아직 정체가 밝혀지지 않은 해커 조직이 정부원격근무시스템(G-VPN)에 로그인할 수 있는 인증서와 비밀번호 등을 훔쳐 최근 3년간 정부 내부 업무관리 전산망인 ‘온나라시스템’에 접속해 자료를 열람한 사실이 확인됐다. 뿐만 아니라 정부 부처가 자체 운영하는 일부 시스템에도 접속했다. 해킹 커뮤니티에서 최고 권위를 인정받는 웹진인 ‘프랙 매거진’은 지난 8월 초 한국 정부기관 여러 곳과 통신사 등 민간 기업이 해킹당한 자료를 공개했는데, 정부는 이에 대해 두 달여간 침묵하다 이날 행정안전부 브리핑과 국가정보원 보도자료를 통해 처음으로 입장을 밝혔다.

 국정원이 17일 발표한 내용을 보면, 해커 조직은 다양한 경로를 통해 공무원들이 사용하는 행정전자서명(GPKI) 인증서 및 비밀번호를 확보한 것으로 보이며 이후 6개의 인증서와 국내외 아이피(IP·인터넷에 연결된 모든 장치에 할당된 고유 식별 번호) 6개를 이용해 2022년 9월부터 올해 7월까지 행안부가 운영하는 정부원격근무시스템을 거쳐 온나라시스템에 접속해 자료를 들여다보았다. 공무원이 집이나 이동 중에 업무를 하려면 지정된 피시(PC)에서 정부원격근무시스템에 로그인을 해야 하는데, 이에 필요한 행정전자서명 인증서와 비밀번호 등을 빼냈다는 것이다. 또 국정원은 해커가 행안부 일부 부처의 자체 운영 시스템에도 접근한 사실을 추가 확인해 조사 중이라고 밝혔다.

해커가 정부 행정망에서 구체적으로 어떤 정보를 봤으며 이에 따라 유출된 기밀 자료가 존재하는지 등에 대해선 아직 명확하지 않다. 국정원은 “(해커들이) 열람한 자료 내용과 규모를 파악 중이며 조사가 마무리되는 대로 국회 등에 보고할 것”이라고 밝혔다.

해킹을 한 이들이 누구인지에 대해선 “‘프랙’은 북한 ‘김수키’ 조직을 지목했으나 악용한 아이피(IP) 주소 6종과 과거 사고 이력, 공격 방식 등을 분석 중이며 지금까지 해킹 소행 주체를 단정할 만한 기술적 증거가 부족한 상황”이라고 했다. 다만 “해커가 한글을 중국어로 번역한 기록, 대만 해킹을 시도한 정황 등이 확인됐으나 모든 가능성을 열어두고 국외 정보협력기관 등과 공격 배후를 추적하고 있다”고 덧붙였다.

다만 해커가 한글을 중국어로 번역한 기록, 대만 해킹을 시도한 정황 등이 확인됐다. 국정원은 모든 가능성을 열어 두고 해외 정보협력기관 및 국내외 유수 보안업체와 협력해 공격 배후를 추적하고 있다.

국정원은 프랙 매거진이 해킹 정황을 공개하기 전인 지난 7월 온나라시스템을 비롯한 공공·민간 부문의 해킹 피해를 인지했으며 행안부 등 유관기관과 합동으로 정밀 분석을 해 해킹 사실을 확인하고 추가 피해 방지를 위한 대응에 나섰다고 설명했다. 

국정원은 해커가 악용한 6개 IP주소를 전 국가·공공기관에 전파·차단하는 등 해커의 접근을 막는 긴급 보안조치를 단행했다.

이와 함께 △정부 원격접속시스템 접속 시 자동응답시스템(ARS) 등 2차 인증 적용 △온나라시스템 접속 인증 로직 변경 △해킹에 악용된 행정업무용 인증서(GPKI) 폐기 △피싱사이트 접속 추정 공직자 이메일 비밀번호 변경 △각 부처 서버 접근통제 강화 △소스코드 취약점 수정 등의 조치를 통해 추가 해킹 가능성을 차단했다고 발표했다.

행정전자서명 인증서와 비밀번호가 유출된 경위에 대해선 “사용자 부주의”로 추정했다. 이용석 디지털정부혁신실장은 이날 열린 브리핑에서 “조사 중이라 명확히 말하긴 어렵다”면서도 “일반적인 사례를 보면 인증서를 집이나 (정부청사) 외부 피시(PC)에 설치하는 경우가 있는데, 이 피시가 악성코드에 감염되면 정보 탈취 위험성이 있다”고 설명했다.

국정원은 “정부원격근무시스템의 본인 확인 등 인증체계가 미흡하고 각 부처 전용 서버에 대한 접근 통제가 미비한 것이 사고 원인”이라며 “행안부 등 유관기관과 함께 인증체계 강화 등 보안 강화책을 마련할 예정”이라고 밝혔다.