공공 아이핀 시스템이 해킹으로 뚫린 사실이 뒤늦게 밝혀진 후에도 관할 부처인 행정자치부의 설명과 대응이 여전히 미흡하다. 인터넷에서의 잇단 개인정보 유출에 주민번호를 대체할 수단으로 아이핀 사용을 적극 권장하고 나선 건 정부다. 그러나 정작 75만 건에 이르는 아이핀이, 그것도 유출이 아니라 아예 해커가 시스템에 침입해 대량 부정발급을 감행했는데도 행자부는 파장 축소에만 급급한 모습이다. 국가 정보 보호체계 전반의 신뢰를 크게 훼손한 사건에 대한 대응이 너무 무책임하다.
사건에 대한 행자부의 분석부터 도무지 갈피를 잡기 어렵다. 행자부는 이번 해킹에 2,000개가 넘는 국내 아이피(IP)가 동원됐고, 중국어 버전 소프트웨어도 사용됐다고 밝혔다. 아울러 해킹이 지난달 28일부터 사흘 간 대규모로 이뤄진 점을 들어 “조직적인 범행으로 본다”고 밝혔다. 그러나 해킹 수법은 아이핀 발급에 필요한 본인인증이 정상적으로 이루어진 것처럼 시스템이 오인하도록 데이터(파라미터값)를 조작한 ‘파라미터 위ㆍ변조’에 불과하다며 초보적 수준의 범죄임을 시사했다. 부정 아이핀 12만 건이 게임사이트에서 이용된 점도 아마추어 범죄 가능성을 높이는 대목이다.
파라미터 위ㆍ변조는 요즘 사이버 보안 기술로 얼마든지 방지할 수 있는 수법에 불과하다. 행자부조차도 “파라미터 위ㆍ변조 방지는 민간에는 다 돼 있는 초보적인 부분”이라고 인정했다. 그러나 “왜 그런 초보적인 대비도 하지 않았느냐”는 질문엔 제대로 답변조차 하지 못했다. 행자부가 십중팔구 아이핀 관리기관인 한국지역정보개발원에 시스템 업무 전반을 맡긴 뒤, 적절한 관리ㆍ감독업무조차 제대로 하지 않았음을 드러내는 대목이다.
2013년부터 정부가 공공 아이핀 사용을 본격 장려하면서 지금까지 약 430만 명이 아이핀을 발급 받았다. 앞으로도 아이핀 사용은 더 늘어날 수밖에 없다. 따라서 철저한 사건 분석을 통한 추가 피해 방지가 우선임은 물론이다. 다만 사건해결 못지 않게 중요한 건 국가 정보보호 체계를 관리하는 해당 부처와 공무원들의 태도다. 무엇보다 만만한 위탁기관을 정해 일을 맡긴 뒤엔 나 몰라라 하는 고질적 관료주의가 문제다. 행자부가 매년 두 번씩 시스템 취약점을 점검한다면서도 파라미터 위ㆍ변조 방지 프로그램조차 가동하지 못한 이유도 여기에 있다.
책임지고 관리하지 않는 정보보호 체계로는 점증하는 사이버리스크를 감당해낼 수 없다. 따라서 차제에 행자부 내 아이핀 관리의 책임 소재를 엄중히 따져 징계함은 물론, 외부 위탁업무에 대한 담당 공무원의 직접 관리책임을 강화하는 대책이 강구돼야 한다.
기사 URL이 복사되었습니다.
댓글0