“해커조직 국가 행정망 침투”…국정원, 인증체계 대대적 보완 착수

인증서와 해외 IP 등을 활용한 해커조직의 범정부 업무시스템 침투가 드러나면서 행정망 전체의 보안 체계가 도마 위에 올랐다. 국가정보원은 최근 해커들이 인증서 6개와 국내외 IP 6개를 이용해 온나라시스템 등 정부 중요 행정시스템에 접근한 정황을 확인하고, 즉각적인 대응에 착수했다고 밝혔다. 해킹 시도는 주요 부처의 업무용 인증서(GPKI)와 패스워드 확보, 원격접속시스템(G-VPN) 통과 등 정교한 방식이 동원된 것으로 드러났다. 국정원은 이미 7월에 관련 첩보를 행정안전부 등과 공유, 정밀 분석을 통해 해킹 사실을 확인했다고 전했다. 이후 2022년 9월부터 행안부 재택근무용 시스템을 통한 자료 열람이 이뤄진 것으로 조사됐다.  

기술적으로 해커들은 인증서 위조와 본인확인 우회를 동시에 시도했다. 온나라시스템 및 G-VPN 인증로직 분석, 각 부처 전용 서버 인증 미흡 등을 노려 복수 기관을 넘나든 것이다. 국정원은 원격접속 ARS 등 2차 인증 도입, 인증 로직 변경, 해킹에 사용된 GPKI 즉시 폐기 등 복수 대책을 취했다. 기존 1회성 인증 구조에서 추가적 본인확인이 도입돼, 해커의 재침투 우려를 낮췄다.  

시장 면에서는 이번 사건이 공공 분야 디지털 전환과 정보보호 간 균형의 시급성을 재확인시켰다. 재택근무, 비대면 행정 등 IT 기반 확대에도 보안 체계 보강의 ‘공백’이 있던 셈이다. 사용자인 공직자는 GPKI 폐기, 이메일 계정 비밀번호 변경 등 후속조치가 내려졌다.  

해외 사례로는 미국 연방정부 및 EU 공공기관에서 이미 자체 다중 인증(MFA), 권한 분리 정책 강화, 악성 IP 상시 블랙리스트 운영 등이 확산되고 있다. 국정원 역시 해커가 악용한 6개 IP를 전 공공기관에 공유·차단했다.  

기술‧정책적으로 해킹 배후 지목과는 달리, “북한 김수키 조직”이라는 외부 분석이 나왔지만 국정원은 “확정할 기술적 증거는 부족하다”며 각국 정보기관, 글로벌 보안업체 등과 협력 강화 방침만 밝혔다. 한글을 중국어로 번역한 정보, 대만 겨냥 정황 등 복잡한 패턴이 공존해 다각적 추적이 불가피한 상황이다.  

전문가들은 “이번 사태로 원격업무 편의성, 인증서 신뢰 체계, 서버 접근 통제 등 공공 IT 전반의 위기관리가 재점검되는 계기가 되고 있다”고 진단했다. 산업계는 이번 추가 대책과 후속 정책이 실제로 디지털 정부 시스템 안전성 향상을 이끌지 주목하고 있다.