‘아이핀 해킹’

아이핀 해킹이 75만건을 돌파한 것과 관련해, 해킹 수법인 ‘파라미터 위변조’에 관심이 쏠리고 있다.

지난 5일 행정자치부는 지역정보개발원에서 관리하고 있는 공공아이핀시스템에서 75만건의 아이핀이 부정 발급되는 사고가 발생했다고 발표했다.

이번 사건은 주민번호를 도용한 것이 아니라 해커가 아예 시스템에 침범해 공공 아이핀을 대량 발급받은 것으로, 보안업계는 이번 수법으로 ‘파라미터 위변조’를 꼽았다.

아이핀을 발급받기 위해서는 1, 2, 3단계의 인증과정이 있다. 먼저 1단계 개인정보 및 사용자 정보 인증을 통과하면 '인증완료'라는 파라미터가 2단계로 보내진다.

이어 2단계 공인인증서 등 본인확인 인증을 통과하면 마찬가지로 인증완료라는 파라미터가 3단계로 보내져 아이핀이 발급되는데, 이 과정에서 공격자는 서버가 보내는 ‘인증완료’라는 메시지를 탈취하는 등 파라미터를 변조해 1·2단계를 건너뛰고 3단계로 바로 간 것으로 보인다는 게 보안업계 관계자들의 분석이다.

한편, 이번 아이핀 해킹으로 행자부는 부정발급에 이용된 프로그램 취약점을 수정해 추가 부정발급을 차단하고 부정 발급된 아이핀도 삭제 조치했다. 또 비상대응팀을 구성해 24시간 집중 모니터링체계를 운영하고 있다.