【의회신문】공공아이핀 해킹과 부정발급 사태의 재발을 막기 위해 운용 시스템이 전면 재구축되고 아이핀의 유효기간도 1년으로 제한된다. 또한 공공아이핀은 꼭 필요한 경우에 한해 사용하는 것으로 활용도가 제한된다.

행정자치부는 공공아이핀 부정발급 사고와 관련해 사고원인과 재발방지 종합대책을 25일 발표했다.

이날 발표된 대책은 지난 9일부터 가동된 민관합동 ‘공공아이핀 부정발급 대책 수립 TF’에서 관계기관 합동점검단이 공공아이핀센터 현장 점검으로 밝혀낸 사고원인 등을 심도 있게 검토해 마련한 것이다.

합동점검단장인 노병규 한국인터넷진흥원(KISA) 개인정보보호본부장은 “금번 사고의 원인이 공공아이핀시스템의 설계상 오류에서 비롯됐다.”고 밝혔다.

노병규 본부장은 이번에 해킹 경로로 이용된 프로그램 오류는 한국지역정보개발원에서 사고 발견 즉시 수정했다고 설명했다. 합동점검단은 이번 사고의 원인과 함께 공공아이핀 보안강화대책도 발표했다.

먼저, 민간아이핀에서 사용하는 해킹방지 기능(해쉬함수 검증)과 2차 패스워드 등 추가 인증수단을 도입하고, 부정발급이 의심되는 국내외 IP를 접속 시도 즉시 차단할 계획이라고 밝혔다.

행정자치부는 보안전문업체를 통해 공공아이핀 업무처리절차, 시스템 구조·성능, 관리·운영상 문제점 등을 종합 검토한 후, 시큐어 코딩 적용, 부정사용방지시스템(FDS) 도입 방안, 노후장비 전면 교체 등 시스템 전면 재구축 방안을 금년 상반기 중으로 마련할 계획이다. 

또한 이번 사고에 대한 책임과 제2의 보안사고 예방을 위해 공공아이핀 관리·운영 주체를 전문보안기관으로 이관하는 방안도 검토 중에 있다고 밝혔다.

이와 함께, 행정자치부는 방송통신위원회와 협의하여 안전한 아이핀 이용환경 조성을 위해 민간아이핀 3社와 함께 '아이핀 부정발급･도용 근절 캠페인'을 대대적으로 벌여 나갈 예정이다.

특히, 공공아이핀은 오는 5월 1일부터 일제 정비기간을 설정하여 모든 사용자가 본인확인 후 재사용토록 함으로써 그동안 도용되었거나 타인 명의로 부정발급된 공공아이핀을 일제히 정비해 나갈 방침이다.

또한, 공공아이핀 유효기간을 1년으로 제한하는 한편, ‘3개월에 한 번씩 비밀번호 변경하기’ 캠페인도 실시할 계획이다.

경찰청, KISA, 민간아이핀 3社 등 관계기관과 정기적인 보안이슈 공유, 좀비 서버･IP 파악･제거, 위기상황시 피해확산 방지를 위한 위기대응체계 구축 등 협력체계도 강화해 나갈 계획이다.

한편, 행정자치부는 그동안 특별한 장애가 발생하지 않은 주요 전자정부 시스템들에 대해서도 지난 10일부터 전면 진단을 실시하고 있으며, 24시간 특별관제 활동도 유지해 오고 있다.

정재근 행정자치부 차관은 “이번에 수립된 재발방지 종합대책을 차질없이 추진해 다시금 이와 유사한 사고가 재발하지 않도록 하겠다.”고 말했다.