2년간 정부 행정망 해킹·무단 열람···北 김수키 연계설 ‘촉각’

[사진=디파짓포토스]

[이뉴스투데이 김진영 기자] 정부 행정망이 미상 해커의 정교한 공격에 노출돼 온나라시스템 등 주요 행정 플랫폼이 침투당한 사실이 확인됐다. 해커는 공무원 행정용 인증서를 탈취해 합법적 사용자로 위장, 약 2년간 행정망 내부 자료를 열람한 것으로 드러났다.

국가정보원은 “지난 7월 공공·민간 분야 해킹 첩보를 입수해 행정안전부 등 유관기관과 합동 분석을 한 결과, 해커가 온나라시스템에 무단 접속해 자료를 열람한 사실을 확인했다”고 17일 밝혔다. 미국 해커잡지 ‘프랙(Phrack)’이 지난 8월 관련 정황을 공개하기 한 달 전이었다.

해커는 공무원 행정업무용 인증서(GPKI)와 비밀번호를 확보한 뒤, 인증체계를 분석해 합법적 사용자로 위장한 것으로 나타났다. 확보한 인증서 6개와 국내외 6개의 IP 주소를 이용해 2022년 9월부터 올해 7월까지 행정안전부의 원격근무시스템(G-VPN)을 통해 온나라시스템에 접근했다. 이 과정에서 일부 부처의 전용 내부망에도 침투한 정황이 추가로 확인됐다.

이번 공격의 주요 원인으로 △정부 원격접속시스템의 본인확인 절차 미비 △온나라시스템의 인증 로직 노출 △부처별 서버 접근통제 부실을 지적했다. 이에 △ARS 등 2차 인증 도입 △온나라 인증 로직 변경 △악용된 인증서 폐기 △피싱사이트 접속이 의심되는 공직자 비밀번호 변경 △서버 접근통제 강화 △소스 코드 취약점 수정 등의 긴급 보안 조치를 시행했다.

국정원은 “프랙이 이번 공격의 배후로 북한 해킹조직 ‘김수키(Kimsuky)’를 지목했지만, 현재까지 특정 세력을 단정할 만한 기술적 증거는 없다”고 전했혔다. 다만 “해커가 한글을 중국어로 번역한 기록, 대만 해킹 시도 정황 등이 확인돼 모든 가능성을 열어두고 해외 정보기관 및 보안업체와 협력해 배후를 추적 중”이라고 덧붙였다.

이번 사태를 국회 정보위원회 양당 간사에게 보고한 국정원은 행정안전부 등 관계 기관과 협력해 인증체계 강화, 정보보안 제품 도입 확대 등 범정부 보안대책을 추진하고 있다. 김창섭 국정원 3차장은 “온나라시스템 등 행정망은 국민의 생활과 행정 서비스의 근간인 만큼 조사를 조속히 마무리하고 재발 방지를 위한 후속 대책을 마련하겠다”고 설명했다.