온나라시스템 해킹…정부 “관리 부주의 가능성, 인증체계 전환 추진”
“공무원 인증서 탈취·무단 접속 정황 확인”…피해 범위는 조사 중
행안부 “인증·원격근무 체계 전면 전환할 것”
정부가 온나라시스템 등 행정망을 겨냥한 해커의 정교한 사이버 침투 정황을 확인하고 합동 대응에 나섰다. 국가정보원에 따르면, 공무원 ‘행정전자서명(GPKI)’ 인증서 정보가 탈취돼 ‘정부원격근무서비스(GVPN)’를 통해 해커의 무단 접속이 이뤄지고 일부 자료가 실제로 열람된 사실이 확인됐다. 현재 국정원은 모든 접속 로그를 분석해 피해 규모를 확인 중이며, 추가적인 정보 반출이나 2차 피해 발생 여부는 조사 중이다.
행정안전부는 이번 침해가 단순한 기술적 공격을 넘어 공무원의 GPKI 인증서 관리 부주의에서 비롯됐을 가능성도 있다고 보고, 전 부처를 대상으로 인증체계 전면 강화에 착수했다.
이번 사건은 미국 해킹 잡지 ‘프랙(Phrack)’이 지난 8월 초 관련 문건을 공개하며 처음 알려졌다. 프랙이 공개한 자료에는 정부 온나라시스템 GPKI 인증서의 ‘애플리케이션 프로그래밍 인터페이스(API)’ 소스코드, 일부 부처의 행정메일 서버 코드, 통신사 서버 인증서 파일 등이 포함돼 있었으며, 공격자가 이 정보를 이용해 복수 기관의 행정망에 접근한 정황이 담겨 있었다. 프랙은 공격 배후로 북한의 해킹조직 김수키를 지목했고, 고려대학교 정보보호대학원은 이후 분석에서 “코드 패턴과 전술·기술·절차(TTP)가 중국계 해커 조직과 유사하다”고 분석한 바 있다.
이에 대해 국정원은 “공격에 사용된 인증서와 IP 이력, 공격 도구 등을 종합 분석 중”이라며 “특정 세력을 단정할 기술적 근거는 아직 부족하다”고 신중한 입장을 밝혔다.
“공무원 정상 계정 위장해 침투”…행정망 안쪽까지 접근 정황
국정원은 지난 7월 온나라시스템 등 공공·민간 분야 해킹 첩보를 입수해 행안부 등과 합동 분석을 진행했다고 17일 밝혔다. 그 결과 일부 계정의 위장 접속과 자료 열람 정황을 확인했다. 국정원은 “해커가 열람한 구체적 자료 내용과 피해 규모는 여전히 조사 중이지만, 공격자는 정상 사용자로 위장해 온나라시스템 내부로 침투한 것으로 보인다”고 설명했다.
국정원에 따르면, 해커는 GPKI 인증서와 비밀번호를 탈취해 합법 사용자처럼 GVPN을 통과해 온나라시스템에 접근했다. 특히 온나라시스템의 인증 ‘애플리케이션 프로그래밍 인터페이스(API)’ 소스코드 일부도 노출돼 있었던 것으로 확인됐다. 다만 해당 소스코드는 과거 인터넷 익스플로러 환경에서 사용되던 ‘액티브엑스(ActiveX)’ 기반 예전 버전으로, 2018년 이후 사용되지 않아 현재는 보안 위협이 없는 것으로 조사됐다.
침투 시점은 2022년 9월부터 올해 7월까지로, 총 6개의 인증서와 국내외 6개의 IP가 사용된 것으로 확인됐다. 일부 부처 전용 시스템에서도 접속 흔적이 발견돼 조사가 진행 중이다.
국정원은 “해커가 악용한 IP를 전 공공기관에 전파·차단하고, 인증서를 폐기하고 온나라시스템 접속 로직 변경 등 긴급 보안조치를 단행했다”며 “이번 공격은 일부 기관에 국한된 것이 아니라, 행정·민간 영역 전반을 노린 광범위한 시도”라고 밝혔다.
또 국정원은 조사 과정에서 다른 정부기관과 민간 영역에서도 해킹 정황이 일부 확인됐다고도 설명했다. A부처의 경우 행정메일 서버 소스코드가 노출돼 국정원과 해당 부처는 개발업체와 함께 코드를 분석해 취약한 부분을 수정했다. B부처는 GPKI 인증서 중 일부의 비밀번호가 노출돼 즉시 변경 조치가 이뤄졌다. 추가로 180개 공무원 이메일 계정이 해커가 구축한 피싱사이트에 접속한 것으로 보이는 정황도 있어, 해당 계정에 대해서도 전체 비밀번호를 변경했다. 현재까지 관련 피해는 확인되지 않았다는 것이 국정원의 설명이다.
