행정자치부는 지난달 28일~이달 2일 발생한 초유의 공공아이핀 시스템 해킹사건에 대해 이러한 내용의 ‘재발방지 종합대책’을 25일 발표했다. 이번 대책은 관계기관 합동점검단이 공공아이핀센터 현장점검으로 밝혀낸 사고원인 등을 검토해 마련한 것이다.
행자부는 먼저 공공기관 웹사이트를 원칙적으로 회원가입 없이 이용토록 해 공공아이핀의 이용을 최소한으로 할 방침이다. 본인확인 수단인 아이핀이 과도하게 사용되는 게 근본 문제라는 지적을 수용한 것.
행자부는 지난 2011년 제정한 ‘공공기관 아이핀 의무도입 적용지침’을 오는 6월 전면 개정할 계획이다.
기존 시스템과 운영 체제도 대폭 손보기로 했다. 공공아이핀 75만건이 부정발급된 이번 사고 원인을 “시스템의 설계상 오류”(합동점검단장 노병규 한국인터넷진흥원 개인정보보호본부장)로 판단했기 때문이다.
이를 위해 금융기관에서 운영하는 ‘부정사용방지시스템’(FDS)을 공공아이핀 시스템에도 도입한다. FDS는 단말기정보와 접속정보, 서비스 정보 등을 수집 및 분석해 외부도용 등이 의심되면 재인증과 서비스정지 등을 한다.
민간아이핀에서 사용하는 해킹방지 기능(해쉬함수 검증)과 2차 비밀번호 등 추가 인증수단도 도입한다.
아울러 오는 5월 1일부터 모든 사용자가 자신의 공공아이핀을 본인확인 뒤 다시 사용토록 해 그동안 도용됐거나 타인 명의로 부정발급된 아이핀을 일제히 정비할 계획이다. 공공아이핀 유효기간도 공인인증서처럼 1년으로 제한해 기간이 지나면 본인확인 뒤 재발급받도록 한다.
행자부는 이번 사고에 대한 문책과 재발방지를 위해 공공아이핀 관리 및 운영주체를 현재 한국지역정보개발원에서 전문보안기관으로 이관하는 방안도 검토키로 했다.
또한 차관을 위원장으로 하는 ‘주요시스템 보안점검위원회’를 통해 보안 운영실태와 최신 해킹기술 대비체계 점검 등도 추진키로 했다.
정재근 행자부 차관은 “이번에 수립된 재발방지 종합대책을 차질없이 추진해 다시는 이와 유사한 사고가 재발하지 않도록 하겠다”고 강조했다.
|