[서울이코노미뉴스 강기용 기자] 공무원 업무시스템인 '온나라 시스템'과 공무원 인증에 필요한 행정전자서명(GPKI)에 해커가 접근해 자료를 열람한 것으로 밝혀졌다.
행정안전부는 17일 정부세종청사에서 정부업무관리시스템(온나라) 해킹 대응과 관련해 가진 브리핑에서 "7월 중순 경 국가정보원을 통해 외부 인터넷 PC에서 정부원격근무시스템(G-VPN)을 통해 업무망인 온나라시스템에 접근한 정황을 확인했다"고 밝혔다.
이어 "지난 8월 4일 정부원격근무시스템에 접속 시 GPKI 인증과 더불어 전화인증(ARS)을 반드시 거치도록 보안을 강화했다"고 설명했다.
이에 앞서 미국 해킹관련 매체인 '프랙 매거진(Phrack Magazine)'은 지난 8월 한국의 중앙부처와 이동통신사, 민간기업이 해킹당한 흔적이 있다고 보도했었다.
하지만 정부는 침묵으로 일관해오다가 이날 뒤늦게 사실로 인정하고 사후 대응 과정을 공개했다.
국가정보원도 이날 "프랙에서 해킹 정황을 공개한 것보다 한 달 앞선 7월 해킹 첩보를 입수했다"면서 "해커는 다양한 경로로 공무원들의 행정업무용 인증서(GPKI), 패스워드 등을 확보한 것으로 보이며, 인증체계를 분석한 뒤 합법적 사용자로 위장해 행정망에 접근한 것으로 드러났다"고 밝혔다.
행안부에 따르면 해킹 피해를 당한 것으로 추정되는 GPKI는 650명분이다. 이 중 12명은 인증서 키뿐 아니라 비밀번호 등 내용이 함께 유출됐다.
650명의 인증서 대부분은 유효기간이 만료됐으며 3명의 인증서는 유효기간이 남아있었고 8월 13일 폐기 조치가 완료됐다.
행안부는 온나라시스템에 대해서는 온나라시스템 로그인 재사용 방지를 위한 조치를 완료해 7월 28일 중앙부처 및 지방자치단체에 적용했다고 밝혔다.
해킹 원인에 대해 행안부는 “사용자의 부주의로 인해 외부 인터넷 PC에서 인증서 정보가 유출된 것으로 추정된다”면서 “전 중앙부처와 지방자치단체에 인증서 공유 금지 및 관리 강화 등을 통보했다”고 전했다.
이용석 행안부 디지털정부혁신실장은 브리핑에서 "G-VPN도 보안장치가 있는데, 이번처럼 정상사용자처럼 위장하는 경우 보안 탐지 모니터링 툴에 잡히지 않을 수 있다"고 설명했다.
이어 “GPKI 인증서는 공인 암호키 체계를 쓰고 있어 인증서와 비밀번호까지 함께 노출되면 위험하지만 인증서만 갖고 있다고 사용할 수는 없다”면서 "인증서와 비밀번호가 같이 노출된 사례는 폐기 조치했다"고 밝혔다.
정부 발표가 뒤늦게 나온데 대해 이 실장은 "위협이 감지되면 긴급 조치를 먼저 시행해 빨리 할 수 있는 것을 먼저 조치한다"면서 “사실만 밝히기보다는 인증체계 강화 대책까지 함께 말씀드리는 게 좋을 것 같다고 생각했다"고 해명했다.
행안부에 따르면 G-VPN을 이용하는 인원은 6만3000명가량이다.
한편 국정원은 이번 사태와 관련, "해커조직이 인증서 6개 및 국내외 IP 6개를 이용해 2022년 9월부터 올해 7월까지 행정안전부가 재택근무를 위해 사용하는 원격접속시스템을 통과, 온나라시스템에 접속해 자료를 열람했다"고 밝혔다.
대응 과정에서 일부 부처가 자체 운영 중인 전용 시스템에 접근한 사실도 추가 확인됐다.
국정원은 "점검 결과 정부 원격접속시스템에 본인확인 등 인증체계가 미흡하고, 온나라 시스템의 인증 로직이 노출되면서 복수 기관에 접속이 가능했으며, 각 부처 전용 서버에 대한 접근 통제가 미비한 것이 사고 원인"이라고 밝혔다.
국정원은 ▲정부 원격접속시스템 접속시 ARS 등 2차 인증 적용 ▲온나라 시스템 접속 인증 로직 변경 ▲해킹에 악용된 인증서 폐기 ▲ 피싱사이트 접속 추정 공직자 이메일 비밀번호 변경 ▲각 부처 서버 접근 통제 강화 ▲소스 코드 취약점 수정 등 조처를 했다고 설명했다.
국정원은 "미국 해커 잡지인 프랙은 이번 해킹 배후로 북한 김수키 조직을 지목했다"면서 "해커 악용 IP 주소 6종의 과거 사고 이력, 공격방식 등을 종합적으로 분석 중이지만, 현재까지 해킹소행 주체를 단정할만한 기술적 증거는 부족한 상황"이라고 밝혔다.
이어 "다만 해커가 한글을 중국어로 번역한 기록, 대만 해킹을 시도한 정황 등이 확인됐지만 모든 가능성을 열어 두고 해외 정보협력기관 및 국내외 유수 보안업체와 협력해 공격 배후를 추적하고 있다"고 전했다.
국정원은 “현 보안관제 시스템으로는 해킹 징후 포착에 어려움이 있어, 사각지대를 모니터링할 수 있도록 탐지 체계를 고도화해 나갈 계획”이라고 밝혔다.
김창섭 국정원 3차장은 "온나라시스템 등 정부 행정망은 국민의 생활과 행정 서비스의 근간인 만큼, 진행중인 조사를 조속히 마무리하고 재발 방지를 위한 범정부 후속대책을 마련해 이행할 계획"이라고 말했다.
미국 해킹관련 매체인 프랙 매거진은 미국 비영리 단체 '디 도시크릿츠'가 'KIM'이라는 공격자의 서버를 해킹해 획득한 자료를 토대로 한국의 행안부, 외교부 등 중앙부처와 민간기업, 이동통신사 등이 해킹당한 흔적이 있다고 보도했다.
KIM은 북한 해킹그룹 김수키(Kimsuky)로 추정했다.