아이핀 해킹, 흔한 수법에 당해…'인증완료' 메세지 탈취하는 '파라미터 위변조' 어떤 수법?

아이핀 해킹, 흔한 수법에 당해…'인증완료' 메세지 탈취하는 '파라미터 위변조' 어떤 수법?

[아시아경제 온라인이슈팀] 아이핀이 해킹공격에 뚫려 화제인 가운데 아이핀 해킹 수법이 '파라미터 위변조'라고 밝혀졌다.

최근 정부가 주민번호 대체수단으로 권장한 아이핀(Internet Personal Identification Number)의 75만건이 해킹공격으로 부정 발급되고 이 중 일부는 사용된 것으로 밝혀져 큰 논란이 일고 있다.

이번 사건은 주민번호를 도용한 것이 아니라 해커가 아예 시스템에 침범해 공공 아이핀을 대량 발급받은 것이다.

보안업계에 따르면 공공 아이핀 해킹에 사용된 '파라미터 위변조'라는 수법은 흔하지만 방지하기는 어렵다.

파라미터는 '파라미터'는 일종의 매개 변수로 함수와 함수 사이에 관계를 증명해 이어주는 역할을 한다.

아이핀을 발급받기 위해서는 1, 2, 3단계의 인증과정이 있다. 먼저 1단계 개인정보 및 사용자 정보 인증을 통과하면 '인증완료'라는 파라미터가 2단계로 보내진다. 이어 2단계 공인인증서 등 본인확인 인증을 통과하면 마찬가지로 인증완료라는 파라미터가 3단계로 보내져 아이핀이 발급된다.

이에 공격자는 서버가 보내는 '인증완료'라는 메시지를 탈취하는 등 파라미터를 변조해 1·2단계를 건너뛰고 3단계로 바로 간 것으로 보인다는 게 보안업계 관계자들의 분석이다.

아이핀 해킹 소식을 접한 네티즌들은 "아이핀 해킹, 안전하지 않네" "아이핀 해킹, 애초에 예상했다" "아이핀 해킹, 조회해봐야겠다" "아이핀 해킹, 다른 개인정보 유출 막는 방법은 없나" "아이핀 해킹, 항의 해야겠다" 등의 반응을 보였다.

온라인이슈팀 issue@asiae.co.kr