이핀을 발급받았다. 하지만 이번 해킹사고는 공공 아이핀 역시 주민등록번호처럼 대량유출될 수 있고 도용도 가능하다는 걸 드러냈다. 아이핀을 부정 발급받은 뒤 오프라인용 아이핀인 마이핀(My-PIN)을 발급받는 것도 기술적으론 가능하다.

행자부는 아이핀 해킹 사고의 의미를 축소하기에 급급하다는 비판을 받고 있다. 2일 상황을 인지한 뒤 사흘이 지난 5일 오전 11시50분이 되어서야 언론에 보도자료를 배포했다. 오후 기자간담회에선 책임자끼리 서로 말이 다르거나, 본인 말을 뒤집었다. 가령 처음엔 “본인확인과 공인인증서 단계를 건너뛰었다”고 설명하다가 나중에는 “기존에 유출된 주민등록번호와 실명을 확인해 본인확인을 거쳤다”고 한 뒤, 결국 “본인확인은 거친 것으로 추정한다”고 오락가락했다.

진보네트워크센터는 긴급 논평을 통해 “아이핀은 애초 도입되지 말았어야 했다”고 강조했다. 오병일 활동가는 “해킹 피해를 최소화하려면 정보수집을 최소화해야 하지만 아이핀은 불필요한 본인확인을 강요한다”면서 “주민등록번호가 문제인 것은 만능열쇠이기 때문인데 아이핀도 또다른 만능열쇠로 기능한다면 주민등록번호와 동일한 문제가 발생 할 수밖에 없다”고 말했다.

강국진 기자 betulo@seoul.co.kr