“해커조직, 인증서 탈취로 정부 행정망 침투”…국가정보원, 온나라시스템 해킹 피해 확인

정부 중요 행정망이 해킹조직의 타깃이 되면서 국가정보원이 긴장감 속에 조사에 나섰다. 국가정보원은 17일 해커가 온나라시스템 등 정부 행정업무망에 침입, 민감자료를 열람한 사실을 확인했다고 밝혔다. 해킹조직 배후를 둘러싼 책임 공방과 한국 정부의 정보보안 체계 강화 필요성이 다시 수면 위로 떠올랐다.

국가정보원은 이날 “프랙에서 해킹 정황을 공개한 것보다 한 달 앞선 7월 해킹 첩보를 입수했다”며 “해커는 다양한 경로로 공무원들의 행정업무용 인증서와 패스워드 등을 확보한 후, 인증체계를 분석해 합법적 사용자로 위장하고 정부 행정망에 접근했다”고 전했다. 실제로 해커들은 2022년 9월부터 올해 7월까지 행정안전부의 원격접속시스템을 통해 온나라시스템에 접속해 자료를 열람한 것으로 확인됐다.

또한 일부 부처가 자체적으로 운용하는 전용 시스템에까지 해킹 시도가 있었던 사실도 추가로 드러났다. 조사 결과 정부 원격접속시스템의 본인확인 등 인증체계 미흡, 온나라시스템 인증 로직 노출, 부처별 전용 서버 접근 통제 미비 등이 사고 원인으로 지목됐다. 이에 따라 국정원은 2차 인증 절차 도입, 인증로직 변경, 악용된 인증서 폐기, 피해 추정 공직자 이메일 비밀번호 변경, 각 부처 서버 접근 통제 강화 등 긴급 대응 조치를 했다고 설명했다.

특히 해킹 배후를 두고 미국 해커 잡지 프랙이 북한 김수키 조직을 지목했으나, 국정원은 “악용된 IP주소 이력과 공격방식을 종합 분석하고 있으나, 현재까지 단정할 만한 기술적 증거는 불충분하다”고 밝혔다. 국정원에 따르면 해커가 한글을 중국어로 번역한 흔적, 대만 해킹 시도 등 정황은 있으나, 추가 분석이 필요하다고 전했다. 아울러 해외 정보기관 및 국내외 보안업체와 협력해 배후를 추적 중이다.

정치권에서는 주요 행정망이 장기간 노출된 사실을 놓고 정보보안 체계 전면 재정비 필요성이 거세게 제기되고 있다. 정부는 “현 보안관제 시스템으로 해킹 징후를 포착하는 데 한계가 있었던 만큼 탐지체계를 고도화하고, 인증체계 강화와 정보보안제품 도입 확대 등 후속대책을 마련할 계획”이라고 밝혔다. 국정원은 온나라시스템 해킹으로 열람된 구체 자료와 피해 규모를 조사해, 마무리되는 대로 국회 등에 보고할 방침이다.

김창섭 국가정보원 3차장은 “온나라시스템 등 정부 행정망은 국민의 생활과 행정의 근간인 만큼, 조사를 신속히 마치고 범정부 재발 방지 대책을 수립해 이행하겠다”고 강조했다. 정부는 이와 별개로 정보 인프라의 사각지대를 해소할 종합 모니터링 체계 구축도 검토하고 있다.