해커 놀잇감 '아이핀' 해킹 수법 봤더니

사진출처=아시아경제 DB

[아시아경제 김철현 기자] 정부가 주민번호 대체수단으로 권장한 아이핀이 해킹공격으로 75만건이 부정 발급되고 이 중 일부는 사용된 것으로 밝혀져 이 해킹 수법에도 관심이 집중되고 있다. 잦은 해킹으로 인한 개인정보 유출을 막기 위한 대안으로 도입됐지만 정작 해킹에 무방비로 노출됐기 때문이다.

보안업계 등에 따르면 이번 공격을 감행한 해커들은 '파라미터 위변조'라는 수법을 사용한 것으로 알려졌다. 13자리의 아이핀을 발급받기 위해서는 본인인증을 거쳐야 하는데 해커가 이 과정이 정상적으로 이뤄진 것으로 시스템이 오인하게 파라미터 값을 위변조했다는 것이다. 또 해킹에는 2000여 개 국내 아이피(IP)가 동원됐고 중국어 버전의 소프트웨어가 사용된 것으로 드러났다.

하지만 이 같이 본인인증 과정을 해킹해 아이핀을 무단으로 도용할 수 있다는 허점은 꾸준히 제기돼 왔다. 민간 아이핀의 경우 보통 휴대폰으로 본인인증을 해 발급받을 수 있는데 스미싱 등으로 정보를 빼돌리는 해커들이 많다는 것이 보안 전문가들의 지적이다. 공공아이핀 시스템이 해킹 공격을 받은 이번 사고는 사실상 예견돼 왔던 셈이다.

실제로 아이핀 도용 범죄는 끊이지 않았다. 지난해 2월에도 아이핀을 무더기로 거래한 일당이 경찰에 적발되기도 했다. 지난해 대량으로 카드회사 고객정보를 유출했던 직원이 소속된 곳 역시 아이핀을 발급하는 회사였다.

또한 아이핀은 정부와 민간 업체 등에서 무료로 발급해주는데 이를 생성하는 과정에서 신용 정보 회사 등이 해킹을 당하면 아이핀 번호와 주민등록번호까지 통째로 유출될 수 있는 위험이 있었다.

한편 아이핀은 '인터넷 개인 식별 번호(Internet Personal Identification Number)'를 줄인 말로 인터넷에서 신분을 확인하는 데 사용되는 13자리의 번호다. 주민등록번호의 잦은 유출로 제도 보완이 필요해지자 2006년 도입됐다.

기존의 주민번호는 성별과 출생지 등 개인정보를 담고 있지만 아이핀은 이 같은 정보과 관련이 없어 외부로 유출되더라도 피해가 없다는 것이 장점으로 꼽혔다. 게다가 유출된 아이핀은 폐기하고 새로운 아이핀을 만들 수도 있다.

김철현 기자 kch@asiae.co.kr