최근 발생한 공공아이핀 해킹 사태와 관련해 기존 발급된 공공아이핀 모두 5월부터 본인인증을 다시 받아야 한다. 또 회원가입 없이도 공공기관 웹사이트를 이용할 수 있게 된다. 하지만 문제를 근본적으로 해결하기에 미흡한 측면이 많아 논란은 계속될 전망이다.

행정자치부는 25일 이 같은 내용을 골자로 한 공공아이핀 부정발급 재발방지 종합대책을 내놓았다. 이번 대책은 지난달 28일부터 사흘간 발생한 공공아이핀 시스템 해킹과 대량 부정 발급에 따른 것이다.

민관 합동으로 구성된 점검단은 사고 원인을 검토한 결과 공공아이핀 시스템에서 7가지 취약점이 발견됐다고 밝혔다. 이 가운데 시스템과 보안기술 등 6가지는 개선됐고 나머지 1가지 취약점은 개선 중이다. 해커는 이 같은 취약점을 이용해 공인인증 결과를 변조, 재전송해 아이핀을 발급받은 것으로 나타났다.

합동점검단장인 노병규 한국인터넷진흥원(KISA) 개인정보보호본부장은 “이번 사고는 공공아이핀 시스템의 설계상 오류에서 비롯됐다”며 “공공아이핀이 민간아이핀에 비해 해킹 방지 기능이 미흡했고 위탁 운영기관의 관리역량과 전문성도 부족했다”고 설명했다.

이에 따라 행자부는 5월1일부터 모든 공공아이핀 사용자가 본인인증을 다시 받도록 한다는 계획이다. 부정 발급된 아이핀은 더 이상 쓸 수 없게 된다. 또 공공아이핀의 유효기간을 공인인증서와 같이 1년으로 제한해 사용자가 매년 갱신해야 쓸 수 있다.

공공아이핀 사용을 최소화하기 위해 관련 제도도 개선된다. 페이스북 등 민간 웹사이트 상당수가 이메일 등의 최소 정보만으로 이용할 수 있는 것처럼 공공기관 웹사이트도 원칙적으로 회원가입 없이 이용할 수 있도록 관련 지침을 개정한다. 

 

행자부는 이번 사고에 대한 책임과 제2의 사고 예방을 위해 공공아이핀 관리·운영 주체를 공공 전문보안기관으로 이관하는 방안도 검토 중이다.

또 공공아이핀 보안 수준을 높이기 위해 시스템 전면 재구축 방안을 마련해 연말까지 사업을 완료한다는 계획이다. 현재 금융기관에서 도용을 막기 위해 운영 중인 부정사용방지시스템(FDS)을 도입하고 7년이 지난 낡은 장비는 연말까지 전면 교체한다. 보안인력의 전문성 강화를 위해 정보보호 전문인력은 순환보직에서 제외하되 업무성과를 평가해 일정 기간이 지나면 우선 승진시키는 방안도 검토한다.

하지만 이번 대책은 주민등록번호 대체 본인인증 수단으로서의 아이핀에 대한 문제보다는 시스템 보안 강화에만 초점이 맞춰져 근본적으로 문제를 해결하는 데 한계가 있다는 지적이다. 경제정의실천연합과 진보네트워크센터는 이날 논평을 통해 “공공아이핀 유출사태를 근본적으로 해결하기 위해서는 주민등록번호제도의 폐지를 지향하고 당장 어렵다면 적어도 주민등록번호의 변경 등 제도 개선과 공공아이핀의 폐지가 연계돼야 한다”고 밝혔다.

합동점검단에 참여한 이경호 고려대 정보보호대학원 교수는 “아이핀은 주민등록번호를 연계해서 쓴다는 점에서 (본인인증수단으로서) 한계가 있다”며 “주민등록번호 수집 법정주의라는 전체적인 틀에서 충분한 시간을 갖고 논의할 필요가 있다”고 지적했다.