아울러 민간 부문에서도 유사한 침투 흔적이 발견됐다. 국내 주요 이동통신사 2곳의 서버 인증서와 계정관리 파일, 언론사의 원격관리시스템(VPN) 로그인 페이지 노출이 확인돼 관계 기관이 긴급 보안조치를 진행하고 있다.
국정원은 “민간 부문 관련 내용을 과학기술정보통신부에 통보했으며, 과기정통부가 피해 여부를 별도로 확인 중”이라고 밝혔다.
행안부 “ARS 2차 인증 적용, 인증서 로직 변경 완료”…인증·원격근무 체계 전면 점검
행안부는 17일 정부서울청사에서 온나라시스템 해킹 관련 브리핑을 열고 “국정원 통보 이후 즉시 합동 점검에 착수해 원격접속·인증체계를 전면 강화했다”고 밝혔다. 조사 결과, 총 650개의 GPKI 인증서 파일이 확인됐으며 이 중 12건은 비밀번호까지 함께 노출돼 있었다. 650건 가운데 647건은 이미 유효기간이 만료된 상태다. 나머지 3건은 유효기간이 남아 있었지만 8월 13일부로 폐기 조치됐다.
행안부 관계자는 “공무원이 외부 PC나 USB 등에 GPKI 인증서 파일을 옮겨 사용하는 사례가 있어 사용자 부주의로 인한 유출 가능성도 배제할 수 없다”며 “각 부처에 인증서 공유 금지와 접근통제 강화 지침을 통보한 상태”라고 밝혔다. 온나라시스템은 망분리가 적용돼 인터넷과 분리된 내부망에서만 접근이 가능한 구조지만 원격근무시에는 GVPN을 통해 외부에서도 접속할 수 있다. 만약 공무원이 GPKI 인증서를 개인 PC나 외장 저장장치에 옮겨 사용할 경우, 인증서가 망 외부로 유출될 위험이 커진다. 해커가 이를 악용하면 망분리의 보안 효과도 무력화될 수 있다.
행안부는 GVPN 접속 시 ARS 기반 2차 인증을 8월 4일부터 적용하고, 온나라시스템의 인증 로직을 7월 28일 수정했다. 현재 GVPN 이용자는 약 6만3800명이다. 행안부 관계자는 “기존 GPKI 기반의 단일 인증 체계를 모바일 신분증 기반 다중인증(MFA)으로 단계적으로 전환할 계획”이라고 밝혔다.
국정원은 “정상 인증서를 이용한 합법 사용자 위장 접속은 기존 관제 시스템에서 탐지하기 어렵다”며 “이번 사건을 계기로 탐지 사각지대를 줄이는 관제 고도화에 나서겠다”고 밝혔다. 이를 위해 행위 기반 분석과 세션 무결성 검증, 로그 상관분석(UEBA) 등 새로운 기술을 적용하는 방안을 검토 중이다.
행안부 역시 ▲원격근무용 PC의 신뢰성 검증 강화 ▲인증서 이동 통제 ▲부처 전용 서버 접근통제 개선 ▲공공기관 간 로그인 토큰 통합 검증 등의 추가 조치를 예고했다.
김창섭 국정원 3차장은 “온나라시스템 등 정부 행정망은 국민 생활과 행정 서비스의 근간”이라며 “조사를 조속히 마무리하고 재발 방지를 위한 범정부 대책을 마련하겠다”고 강조했다.
이용석 행안부 디지털정부혁신실장은 “이번 점검을 계기로 인증서 기반의 단일 인증체계에서 벗어나, 모바일 공무원증 기반 다중인증(MFA)으로 전환하겠다”며 “ARS 인증은 임시조치로, 향후 생체·기기 인증을 결합한 형태로 단계적으로 강화할 계획”이라고 말했다.
정부가 인증서 폐기와 2차 인증 등 후속 조치를 발표했지만, 보안 체계 자체의 구조적 허점을 개선하지 않으면 비슷한 사고가 반복될 수 있다는 지적도 나온다. 곽진 아주대학교 정보보안학과 교수는 “민간과 다르게 정부가 해킹 사실을 비교적 늦게 발표한 점은 아쉽다”며 “공공기관의 특성상 신중한 절차를 거쳤을 것으로 보인다”고 말했다.
그러면서 그는 “정부가 민간기업에는 정보보호 투자 확대를 강하게 요구하면서 정작 공공 부문은 예산과 절차 제약으로 최신 보안 장비 도입이 더디다”며 “공공망 보안체계도 민간 수준의 투자와 점검이 이뤄져야 재발을 막을 수 있다”고 조언했다.
또 “온나라시스템만의 문제가 아니라 정부 전산망 전반에 대한 신뢰가 흔들린 상황”이라며 “이번을 계기로 민간 뿐 아니라 공공 전산 인프라 전반을 대상으로 한 전수조사와 구조적 개선이 필요해 보인다”고 강조했다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
