국정원 “정부 행정망 침입 해커들, 2022년부터 자료 열람 정황”

‘북한 김수키 배후 단정’ 증거는 부족…대만 공격 시도도 확인
개인 인증서 등 이용해 침투...온나라시스템 뚫려

(시사저널=김현지 기자)

서울 내곡동 국가정보원 로고.. ⓒ국회사진취재단

우리 정부 행정망에 침입한 해커 조직이 개인 인증서와 국내외 6개 IP(인터넷 프로토콜)를 이용해 온나라시스템에 접속하고 자료를 열람한 것으로 확인됐다.

국가정보원은 17일 "해커는 다양한 경로를 거쳐 공무원들의 행정업무용 인증서(GPKI), 패스워드 등을 확보한 것으로 보인다"며 "인증체계를 분석한 뒤 합법적 사용자로 위장해 행정망에 접근했다"고 밝혔다. 그러면서 "이후 인증서 6개 및 국내외 IP 6개를 이용해 2022년 9월부터 올해 7월까지 행정안전부가 재택근무를 위해 사용하는 원격접속시스템을 통과했고 온나라시스템에 접속해 자료를 열람했다"고 전했다.

일부 부처가 자체 운영 중인 전용 시스템에 접근한 것으로도 드러났다. 국정원은 "점검 결과 정부 원격접속시스템에 본인확인 등 인증체계가 미흡했다"며 "아울러 온나라 시스템의 인증 로직이 노출되면서 복수 기관에 대해 접속이 가능했고 각 부처 전용 서버에 대한 접근 통제가 미비했던 게 사고 원인"이라고 했다.

국정원은 △정부 원격접속시스템 접속시 ARS 등 2차 인증 적용 △온나라 시스템 접속 인증 로직 변경 △해킹에 악용된 인증서 폐기 △피싱사이트 접속 추정 공직자 이메일 비밀번호 변경 △각 부처 서버 접근 통제 강화 △소스 코드 취약점 수정 등의 조처를 했다.

국정원은 "미국 해커 잡지인 프랙은 이번 해킹 배후로 북한 김수키 조직을 지목했는데, 해커 악용 IP 주소 6종의 과거 사고 이력, 공격방식 등을 종합적으로 분석 중"이라며 "그러나 현재까지 해킹소행 주체를 단정할만한 기술적 증거는 부족한 상황"이라고 설명했다.

그러면서도 "해커가 한글을 중국어로 번역한 기록, 대만 해킹을 시도한 정황 등이 확인됐지만 모든 가능성을 열어 두고 해외 정보협력기관 및 국내외 유수 보안업체와 협력해 공격 배후를 추적하고 있다"고 했다. 국정원은 앞서 프랙에서 해킹 정황을 공개한 것보다 한 달 전인 7월 해킹 첩보를 먼저 입수했다고 한다.

국정원은 현재 해커가 정부 행정망에서 열람한 구체적 자료 내용, 규모 등을 파악하고 있다. 또 조사를 끝낸 직후 국회 등에 보고할 예정이다. 국정원은 행안부 등 관계 기관과 함께 인증체계 강화, 정보보안제품 도입 확대 등 보안 강화 방안도 마련한다는 방침이다. 특히 현재의 보안관제 시스템으로 해킹 징후 포착에 어려움이 있는 만큼, 사각지대를 모니터링할 수 있도록 탐지 체계를 고도화해 나갈 계획이다.

김창섭 국정원 3차장은 "온나라시스템 등 정부 행정망은 국민의 생활과 행정 서비스의 근간"이라며 "진행 중인 조사를 조속히 마무리하고 재발 방지를 위한 범정부 후속대책을 마련해 이행할 계획"이라고 말했다.