국정원 "온나라시스템 해킹 첩보 7월에 입수…긴급 보안 조치"

(서울=뉴스1) 유민주 구진욱 기자 = 국정원은 17일 미상의 해커가 정부의 행정망인 온나라시스템에 무단 접속한 사실을 지난 7월에 확인해 여러 대응 조치를 취했다고 밝혔다.

국정원은 "지난 7월 온나라시스템 등 공공·민간 분야에 대한 해킹 첩보를 사전에 입수했다"며 "행안부 등 유관기관과 합동으로 정밀 분석을 실시해 해킹 사실을 확인하고 추가 피해 방지를 위한 대응에 나섰다"라고 말했다. 이는 지난 8월 미국 해킹 전문 매체인 '프랙'(Phrack)에서 해킹 정황을 공개한 것보다 한 달 앞선 조치라고 덧붙였다.

미국의 해킹 전문 매체인 프랙은 지난 8월 익명의 화이트해커들이 국제 해커그룹의 PC를 역으로 해킹한 결과를 보고서 형식으로 공개했다. 보고서는 행안부, 통일부, 해양수산부 등이 해킹 피해를 입었을 가능성을 제기했다.

또 정부의 온나라시스템 로그인 기록, 공무원 본인인증 체계인 행정전자서명 인증서, 관련 보안프로그램의 소스코드 등이 피해를 입었을 것으로 추정했다. 해킹의 배후로는 북한의 사이버부대인 '김수키' 조직을 지목했다.

국정원 조사에 따르면 해커는 먼저 다양한 경로로 공무원들의 행정업무용 인증서(GPKI)·패스워드 등을 확보한 것으로 보이며, 인증체계를 면밀히 분석한 뒤 합법적 사용자로 위장해 행정망에 접근한 것으로 밝혀졌다.

이후 인증서(6개) 및 국내외 IP(6개)를 이용해 2022년 9월부터 올해 7월까지 행안부가 재택근무를 위해 사용하는 원격접속시스템(G-VPN)을 통과, 온나라시스템에 접속해 자료를 열람했다.

G-VPN은 공무원이 외부에서 정부 내부망에 접속할 때 사용하는 일종의 보안 통로이며, GPKI는 공무원 신원을 확인하기 위한 전자 서명 시스템이다.

국정원은 대응 과정에서 해커들이 일부 부처가 자체 운영 중인 전용 시스템에도 접근한 사실을 추가 확인해 조사 중이다.

국정원은 "정부 원격접속시스템에 본인확인 등 인증체계가 미흡하고 온나라시스템의 인증 로직이 노출되면서 복수의 기관에 접속이 가능했고 각 부처 전용 서버에 대한 접근 통제가 미비한 것이 사고 원인으로 드러났다"며 "해커가 악용한 6개 IP주소를 전(全) 국가·공공기관에 전파·차단하는 등 해커의 접근을 막는 긴급 보안조치를 단행했다"라고 말했다.

국정원은 이번 해킹 사태에서 확인된 해커 악용 IP주소 6종의 과거 사고 이력, 행정업무용 인증서(GPKI) 절취 사례 및 공격 방식·대상의 유사성 등을 종합적으로 분석 중이지만 현재까지 해킹을 한 주체를 단정할 만한 기술적 증거는 부족한 상황이라고 밝혔다.

해커가 한글을 중국어로 번역한 기록, 대만에 대한 해킹을 시도한 정황 등이 확인됐지만, 국정원은 "모든 가능성을 열어 두고 해외의 정보협력기관 및 국내외 유수 보안업체와 협력해 공격 배후를 추적하고 있다"라고 말했다.

국정원은 현재 해커가 온나라시스템 등 정부 행정망에서 열람한 구체적 자료 내용 및 규모를 파악 중이며 조사가 마무리되는 대로 결과를 국회 등에 보고할 예정이다. 아울러 현재의 보안관제시스템으로는 정상적인 경로로 은밀히 진행되는 해킹 징후를 포착하는 데 어려움이 있어 사각지대를 모니터링할 수 있도록 탐지체계를 고도화해 나갈 계획이다.

이와 관련 이용석 행안부 디지털정부혁신실장은 이날 정부세종청사 브리핑에서 "7월 중순 경 국정원을 통해 외부 인터넷 PC에서 G-VPN을 통해 업무망인 온나라시스템에 접근한 정황을 확인했다"며 "온나라시스템의 로그인 정보를 재사용하지 못하도록 하는 차단 조치를 7월 28일 모든 중앙부처와 지자체에 적용했다"라고 밝혔다.

youmj@news1.kr