‘공공아이핀’ 5월부터 재인증…매년 갱신

정부는 지난달 28일부터 사흘간 발생한 공공아이핀 부정발급 사고 이후 후속조치로 현재 공공아이핀 사용자는 오는 51일부터 전원 본인확인을 거쳐야 아이핀을 재사용할 수 있는 공공아이핀 부정발급 재발방지 종합대책25일 발표했다. 

또 공공아이핀도 다른 본인확인 수단인 공인인증서와 같이 1년 유효기간이 경과하면 본인확인 후 재인증을 받아야 한다. 

이번 대책은 공공아이핀 부정발급 사고 이후 가동된 민관합동 공공아이핀 부정발급 대책수립 TF’에서 마련된 것으로 정부는 우선 민간아이핀에서 사용하는 해킹방지 기능(해쉬함수 검증)2차 패스워드 등 추가 인증수단을 도입하고 현재 금융기관에서 운영 중인 부정사용방지시스템을 공공아이핀시스템에 적용한다는 것이다. 

또 화이트해커 등을 활용, 실제 공격상황을 가장한 모의해킹을 정기적으로 실시하는 등 취약점 점검을 강화하고 부정발급이 의심되는 국내외 IP는 접속 시도 즉시 차단할 계획이다.

 

1
공공아이핀 센터 웹사이트 화면

 

이와 함께 보안전문업체를 통해 공공아이핀의 업무처리절차, 시스템 구조·성능, 관리·운영상 문제점 등을 종합 검토한 후 시큐어 코딩과 부정사용방지시스템(FDS), 노후장비 전면 교체 등 시스템 전면 재구축 방안을 올해 상반기 중으로 마련할 방침이다. 

아울러 행자부는 본인확인수단인 아이핀이 과도하게 사용되고 있다는 지적과 관련해 앞으로는 꼭 필요한 데에만 아이핀이 사용될 수 있도록 관련제도를 개선한다.  

이에 따라 공공기관의 웹사이트는 원칙적으로 회원가입을 없애고 연령확인 등 본인확인이 꼭 필요한 서비스에만 공공아이핀이 사용되도록 관련지침을 개정하기로 했다. 

또 공공아이핀은 오는 51일부터 일제 정비기간을 설정해 모든 사용자가 본인확인 후 재사용하도록 해 그동안 도용됐거나 타인 명의로 부정발급된 공공아이핀을 정비한다. 

공공아이핀 유효기간을 1년으로 제한하고 ‘3개월에 한 번씩 비밀번호 변경하기캠페인도 실시할 계획이다. 

행자부는 이번 사고의 원인이 정부 내 보안전문가가 부족하기 때문이라는 지적과 관련, 정보보안 인프라 확충에 나선다. 정보보호 전문인력은 순환보직에서 제외하되, 주기적으로 업무성과 등을 평가하여 일정기간 소요시 우선 승진시키는 등 관련 인사제도 개편을 검토한다.  

주요 정보시스템의 보안 전문인력 확충에 병역특례제도를 활용하는 방안도 병무청과 협의해 나갈 예정이다. 

행자부 내 주요시스템에 대한 보안 운영실태와 최신 해킹기술 대비체계 점검 등을 위해 주요시스템 보안점검위원회를 설치하는 방안도 검토한다. 

정재근 행자부 차관은 사회 전반에 걸쳐 개인정보 유출사고가 지속돼 경찰청, 방송통신위원회, 금융위원회 등 유관기관 합동으로 개인정보 유출사고 재발방지대책도 마련 중에 있다이번에 수립된 재발방지 종합대책을 차질없이 추진해 유사한 사고가 재발하지 않도록 하겠다고 밝혔다. 

[이강민 기자 kangmin@itnews.or.kr]