행자부, 공공아이핀 부정발급 방지 대책 수립…5월 전면 재발급, 매년 갱신 해야

2015-03-25 14:38
시스템 진단 후 재구축…공공웹사이트, 회원가입없이 이용토록 운영

[사진=인터넷 캡쳐]


아주경제 박성준 기자 = 앞으로 공공아이핀 사용을 최소화하기 위해 공공기관 웹사이트의 경우 회원가입 없이 사용토록 한다. 또한 5월부터 공공아이핀 정비기간을 가진 뒤 모든 사용자가 본인확인 후 사용토록 추진한다.

행정자치부는 25일 서울종합청사에서 '공공아이핀 부정발급 재발방지 종합대책'을 발표했다.

이날 발표된 대책은 민관합동 '공공아이핀 부정발급 대책 수립 테스크포스'에서 사고원인 등을 검토해 마련한 것이다.

합동점검단에 따르면 이번 사고의 원인은 공공아이핀시스템의 설계상 오류에서 비롯됐다.

즉, 해커가 설계상 오류를 악용해 정상발급 절차를 우회한 뒤 파라미터를 변조해 아이핀을 대량으로 발급 받은 것이다. 또한 이러한 부정행위를 감시하는 관제체계가 없었으며 공공아이핀이 개발된 2008년 이후 프로그램 업그레이와 보안 투자도 미흡했다는 지적이다. 위탁운영기관의 관리역량과 전문성 부족도 사고의 원인으로 거론됐다.

아울러 합동점검단은 이번 사고의 원인과 함께 공공아이핀 보안강화대책도 발표했다.

먼저, 민간아이핀에서 사용하는 해킹방지 기능(해쉬함수 검증)과 2차 패스워드 등 추가 인증수단을 도입한다. 부정발급이 의심되는 국내외 IP도 접속 시도 즉시 차단할 계획이라고 밝혔다.

또한 현재 금융기관에서 운영 중인 부정사용방지시스템(FDS)을 공공아이핀시스템에 도입한다. 화이트해커 등을 동원해 모의해킹을 정기적으로 실시하고 취약점검도 병행할 계획이다.

더불어 행정자치부는 △시스템 전면 재구축 △공공아이핀 제도개선 △안전한 아이핀 이용환경 조성 등 종합적인 대책을 추진하겠다고 발표했다.

행정자치부는 보안전문업체를 통해 공공아이핀의 여러 문제점을 검토한 후, 시스템 전면 재구축 방안을 금년 상반기 중으로 마련할 계획이다.

공공아이핀 제도도 대폭 개선해 나갈 계획이다.

먼저 아이핀의 과도한 사용을 막기위해 관련제도를 바꾼다.  공공기관의 웹사이트는 회원가입 없이 이용 가능토록 개선하며, 본인확인이 꼭 필요한 서비스에만 최소한의 범위 내에서 공공아이핀이 사용되도록 관련지침을 개정할 계획이다.

행정자치부는 보안사고 재발방지를 위해 공공아이핀 관리·운영 주체를 전문보안기관으로 이관하는 방안도 검토 중에 있다고 밝혔다.

이와 함께, 행정자치부는 방송통신위원회와 협의하여 아이핀 부정발급・도용 근절 캠페인을 대대적으로 벌여 나갈 예정이다.
특히, 공공아이핀은 오는 5월 1일부터 일제 정비기간을 설정하여 모든 사용자가 본인확인 후 재사용토록 한다.

또한, 공공아이핀 유효기간을 1년으로 제한하는 한편, '3개월에 한 번씩 비밀번호 변경하기’ 캠페인도 실시할 계획이다.

경찰청, KISA, 민간아이핀 3社(사) 등 관계기관과 위기대응체계 구축 등 협력체계도 강화해 나갈 계획이다. 행정자치부 내부적으로도 보안전문가를 보충하고 인프라 확충을 검토한다.

한편, 행정자치부는 그동안 특별한 장애가 발생하지 않은 주요 전자정부 시스템들에 대해서도 지난 10일부터 전면 진단을 실시하고 있으며, 24시간 특별관제 활동도 유지해 오고 있다.

정재근 행정자치부 차관은 “이번에 수립된 재발방지 종합대책을 차질없이 추진해 다시금 이와 유사한 사고가 재발하지 않도록 하겠다”고 말했다.