"7월 온나라시스템 해킹 첩보 사전 입수"
해커들, 공무원 행정업무용 인증서 등 확보
미 매체 '북 김수키' 지목…국정원 "단정 증거 부족"
(사진=국정원 제공) *재판매 및 DB 금지
[서울=뉴시스] 남빛나라 기자 = 국가정보원(국정원)은 해커들이 인증서 6개와 국내외 IP 6개를 이용해 범정부 업무시스템인 '온나라시스템'에 접속했다고 17일 밝혔다.
국정원은 이날 배포한 보도자료를 통해 "지난 7월 온나라시스템 등 공공·민간분야 해킹 첩보를 사전에 입수, 행정안전부(행안부) 등 유관기관과 합동으로 정밀 분석을 실시해 해킹 사실을 확인했다"고 했다.
미국 해킹 전문지인 '프랙'이 8월 관련 보고서를 발간하고 의혹을 제기하기 한 달 전 이미 대응에 나섰다는 것이 국정원 설명이다. 프랙은 행안부, 외교부, 통일부, 해양수산부 등 우리나라의 여러 정부부처 시스템에 대한 해킹이 이뤄졌다고 공개한 바 있다.
해커들은 다양한 경로로 공무원들의 행정업무용 인증서(GPKI)·패스워드 등을 확보하고 인증체계를 분석해 행정망에 접근했다.
이후 2022년 9월부터 올해 7월까지 행안부가 재택근무를 위해 사용하는 원격접속시스템(G-VPN)을 통과해 온나라시스템에서 자료를 열람했다.
국정원은 대응 과정에서 일부 부처가 자체 운영 중인 전용 시스템도 공격받은 사실을 추가로 확인해 조사 중이다.
이처럼 복수 기관에 접속이 가능했던 것은 정부 원격접속시스템상 본인확인 등 인증체계가 미흡하고, 온나라시스템의 인증 로직이 노출돼서다. 각 부처 전용 서버에 대한 접근통제도 미비했다.
국정원은 해커가 악용한 6개 IP주소를 전 국가·공공기관에 전파·차단했다.
이와 함께 ▲정부 원격접속시스템 접속시 ARS 등 2차 인증 적용 ▲온나라시스템 접속 인증 로직 변경 ▲해킹에 악용된 GPKI 폐기 ▲피싱사이트 접속 추정 공직자 이메일 비밀번호 변경 ▲각 부처 서버 접근통제 강화 ▲소스코드 취약점 수정 등 추가 조치를 했다.
아울러 A 부처 행정메일 서버 소스코드 노출이 확인된 데 따라 보안이 취약한 부분을 수정하고, 일부 패스워드(비밀번호)가 노출된 B 부처 GPKI의 패스워드를 바꿨다.
해커가 구축한 피싱사이트에 접속한 것으로 보이는 180여개의 공직자 이메일 계정에 대해서도 모두 비밀번호를 변경했다.
프랙은 이번 해킹 배후로 북한 '김수키' 조직을 지목했다.
국정원은 "종합적으로 분석 중이지만 현재까지 해킹 소행 주체를 단정할만한 기술적 증거는 부족한 상황"이라고 했다.
국정원은 "해커가 한글을 중국어로 번역한 기록, 대만 해킹을 시도한 정황 등이 확인됐지만 모든 가능성을 열어 두고 해외 정보협력기관 및 국내외 유수 보안업체와 협력해 공격 배후를 추적하고 있다"고 밝혔다.
김창섭 국정원 3차장은 "온나라시스템 등 정부 행정망은 국민의 생활과 행정 서비스의 근간"이라며 "진행 중인 조사를 조속히 마무리하고 재발방지를 위한 범정부 후속대책을 마련해 이행할 계획"이라고 말했다.
◎공감언론 뉴시스 [email protected]
