-해킹조직, 본인인증절차 뛰어넘어 발급
-8년 전도 유사수법 발생, 개선 안된것
-온라인게임 아이템 거래에 악용 많아
-해킹 피해사실 통보로 2차 피해 막아야
■ 방송 : CBS 라디오 FM 98.1 (07:30~09:00)
■ 진행 : 박재홍 앵커
■ 대담 : 이경호 (고려대 정보보호대학원 교수)
요즘 인터넷에서 주민등록번호 대신에 본인 확인을 위해 아이핀을 쓰시는 분들 많으시죠? 그런데 지난 주말 이 아이핀이 해킹조직에 의해서 본인도 모르는 사이에 75만건이나 부정 발급되어 충격을 줬습니다. 정부에서는 안전성을 강조하면서 사용 권장을 했던 터라 해킹 소식이 알려지자 탈퇴행렬이 속출하고 있다고 하는데요. 이번 아이핀 해킹. 어떻게 가능했던 것이고 예산되는 추가 피해는 없는지 IT 전문가의 의견 들어보도록 하겠습니다. 고려대학교 정보보호대학원의 이경호 교수 연결되어 있습니다. 교수님, 안녕하세요.
◆ 이경호> 안녕하세요.
◇ 박재홍> 일단 이번 해킹 사건을 통해 유출된 아이핀. 모르는 분들을 위해서 간단히 설명해 주실까요?
◆ 이경호> 과거에 인터넷을 이용할 때 주민등록번호를 가지고 회원가입을 했는데요. 이 주민번호가 워낙 국민 전체 생활에 민감하게 작용되고 있기 때문에 주민번호를 제거하고 그 대신에 대체할 번호를 만든 게 아이핀입니다. 그래서 인터넷 가입할 때만 쓸 수 있는 그런 번호라고 보시면 되겠습니다.
◇ 박재홍> 주민등록번호가 많이 노출이 되면서 피해를 방지하기 위해서 만들어진 게 아이핀이었는데요. 그런데 이번에 해커조직에 의해서 아이핀 시스템이 해킹을 당했다고 하는데요. 아이핀이 얼마나 많이 광범위하게 쓰이고 있는 건가요?
◆ 이경호> 아이핀이 도입된 건 2007년부터인데요. 이번에 해킹을 당한 공공아이핀센터 같은 경우에는 그동안에 426만건 정도가 발급이 됐고요. 그다음에 민간에서는 1526만건 정도가 발급이 되어서 총 2000만건이 발급이 됐으니까요. 주민등록번호를 어느 정도 대체할 수 있는 정도는 됐다고 보고 있고요. 그래서 상당히 많이 확대보급이 된 상태입니다.
◇ 박재홍> 2000만 이상 발급이 되었기 때문에 실제로 많이 쓰고 계신 건데, 해킹이 됐다고 해요? 정부에서도 그만큼 안정성이 있어서 권장한 것일 텐데요, 이번 해킹, 어떻게 된 겁니까?
◆ 이경호> 이번에 해킹 기법을 보면요. 원래 공공아이핀을 발급받기 위해서는 주민등록번호도 입력하고, 그 다음에 본인확인을 위해서 공인인증서라든지 아니면 휴대전화 문자메시지 등을 통해 확인을 하게 되어 있습니다. 그런데 해커 조직은 이 과정을 다 건너 뛰어버린 겁니다.
◇ 박재홍> 네. 실제로 일반적으로 아이핀을 발급을 받으려면 인증 문자메시지라든지 이런 걸 받는 과정을 거치잖아요. 그런데 해커 조직은 그런 걸 다 뛰어넘을 수 있다는 말씀이세요?
◆ 이경호> 맞습니다. 구체적으로 말씀드리자면 아이핀을 발급할 때 인증절차를 거쳐 최종적으로 필요한 입력정보를 해커조직이 만들어낸 거죠. 시스템적으로도 마지막 단계에 필요한 정보를 해커조직이 자동 생성해서 입력한 겁니다. 그러니까 앞서서 필요한 주민등록번호 입력이라든지 공인인증서로 인증받아야 하는 부분이 다 필요가 없어진 거죠. 해커가 아주 절묘하게 찾아내서 해당 부분을 이용해서 공격한 겁니다.
◇ 박재홍> 아이핀 발급이 가능한 정보, 그러니까 개인인증을 통해서만 얻을 수 있는 그런 최종 정보를 해커조직이 임의적으로 만들었다는 말씀이잖아요. 그러면 이런 기법이 어렵지 않은 수법인가요? 어떻습니까?
◆ 이경호> 과거에 2007년 통신사 해킹사고라든지 2008년 경에도 유사한 수법의 공격이 많이 있었기 때문에 사실은 많이 대비가 되어 있습니다. 그런데 아직도 이런 공격이 가능하다는 얘기는 기존에 설치된 그런 프로그램들이 개선이 안 되어 있다는 얘기입니다. 사고 이후에 전체적으로 다시 보안을 구축하지 않는 이상은 이 수법이 계속 활용되고 있는 것이죠. 그래서 이번에 전체적으로 이런 취약점이 있는 시스템들은 다 개선할 필요가 있다고 여겨집니다.
