중국서 9만 원에 거래되는 한국인 계정, 본인인증 서비스 취약점 노출

- 본인인증까지 완료한 한국인 계정, 중국 내에서 개당 9~12만 원의 거래

- 이훈기 의원, “공연 티켓을 넘어 본인인증이 필요한 국내 정보망 해킹 우려, 시급히 개선해야”

최근 중국 해커 등이 국내 인터넷 예매 사이트 등의 본인인증 서비스 취약점을 노려 획득한 한국인 계정이 중국 내에서 버젓이 판매되고 있는 것으로 드러났다.

  더불어민주당 이훈기 의원(인천 남동을, 국회과학기술정보방송통신위원회)은 10일 열린 한국인터넷진흥원(KISA) 국정감사에서 본인확인 서비스 이용 기관 관리 부실로 본인인증 도용 등 다양한 국민 피해가 발생하고 있다고 지적했다.

  최근 공연 및 스포츠 경기의 치열한 예매 열기 속, 개인정보 불법 유통과 부실한 본인확인 시스템 문제를 공격한 중국 해커 등으로 인해 국내 주요 예매 사이트인 인터파크와 티켓링크 등의 한국인 계정이 중국 사이트에서 불법적으로 거래되고 있다.

  얼마 전 임영웅 콘서트 티켓팅에는 50만 명이 몰리면서 '피켓팅'(피 터지는 티켓팅)이라는 신조어가 생길 정도로 티켓 예매 경쟁이 심화되고 있는 가운데, 중국에서 인터파크 티켓 사이트의 한국인 계정이 9만~12만 원에 불법 판매되는 것을 확인했다고 이 의원은 밝혔다.

  국내 예매 사이트들은 부정 예매를 방지하기 위해 내·외국인 결제를 구분하고 있는데, 중국 암표상들은 이를 비웃듯 본인인증까지 완료한 한국인 계정을 불법으로 거래하고 있었다. 그러나 KISA는 이러한 상황을 전혀 인지하지 못했고, 이훈기 의원실에서 자료 요구를 하자 그제야 해당 게시물을 삭제하고 모니터링을 강화하겠다는 답변을 내놓았다.

  아울러 KISA가 본인인증 우회 취약점을 점검하기 위해 배포한 보안 가이드와 체크리스트의 실효성도 문제다. 이 의원에 따르면, 2024년 초, KISA는 약 2만 3천여 기관에 보안 취약점 점검을 요청했지만, 회신한 기관은 고작 21%에 불과했다. 그중 인터파크 티켓은 자체 점검 체크리스트를 작성해 회신했으나, 실제로는 웹페이지 통신 시 메시지 암호화가 이루어지지 않아 타인 명의로 회원가입이 가능한 치명적인 취약점이 발견됐다.

  이훈기 의원은 "KISA는 인터파크 티켓의 자체 점검 거짓 보고를 제대로 검토하지 않았고, 그 피해는 국민이 고스란히 떠안고 있다"며 "본인인증을 이용하는 대형 사이트에 대한 체계적 점검이 필요하다"고 강조했다. 또 이 의원은 과기부에는 빠른 하위법령 개정을, KISA에는 본인인증 관련 대상 기관에 대한 체계적인 점검 시스템을 구축하고, 그 방안을 조속히 의원실에 제출할 것을 요구했다.//끝.