정부의 공무원 업무관리 시스템인 '온나라 시스템'이 해킹당해 정부 부처에서 3년 가까이 정보가 유출된 것으로 확인됐다. 지난 8월 미국 전문 매체인 '프랙(Phrack)이 한국 중앙부처와 이동통신사, 민간기업이 해킹당한 흔적이 있다고 보도하면서 국내에 알려진 사안이다.
국가정보원은 17일 "지난 7월 온나라시스템 등 공공ㆍ민간분야 해킹 첩보를 입수해 행정안전부 등 유관기관과 합동으로 정밀 분석을 실시해 해킹 사실을 확인했다"고 발표했다. 국정원은 대응 과정에서 이들 해커가 일부 정부 부처가 자체 운영 중인 시스템에도 접근한 사실을 추가 확인해 조사 중이다. 국정원은 "현재 해커가 정부 행정망에서 열람한 구체적 자료 내용 및 규모를 파악 중이며 조사가 마무리 되는대로 결과를 국회 등에 보고할 예정"이라고 밝혔다. 프랙 보도에 따르면 행안부, 외교부 등 중앙행정기관과 군, 검찰, 다음·카카오·네이버, KT·LG 유플러스 등에서 해킹 흔적이 발견됐다.
국정원에 따르면 해커들은 다양한 경로로 공무원의 행정업무용 인증서(GPKI)ㆍ패스워드 등을 확보한 뒤 인증체계를 분석해 합법적 사용자로 위장해 행정망에 접근한 것으로 나타났다. 해커들이 인증서(6개) 및 국내외 IP(6개)를 이용해 2022년 9월부터 올해 7월까지 행안부가 재택근무에 사용하는 원격접속시스템(G-VPN)을 통해 각 부처 시스템에 접속해 자료를 탈취한 것으로 드러났다.
정보 탈취한 주체가 지난 8월 프랙이 배후로 지목한 북한 ‘김수키’ 조직이 아닐 수도 있다는 정황도 나타났다. 국정원은 "금번 해킹에서 확인된 해커 악용 IP주소 6종의 과거 사고 이력, GPKI 인증서 절취 사례 및 공격방식·대상의 유사성 등을 종합적으로 분석 중"이라며 "현재까지 해킹소행 주체를 단정할만한 기술적 증거는 부족한 상황"이라고 설명했다. 다만 국정원은 "해커가 한글을 중국어로 번역한 기록과 대만 해킹도 시도한 정황 등이 확인됐다"며 "모든 가능성을 열어 두고 해외 정보협력기관 및 국내외 유수 보안업체와 협력해 공격 배후를 추적하고 있다"고 했다.
정부는 뒤늦게 보안 취약점을 보완하는 등 대책을 마련하고 있다. 행안부는 온나라시스템에 대해서는 온나라시스템 로그인 재사용 방지를 위한 조치를 완료해 7월 28일 중앙부처 및 지방자치단체에 적용했다. 해킹 흔적이 발견된 행정전자서명(GPKI) 인증서에 대해서는 유효성 여부를 점검해 유효한 인증서는 폐기 조치했다.
이현일 기자 hiuneal@hankyung.com
관련뉴스