◆ 이경호> 기술 자체는 이미 알려져 있기 때문에 아주 기술력이 높지는 않은데요. 좀 조급했던 공격이 아닌가 싶습니다. 왜냐하면 주말 기간에 많이 쓰이지 않는 아이핀에 대해서 75만건 정도를 동시에 가져갔다는 건 금방 드러날 수 있거든요. 그래서 좀 기획력이 떨어진 조직이 아니었나 생각이 듭니다.
◇ 박재홍> 그런데 이제 해킹 조직이 국내 IP를 썼다고 하는데 그러면 범죄조직의 본거지도 예상해 볼 수 있을까요?
◆ 이경호> 국내 아이핀이 한 2000개 쓰였다고 하는데요. 그건 여러 번 우회를 하는 단계에서 활용했을 수도 있고요. 해외에서도 국내 VPN을 중계할 수 있는 그런 사이트를 이용하게 되면 국내 IP로 바꿔서 공격하는 것도 가능해집니다. 그래서 최종적으로 ‘공격지가 국내다’ 이렇게 단정 짓기는 좀 어렵지 않나 싶습니다.
◇ 박재홍> 그렇군요. 과거에 인터넷 해킹 공격의 사례를 보면 북한이나 중국쪽 IP가 발견된다는 얘기가 많이 나왔습니다마는 이번 공격은 어떻게 볼 수 있을까요?
◆ 이경호> 이번에도 그런 가능성을 전혀 배제할 수가 없는 상황인 것 같습니다. 특히 올해 같은 경우에는 4월 말까지 북한에서 외화벌이를 굉장히 강조한 사례도 있습니다. 그래서 과거 와는 달리 4~5배 이상의 외화벌이를 해야 하기 때문에 그런 측면으로도 활용될 가능성이 있기 때문에 사고조사를 할 때 여러 가지 가능성을 다 열어놓고 조사를 할 필요가 있다고 보여집니다.
◇ 박재홍> 실제로 북한이 인터넷 해킹을 통해서 외화벌이를 하기도 하는군요?
◆ 이경호> 외화벌이의 가장 중요한 수단 중에 하나고요. 4월 말까지는 외화벌이 목표액이 설정이 돼 있기 때문에 국내에서 전체적으로 주의할 필요가 있다고 보여집니다.
◇ 박재홍> 그러면 해킹한 아이핀을 통해서 이 사람들이 어떻게 이득을 보는 거예요?
◆ 이경호> 만약에 이런 아이핀을 가지고 있으면 예를 들어서 게임사이트 같은 경우는 해킹된 아이핀을 가지고 타인의 게임계정을 탈취한 다음에 그 사람의 아이템을 남몰래 팔아버릴 수 있습니다. 선물하기라든지 이런 기능을 통해서요. 그러면 그만큼 기존 이용자는 손실이 생기는 거죠.
◇ 박재홍> 그러면 주로 게임사이트에서 활용이 된다는 말씀이군요.
◆ 이경호> 네, 뭐 게임 외에도 금융부분에서도 아이핀을 통해서 가입을 한다든지 개인정보를 변경한다든지 그런 기능이 있는 금융 사이트 같은 경우도 문제가 될 수 있기 때문에 이번에 전체적으로 2차 피해를 막기 위해서 점검할 필요가 있습니다.
◇ 박재홍> 정부에서는 안전하다는 확신이 있었기 때문에 계속 국민들에게 쓰라고 말한 거 아니겠습니까? 그러면 결국 해킹 재발 가능성도 막아야 되는 것인데. 어떻게 고쳐야 될까요?
◆ 이경호> 단기적으로 일단은 시스템 개선을 바로 해야 되고요. 결론적으로는 이런 아이핀이 없이도 이용자들을 쉽게 판별해낼 수 있는 아주 편리한 체계가 필요할 것 같습니다. 그런 연구도 같이 진행이 됐으면 합니다.
◇ 박재홍> 소비자들 입장에서 본인의 아이핀이 해킹됐다는 것은 어떻게 알 수 있나요?
◆ 이경호> 사실은 75만건에 대해서는 해당 본인에게 빨리 통보를 해 줘야하고요. 그러니까 본인도 모르게 발급된 아이핀으로 2차 피해가 발생하지 않도록 그다음부터는 개인적으로 확인할 필요가 있죠. 주변에 혹시 아이핀을 통해서 본인이 가입하지 않은 사이트가 있는지. 또 그 과정에서 발생한 여러 가지 인증메시지나 이런 것들을 받은 게 있으면 의심하시고 바로 차단하는 그런 지혜가 필요합니다.
◇ 박재홍> 그렇군요. 말씀 여기까지 듣도록 하겠습니다. 고맙습니다.
◆ 이경호> 감사합니다.
◇ 박재홍> 고려대 정보보호대학원의 이경호 교수였습니다.
[박재홍의 뉴스쇼 프로그램 홈 바로가기]