“정부 업무망 3년 해킹 당해” 두달 만에 실토…피해 내용도 모른다

‘프랙 매거진’ 해킹 정황 공개 2달여만에 사실 확인

이용석 행정안전부 디지털정부혁신실장이 17일 정부세종청사 중앙동 브리핑실에서 정부업무관리시스템(온나라) 해킹 대응 관련 브리핑을 하고 있다. 연합뉴스

아직 정체가 밝혀지지 않은 해커 조직이 정부원격근무시스템(G-VPN)에 로그인할 수 있는 인증서와 비밀번호 등을 훔쳐 최근 3년간 정부 내부 업무관리 전산망인 ‘온나라시스템’에 접속해 자료를 열람한 사실이 확인됐다. 뿐만 아니라 정부 부처가 자체 운영하는 일부 시스템에도 접속했다. 해킹 커뮤니티에서 최고 권위를 인정받는 웹진인 ‘프랙 매거진’은 지난 8월 초 한국 정부기관 여러 곳과 통신사 등 민간 기업이 해킹당한 자료를 공개했는데, 정부는 이에 대해 두 달여간 침묵하다 이날 행정안전부 브리핑과 국가정보원 보도자료를 통해 처음으로 입장을 밝혔다.

국정원이 17일 발표한 내용을 보면, 해커 조직은 다양한 경로를 통해 공무원들이 사용하는 행정전자서명(GPKI) 인증서 및 비밀번호를 확보한 것으로 보이며 이후 6개의 인증서와 국내외 아이피(IP·인터넷에 연결된 모든 장치에 할당된 고유 식별 번호) 6개를 이용해 2022년 9월부터 올해 7월까지 행안부가 운영하는 정부원격근무시스템을 거쳐 온나라시스템에 접속해 자료를 들여다보았다. 공무원이 집이나 이동 중에 업무를 하려면 지정된 피시(PC)에서 정부원격근무시스템에 로그인을 해야 하는데, 이에 필요한 행정전자서명 인증서와 비밀번호 등을 빼냈다는 것이다. 또 국정원은 해커가 행안부 일부 부처의 자체 운영 시스템에도 접근한 사실을 추가 확인해 조사 중이라고 밝혔다.

해커가 정부 행정망에서 구체적으로 어떤 정보를 봤으며 이에 따라 유출된 기밀 자료가 존재하는지 등에 대해선 아직 명확하지 않다. 국정원은 “(해커들이) 열람한 자료 내용과 규모를 파악 중이며 조사가 마무리되는 대로 국회 등에 보고할 것”이라고 밝혔다.

해킹을 한 이들이 누구인지에 대해선 “‘프랙’은 북한 ‘김수키’ 조직을 지목했으나 악용한 아이피(IP) 주소 6종과 과거 사고 이력, 공격 방식 등을 분석 중이며 지금까지 해킹 소행 주체를 단정할 만한 기술적 증거가 부족한 상황”이라고 했다. 다만 “해커가 한글을 중국어로 번역한 기록, 대만 해킹을 시도한 정황 등이 확인됐으나 모든 가능성을 열어두고 국외 정보협력기관 등과 공격 배후를 추적하고 있다”고 덧붙였다.

해커들은 행정전자서명(GPKI) 인증서 및 패스워드를 훔쳐, 원격접속시스템을 거쳐 정부 부처 시스템에 접속했다. 국가정보원 자료

국정원은 프랙 매거진이 해킹 정황을 공개하기 전인 지난 7월 온나라시스템을 비롯한 공공·민간 부문의 해킹 피해를 인지했으며 행안부 등 유관기관과 합동으로 정밀 분석을 해 해킹 사실을 확인하고 추가 피해 방지를 위한 대응에 나섰다고 설명했다.

행안부도 온나라시스템이 해킹당한 사실을 7월 중순 국정원으로부터 통보받았으며, 프랙 매거진에서 유출된 것으로 언급된 약 650명의 행정전자서명 인증서를 점검(그중 비밀번호까지 포함된 건 12건)해 유효기간이 남은 3명의 인증서를 8월13일 폐기했다고 밝혔다. 또 행정전자서명 인증뿐 아니라 전화 인증을 반드시 거쳐야 원격접속시스템에 로그인이 가능하도록 조처했다.

행정전자서명 인증서와 비밀번호가 유출된 경위에 대해선 “사용자 부주의”로 추정했다. 이용석 디지털정부혁신실장은 이날 열린 브리핑에서 “조사 중이라 명확히 말하긴 어렵다”면서도 “일반적인 사례를 보면 인증서를 집이나 (정부청사) 외부 피시(PC)에 설치하는 경우가 있는데, 이 피시가 악성코드에 감염되면 정보 탈취 위험성이 있다”고 설명했다.

국정원은 “정부원격근무시스템의 본인 확인 등 인증체계가 미흡하고 각 부처 전용 서버에 대한 접근 통제가 미비한 것이 사고 원인”이라며 “행안부 등 유관기관과 함께 인증체계 강화 등 보안 강화책을 마련할 예정”이라고 밝혔다.

박현정 기자 saram@hani.co.kr