Home

2014년 10월 KISA와 방통위가 본인확인기관 안전성 점검에 나선다는 보도.

“방송통신위원회와 한국인터넷진흥원(KISA. 원장 백기승)은 지난 10월초부터 NICE신용평가정보·서울신용평가정보·코리아크레딧뷰로 등 3개 ‘아이핀'(i-PIN) 발급기관과 SK텔레콤·KT·LG유플러스 등 3개 휴대폰 인증사업자를 대상으로 개인정보보호 관리 현황을 일제 점검하고 있다고 5일 밝혔다.

이번 점검은 ‘온라인상 개인정보 불법유통 근절 대책’의 일환으로 다량의 개인정보를 보유하고 있는 사업자의 서비스 안전성과 신뢰성을 사전에 확인하기 위한 것으로 오는 11월 중순까지 진행된다. 올초 카드3사의 고객정보 8700만건, KT의 이용자 정보 1170만건 유출 등 잇따른 개인정보 침해사고 발생에 따라 다량의 개인정보를 보유하고 있는 사업자의 개인정보 관리실태에 대한 사회적 우려가 제기된 바 있다.

아이핀(i-PIN)·휴대폰 인증 등 본인확인기관의 경우에 이용자 식별·인증업무를 위해 대다수 국민들의 주민등록번호, 휴대폰 번호, 아이핀 ID·비밀번호 등 주요 정보를 저장하고 있으며, 이들 정보가 유출되거나 해킹 등으로 침해를 당할 경우 사회적으로 큰 혼란이 발생할 수 있다는 점에서 점검 필요성이 높다.

방통위는 이번 점검을 위해 법률·기술·보안 등의 분야별 전문가 20여명을 포함해 ‘점검단’을 구성하고, 본인확인기관에 대한 현장실사, 시스템 취약점 진단, 모의침투 등의 방식을 통해 보호조치의 안전성을 점검 중이다.(과연, 행자부 산하 지역정보개발원이 이렇게 할 역량이 되나? 단지 지금까지 방통위와 KISA 안전성 점검에 공공아이핀이 왜 빠져 있나가 포인트가 되어야 함.) 최성준 방송통신위원장은 이와 관련해 “이번 점검을 통해 본인확인서비스에 대한 안전성과 신뢰성을 제고할 수 있을 것으로 기대하며, 점검결과를 바탕으로 본인확인기관의 개인정보 보호조치를 개선하고 점검기준을 보완해 나갈 예정”이라고 밝혔다”

—————————————

2014년 10월 초, 방통위와 KISA는 ‘본인확인기관의 안전성 점검’을 함에 있어, 민간 3개 아이핀 발급기관과 3개 휴대폰 인증사업자만 대상으로 하고, “공공아이핀센터”는 본인확인기관임에도 불구하고 안전성 점검에 누락시킨 바가 있음. 관련 법령에 의거, 행자부의 공공아이핀센터의 안전성 점검 절차가 존재하지 않는다면, 이 부분은 하자가 있었던 안전성 점검 결과였고, 이 하자를 역용되어 해커들이 공공아이핀센터은 쉽게 해킹된 것이라 봐도 무방함. 방통위와 KISA의 안전성 점검을 받은 민간 아이핀은 다 무사했음.

KISA 홈페이지에 ‘본인확인기관’에 관한 이야기:

행자부 자체적으로 ‘제대로 된 안전성 점검’의 절차가 없는 상황이면, 방통위와 KISA가 분명 이렇게 ‘본인확인기관’에 공공아이핀센터를 넣어 분류함에도 불구하고, 상기의 ‘안전성 점검’ 절차에 공공아이핀센터를 누락시킨 건, 해커들에게 공공아이핀센터를 해킹하면 된다고 백도어를 열어준 거나 마찬가지임. 방통위,’그리고 점검반’과 KISA 책임자를 문책하는게 맞음. 방통위와 KISA가 법률 해석을 잘못하여 누락시켰는지를 체크해야 함.

Screen Shot 2015-03-06 at 2.55.36 AM

그리고, 안전성 점검 관련한 이야기.

Screen Shot 2015-03-06 at 9.15.31 AM

via 아이핀·휴대폰인증 관련 개인정보보호 점검.

Advertisements

3 thoughts on “공공아이핀의 안전성 점검은 방통위와 KISA에서 했어야 함. 사전에 막을 수 있는 걸 못 막은 좋은(?) 예

  1. “하지만 공격주체가 개인정보 입력 단계까지 우회했는지 아니면 이미 다른 경로로 유출된 개인정보를 입수해서 해킹에 사용했는지는 확인되지 않았다. 공공아이핀을 관리하는 한국지역정보개발원은 후자에 무게를 싣고 있는 것으로 보인다.

    반면 민간아이핀은 공격을 잘 막아냈다. 정부는 해킹 사실을 인지한 후 관련 부처와 함께 민간 아이핀 시스템을 점검했다. 점검 결과 민간아이핀은 파라미터 위변조를 인지해 아이핀 발급이 진행되지 않았다.

    반면 공공아이핀 시스템은 파라미터 위변조에 대한 초보적인 대책도 갖춰지지 않은 것으로 나타났다.

    지역정보개발원의 한 관계자는 공공아이핀이 2007년 개발된 후 취약점이 발견되지 않았다고 밝혔다. 매년 두 차례 실시하는 취약점 점검에서도 이런 결함이 발견되지 않았다.

    공공아이핀 소관 부처인 행정자치부 관계자는 이번 공격의 빌미가 된 프로그램 취약점은 통상적인 보안 취약점 점검에서 잡아내기 어려운 부분으로 공격의 주체가 공공아이핀 프로그램을 정밀하게 연구했을 것이라고 말했다.” 안전성 점검 자체가 왜 별개로 이뤄졌는지에 관해 국감에서 점검해야 함.
    http://www.g-enews.com/…/해킹에+공공아이핀+무너질+때+민간아이핀은+건재.html

    Like

  2. “KISA는 민간 기관을 대상으로 아이핀을 발급하고 있어 이번 해킹 사고와 직접적인 연관성은 없다. 하지만 개인정보를 기술적으로 보호하고 관리할 의무가 있는 만큼 전체 아이핀의 보안 취약점을 점검하기로 했다. ” 이게 정확한 대응이고, 방통위와 KISA가 안전성 점검의 의무가 있는 것임.공공아이핀은 지역정보개발원 관리인데라고 하는 놈들이 일으킨 인재라고 봐도 무방함. http://www.newsis.com/ar_detail/view.html

    Like

  3. 어디가 관리하냐의 문제가 아님, 이건 무리한 쉴드임. 제대로 법령 등 찾아보지도 않고 어디서 이런 소릴하나. “아이핀 관리를 하는 것”과 아이핀 제대로 관리하는지 “안전성 점검”을 하는 것은 전혀 다른 것임. “아이핀 안전성 점검” 절차에 있어 방통위와 KISA가 전담하는게 맞음. 이를 오랫동안 방치한 방통위와 KISA의 문제임. http://www.dailysecu.com/news_view.php?article_id=8925

    Like

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s