주민등록번호를 대체하기 위해 정부가 의욕적으로 도입한 아이핀이 부정발급 돼 게임포털 신규 회원가입과 기존 이용자들의 계정 수정 등에 이용되는 사건이 발생했다.

행정자치부(장관 정종섭, 이하 행자부)는 지난 주말 지역정보개발원에서 관리하고 있는 공공아이핀시스템에서 75만 건의 아이핀이 부정발급되었다고 3월 5일 발표했다.

이번 사고는 프로그램 취약점을 이용해 공공아이핀 정상발급 절차를 우회, 아이핀을 대량으로 부정발급한 것으로 확인되었다. 또한 부정발급 받은 아이핀 중 12만 건이 3개 게임사이트의 신규 회원가입 및 기존 이용자 계정 수정/변경 등에 이용한 것으로 파악되었다.

행자부는 사고 발생 즉시, 부정발급에 이용된 프로그램 취약점을 수정하여 추가 부정발급을 차단하고 부정발급된 아이핀 전부를 긴급 삭제조치 하고, 즉시 공공아이핀센터에 비상대응팀을 구성하여 24시간 집중 모니터링체계를 운영을 시작했다. 또한 이번 사고로 인한 2차 피해를 최소화하기 위하여 민간아이핀기관과 관련 게임사에 사용내역을 전달, 긴급 사용자 보호조치를 취하도록 했다.

관련 게임사에서는 부정발급된 아이핀으로 신규회원 가입을 한 경우에는 회원 탈퇴 조치하고 이용자 정보를 수정/변경한 경우에는 임시 사용중지 등의 조치를 한 것으로 알려졌다.

하지만 행자부는 부정발급 아이핀이 유입된 게임포털을 공개하지 않아 게임 유저가 직접 가입 여부 및 계정 변동 등을 확인해야할 전망이다.

한편, 행자부는 사건을 경찰청에 긴급히 수사요청하여 현재 수사 중에 있다고 밝혔다. 지금까지 파악된 사항은 이번 부정발급에 2천여 개의 국내IP가 동원되었으며, 중국어 버전의 SW가 사용된 것으로 확인되었다.

또한 아이핀 관계기관 대책회의를 긴급 소집하여 사고 대책에 대해 논의하고 기관별 추진상황도 점검했다. 대책회의 결과, 프로그램 소스분석 및 모의해킹 등을 통해 아이핀 발급/인증체계 보안 취약점을 긴급점검, 개선조치 하고, 한국지역정보개발원(KLID)을 통해 공공아이핀시스템 전면 재구축 방안 등을 검토할 예정이다.