경찰청 사이버 테러대응센터에서는 본인인증체계의 허점을 이용하여 1만3천여명의 아이핀(이하 : i-PIN)을 부정발급 받은 피의자를 검거 하였다고 합니다
우선 i-PIN제도를 이용한 계정이 금융기능을 가지는것은 아니지만(금융거래시 추가인증필요) i-PIN 계정은 대형, 포럴 사이트 중심으로 쓰이고 있으며 앞으로도 단순 회원가입을 이용하는 경우에는 이용될것입니다. 즉 주민등록번호를 대체하여 개인정보 누출 및 도용사고시 피해를 최소화하는데 목표가 있다고 하겠습니다.
얼마전에 리뷰한 스타크래프트2 본인인증 절차에서도 잠시 나왔습니다
[Game] - [리뷰]스타크래프트2 :: 새로운 전장으로의 날개짓 - 시작하며 & 준비하기
i-pin.kisa.or.kr
이러한 i-PIN의 발급은 본인 확인(인증)기관에서 발급하는것으로 확인(인증)기관에 등록된 i-PIN ID와 비밀번호를 입력함으로서 주민번호를 대체하여 회원가입시 이용할수있도록 하고있으나 이번 i-PIN 부정발급에는 이 본인인증을 하는 부분에있어 헛점을 노려 진행한것으로 밝혀졌습니다
인증기관
 |
 |
|
 |
|
|
|
서울신용평가정보 |
한국신용정보 |
한국신용평가정보 |
한국정보인증 |
코리아크레딧뷰로 |
공공아이핀센터 |
|
02)846-5000 |
1588-2486 |
1600-1522 |
1577-8787 |
02)708-1000 |
02)3279-3480~2 |
본인인증시 휴대폰, 신용카드, 공인인증서를 사용하게되는데 이번 사건에는 신용카드 정보와 대리인의 휴대폰 정보를 이용하여 타인명의의 i-PIN을 발급 받았습니다.
본인인증 수단
i-pin.kisa.or.kr
본인인증을 위하여 충분할것으로 여겼던 신용카드 마져 이번사건에서는 도구로써 이용 되었다는 사실이 충격이 입니다.. 얼마전 신용카드 본인인증 체계에 대한글을 올렸습니다만... 아직까지도 카드사에서는 소식이 없군요.
[정보보안] - 구멍뚫린 신용카드 본인인증 시스템, 불안해서 살겠나?
사건의 자세한 내용은 아래와 같습니다.
먼저 A 카드사의 무기명 Gift카드가 사용되었으며 이 카드의 특징은 해당 사이트에서 사용자 등록후 사용 가능하나 횟수의 제한 없이 사용자의 등록, 변경이 가능하다는점을 이용해 타인명의를 도용하여 카드 사이트에 등록후 등록된 인적사항으로 다수의 i-PIN을 부정발급받았습니다.
A 카드사, 어디인지 정말알고 싶으나 경찰에서 밝히지 않는군요...
또한 A 카드사의 무기명 Gift카드는 인터넷 등록시 공인증서 명의와 입력하는 등록자 명의가 다르더라도 등록이 가능하였다는 점이 이 사건을 더 크게 부풀린 꼴이 되었습니다.
전에 이야기한 카드사 본인인증의 허점과 동일한 헛점이며 소유자 동일 실명 인증을 하지 않기 때문에 일어난 일입니다
이렇게 등록된 카드 정보로 2개의 본인확인기관에서 11280개를 부정발급 하였습니다.
또 B 카드사에서 발급하는 선불식 충전카드는 인터넷 발급 신청시 신청과 동시에 카드번호가 부여되나 적합성 판단후 실제로 발급되지 않았으나 웹페이지의 허점으로 번호가 유출되어 이 카드 번호 정보를 이용 i-PIN 발급에 사용되었다고 합니다.
반복대입식 입력으로 발급거부 카드번호를 확인, 이는 웹페이지 취약점이라고 보는게 맞을것같습니다
다음으로 휴대폰의 경우 i-PIN발급시 대리인증의 경우를 악용하여 신원보증인 1명이 5명의 i-PIN 발급자를 대리 인증해 줄수 있다는 점을 악용 휴대폰 대리인증자를 모집하여 건당 1000원 상당을 지급하기로하고 1850명의 개인정보를 도용하여 i-PIN을 발급 받았다고 합니다.
그리고 이들 정보는 중국 길림성소재 게임작업장 업자에 3000천만원에 판매가 되었다고 합니다.
그나마 다행인 것은 이 i-PIN 정보는 폐기,삭제가능 하기 때문에 주민등록번호가 유출된것 보다는 피해범위가 작다는 사실입니다.
불법 발급된 i-PIN 정보는 모두 삭제되었지만...
덕분에 오늘도 한국의 온라인게임에는 오토들이 득실거리고 게인정보 도용 및 해킹, 그리고 사기등이 끊이지 않고 일어나고 있습니다.
이와 관련된 법으로는
사전자기록 위작 : 5년이하 징역, 1천만원이하의 벌금
민등록번호 부정 사용 : 3년이하 징역, 1천만원 이하 벌금
의 적용을 받으나... 3천- 1천은??
'정보보안' 카테고리의 다른 글
| 주의! 트위터로 다가온 사칭,사기 이벤트 (33) | 2010.07.16 |
|---|---|
| 당신의 PC는 안전합니까? - V3Lite,사이트가드 소개 (46) | 2010.07.09 |
| 당신의 PC는 안전합니까? - DDoS 1년을 되돌아보며 (6) | 2010.07.07 |
| 구멍뚫린 신용카드 본인인증 시스템, 불안해서 살겠나? (7) | 2010.06.01 |
| 좀비PC를 청소하는날? 욕나오는 18일? (26) | 2010.05.19 |
| 카스퍼스키 바이러스 DB, 400만 돌파 그리고 성능테스트 결과 (31) | 2010.04.30 |
| 넷두루미는 알고 인터넷 하시나요? (10) | 2010.04.28 |
