• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

아이핀 도용해 개인정보 도용한 일당 검거 2010.06.07

본인인증 체계 허점을 악용, 1만3천여 명의 아이핀 부정 발급


[보안뉴스 오병민] 개인정보 노출을 최소화하고 주민등록번호 이용을 줄이기 위해 아이핀의 보급이 추진되고 있는 가운데, 아이핀의 허점을 노려 개인정보를 도용한 일당이 경찰에 붙잡혔다.


경찰청 사이버테러대응센터는 최근 인터넷 상에서 개인정보 보호를 위해 도입된 아이핀(i-PIN : internet Personal Identification Number)제도의 본인인증 체계의 허점을 악용해 1만3천여 명의 아이핀을 부정 발급받고, 이를 포털사이트, 게임사이트 계정생성 등에 사용한 피의자 등 8명을 검거했다고 밝혔다.

 

경찰에 따르면, 검거한 8명중 2명은 구속하고 6명은 불구속 입건했으며, 추가로 중국 후난성 소재 아이핀 등 개인정보 판매 조직에 대해서는 중국에 공조수사를 요청한 것으로 알려졌다.


아이핀은 공인받은 ‘본인확인기관’이 이용자에게 실명확인과 신원확인 등을 통해 발급하는 인증수단으로, 인터넷 회원 가입할 때 주민등록번호 대신 발급받은 아이핀 ID와 패스워드로 대신해 주민등록번호 유출의 위험성을 줄이고 본인확인을 강화하는 효과가 있다.


그러나 아이핀은 본인 여부를 확인하기 위해 신용카드나 휴대폰, 공인인증서, 대면확인 등 본인인증을 반드시 거치도록 하는데서 허점이 노출됐다. 피의자들은 대포로 만든 신용카드나 휴대폰의 본인인증을 거쳐 ‘본인확인기관’으로부터 타인 명의의 아이핀을 발급받은 것으로 밝혀졌기 때문이다.


아이핀 도용 사건, 그 내막은?

경찰이 밝힌 사건 개요에 따르면, 검거된 피의자 장 모 씨(33세, 구속)와 박 모 씨(37세, 불구속)는 2009년 3월경부터 A카드사를 통해 타인 명의를 도용해 카드 사이트에 등록한 뒤 등록한 인적사항으로 ‘X 인증’ 등 2개 본인확인기관을 통해 아이핀 1만1천280개를 부정 발급받았다.


A 카드사가 발급한 무기명 기프트(선물카드, Gift)카드는 해당 사이트에서 사용자 등록 후에는 횟수의 제한 없이 사용자의 등록이나 변경이 가능하다는 허점을 파악했기 때문이다.


또한 이와 같이 발급받은 1만1천280개의 아이핀을 이용하여 각종 게임 사이트의 계정을 불법 생성해 중국 길림성 소재 게임작업장 업자에게 판매하는 등 3천여만 원의 수익을 벌어들인 것으로 파악됐다.


그리고 현재 검거는 되지 않았지만 경찰이 중국에 공조수사를 요청한 중국 후난성 소재 피의자들은 2009년 3월경부터 2만4천770명의 타인명의를 도용해 ‘B 카드사’에서 발급하는 선불식 충전카드를 신청한 뒤, 중국 IP로 신청되어 카드 발급이 거부되었음에도 해당 카드사에서 운영하는 사이트의 카드등록 페이지에 카드번호를 계속 입력하여 확인하는 방법으로 발급 거부된 카드번호를 알아냈다.

 

그리고 그 중 80개의 카드번호를 본인인증 수단으로 해 ‘Y 평가’ 등 본인확인기관을 통해 타인명의 아이핀을 발급받았다. 경찰에 따르면, 유출된 타인명의 카드번호 2만4천770개 모두 아이핀을 부정 발급받은 것으로 추정돼 확인 중인 것으로 전해지고 있다.


신용카드와 휴대폰 등 본인인증 수단이 없는 사람을 대신해 신원보증인의 본인 여부만 대리로 확인 후 아이핀을 발급해주는 ‘대리인증’의 경우, 신원보증인 1명이 5명의 아이핀 발급자를 대리인증해 줄 수 있다는 허점을 노출했다.


피의자 김 모 씨(21세, 구속)와 안 모 씨(22세, 불구속)는 2009년 1월경부터 휴대폰 인증을 대리로 해줄 사람을 모집해 1건 당 1천 원 상당을 지급하기로 하고 1천850명의 개인정보를 도용해 ‘Y 평가’ 등 3개 본인확인기관을 통해 아이핀을 발급받은 것으로 드러났다.


또한 이와 같이 발급받은 1펀850개의 아이핀을 이용하여 포털사이트의 계정을 불법 생성한 후 게시판 광고에 사용하기 위해 포털사이트 계정을 필요로 하는 불구속 입건된 피의자들 4명에게 5백여만 원에 판매한 것으로 밝혀졌다.


경찰청 사이버테러대응센터 측은 “아이핀의 경우 한 번 도용되거나 유출되면 당사자가 알지도 못하는 사이에 제3의 범죄로 악용될 소지가 다분하므로, 이번 사건에서 확인된 부정생성 아이핀과 포털/게임사이트 계정에 대해서는 ‘본인확인기관’ 및 해당 사이트에 폐기하도록 통보해 더 이상 불법 사용되지 않도록 했다”면서 “아울러 유출된 것으로 확인된 ‘B 카드사’의 2만4천770개 카드번호와 ‘A 카드사’의 무기명 기프트카드는 더 이상 본인인증에 사용되지 않도록 조치했다”고 밝혔다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>