본인인증 무력화...'파라미터 위변조' 해킹

본인인증 무력화...'파라미터 위변조' 해킹

2015.03.06. 오후 5:18.
댓글
글자크기설정
인쇄하기
AD
[앵커]
이번 공공 아이핀 해킹에는 '파라미터 위변조'라는 해킹 수법이 사용됐습니다.

그런데 이 수법은 해킹 방법으로는 비교적 기초적인 것이어서 대책 마련이 시급합니다.

이성규 기자가 취재했습니다.

[기자]
아이핀은 보통 3단계 절차를 거쳐 발급됩니다.

먼저 사용자의 정보를 입력한 뒤 본인 확인을 위해 공인인증서 인증 과정을 거쳐 아이핀을 발급받습니다.

공인인증서 인증과 같은 본인 확인 절차를 거치기 때문에 아이핀은 보안성이 높다는 평가를 받았습니다.

정부가 온라인에서 주민번호를 대체할 수단으로 아이핀 사용을 권장한 이유입니다.

하지만 이번 아이핀 부정 발급에서 공인인증서 인증 과정은 무력화됐습니다.

마치 본인인증이 정상적으로 이뤄진 것처럼 해커가 데이터를 변조한 겁니다.

'파라미터 위변조'라는 해킹 수법입니다.

그런데 이 수법은 비교적 기초적인 해킹 방법이라는 점에서 충격을 주고 있습니다.

[인터뷰:이경호, 고려대 정보보호대학원 교수]
"과거에 국내 홈페이지에 이런 취약점(파라미터 위변조)이 많아서 조치가 전반적으로 됐습니다. 아마 이번 조치 안 된 부분을 (해커가) 절묘하게 찾은 것으로 보입니다."

정부의 철통 보안을 비웃듯 취약성이 여실히 드러난 공공 아이핀 시스템.

시스템의 전면 개편 등 대책 마련이 시급하다는 지적입니다.

YTN 사이언스 이성규[sklee95@ytn.co.kr]입니다.


[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]