이훈기 민주당 의원 지적…중국인이 한국인인 척 인터파크 티켓 예매
中 해커 웹사이트 본인인증서비스 취약점 노려…자체점검 한계 지적
"자체점검 거짓보고 우려도…실제 이행 여부 확인할 수 있어야"
[서울=뉴시스]심지혜 기자 = 최근 일부 중국인들이 인터파크 티켓의 온라인 본인인증서비스 취약점을 악용해 한국인척 티켓팅을 시도한 사례가 발생했다. 실제 본인인증이 되지 않았음에도 통과한 것처럼 꾸민 것이다.
인터파크 티켓은 방송통신위원회와 한국인터넷진흥원(KISA)의 본인확인서비스 이용기관(웹사이트) 취약점 자체점검 체크리스트를 이행했음에도 사고가 났다.
게다가 자체점검이 강제가 아닌 자율로 이뤄지고 있어 겉으로 드러나지 않은 사고들이 더 있을 수 있다는 우려가 제기된다. 실효성 있는 정부 대책이 필요하다는 지적이 나오는 이유다.
10일 국회 과학기술정보방송통신위원회 소속 이훈기 더불어민주당 의원에 따르면 방통위는 지난해 3월 본인확인서비스 이용기관 2만3633곳을 대상으로 실시한 취약점 자체점검에 대한 회신율은 21.8%에 그친 것으로 집계됐다.
본인확인서비스는 주민번호를 대신하는 수단으로 휴대폰 인증 등을 통해 진행한다. 이동통신사가 운영하는 패스(PASS), 아이핀, 신용카드 등이 주로 이용되고 있다.
방통위는 공공·금융·민간 등 국내 웹사이트 다수가 회원가입 등에 이용자 신원확인을 위해 본인확인서비스를 이용하고 있지만, 일부 웹사이트에서 본인확인 결과정보를 안전하게 처리하지 않아 해당 정보를 위·변조 할 수 있는 가능성이 있다고 판단했다.
이에 방통위는 KISA와 자체점검 체크리스트를 요청했으나 강제성이 없고 법적 근거가 없어 회신율이 낮았던 것으로 평가된다.
이번에 문제가 나타났던 인터파크 티켓의 경우 몇 안되는 회신 기관 중 한 곳이었다. 인터파크 티켓은 웹사이트 본인확인 취약점 자체점검 12개 항목 모두 ‘검토했다’고 답했다.
하지만 지난 8월 인터파크 티켓이 한 콘서트 예매 신청에서 사고가 발생했다. 인터파크 티켓은 내국인과 외국인을 계정을 분리해서 운영하고 있다. 해당 콘서트 티켓은 내국인을 대상으로 한 예매였는데, 일부 중국인들이 인터파크 타켓에서 사용하고 있는 본인확인서비스 ‘패스(PASS)’를 우회해 한국인 명의로 예매를 시도한 것이다. 심지어 한국인으로 인증한 계정을 판매하는 업체도 있었던 것으로 알려졌다. 이같은 사실은 국내 온라인 커뮤니티 사이트에서 알려지면서 한 때 논란이 되기도 했다.
이 의원이 KISA로부터 제출받은 자료에 따르면 인터파크 티켓에서 중국인이 본인확인을 통과할 수 있었던 것은 웹페이지 통신 시 메시지 암호화를 하지 않았기 때문인 것으로 보인다. 중국 해커가 인증 ‘실패’ 메시지를 ‘성공’ 메시지로 위·변조할 수 있는 취약점을 노려 회원가입 시 타인명의 가입이 가능하도록 한 것이다.
인터파크 티켓 측은 “예매가 끝나면 정상적인 예매인지 검증작업을 하는데, 이 과정에서 문제가 있다는 사실을 확인했고 조치를 취했다”며 “정부의 체크리스트를 모두 이행했었다. 또 패스에서 준 가이드대로 설계가 돼 있다. 현재 문제점은 모두 보완한 상태”라고 말했다.
KISA는 이번 문제가 웹사이트의 보안 취약점을 노린 공격이라고 판단하고 있다. 대개 웹사이트들은 몇 곳의 보안업체를 통해 본인확인서비스를 구축, 운영하고 있다. 보안 사고를 예방하기 위해서는 패스와 보안업체, 인터파크가 제 때 업데이트를 진행해야 한다. 하지만 이번에는 이 과정에서 문제가 있었던 것으로 알려졌다.
우선 방통위와 KISA는 이같은 사고 재발방지를 위해 당장 본인확인서비스 이용기관 취약점 보안가이드 준수여부를 재확인하고, 당장 다음달에 타인명의 회원가입이 불가하도록 본인확인서비스 통합모듈을 배포할 방침이다.
또한 방통위와 KISA는 지난 7월 정보통신망법이 개정되면서 본인확인 이용기관의 안전조치에 대한 실태점검을 할 수 있는 법적 근거가 마련된 만큼 하위법령 제/개정을 통해 대응하겠다고 이 의원실에 회신했다.
관계부처 등과 본인확인서비스 관련 보안점검이 추진될 수 있도록 협의하고, 이용기관의 안전조치 점검과 관련한 제도 정비를 병행한다는 방침이다.
다만 이 의원은 자체 점검이나 가이드만으로는 사고 예방에 한계가 있다고 지적했다. 게다가 본인확인 이용기관이 2만4000여 개에 이르는 만큼 효율적인 관리가 필요하다는 것이다.
이 의원은 “법 개정으로 운영관리 실태를 점검할 수 있는 근거가 마련됐지만, 아직 하위법령 개정이나 규칙 등 구체적 규율이 없어 관리에 한계가 있다”며 “특히 자체점검에서는 거짓으로 보고할 수 있는 우려도 있어 점검에서 그치는 게 아닌 실제 이행했는지 확인할 수 있는 체계적인 시스템을 구축해야 한다”고 촉구했다.
◎공감언론 뉴시스 siming@newsis.com