[아이티데일리] 범정부 업무시스템인 ‘온나라시스템’이 해킹을 당했다는 의혹이 사실로 확인됐다. 행정안전부는 지난 7월 외부 PC에서 온나라시스템에 접근한 정황을 확인했다고 공식적으로 밝혔다.

행안부 이용석 디지털정부혁신실장은 17일 오전 정부세종청사에서 열린 브리핑에서 “지난 7월 중순 국가정보원을 통해 정부원격근무시스템(G-VPN)으로 온나라시스템에 접근한 정황을 확인했다”며 “8월 4일 원격근무시스템 접속 때 행정전자서명 인증과 함께 전화 인증을 거치도록 보안을 강화했다”고 밝혔다.

이번 발표로 행안부는 지난 8월 8일 미국 보안 전문지 ‘프랙(Phrack)’에서 우리나라 정부 해킹 의혹을 제기한 지 두 달여 만에 사실임을 인정했다. 다만 같은 날 보도자료를 낸 국정원은 “지난 7월 온나라시스템 등 공공·민간 분야 해킹 첩보를 사전에 입수, 유관기관과 합동으로 정밀 분석했다”며 “이는 8월 8일에 ‘프랙’에서 해킹 정황을 공개한 것보다 한 달 앞선 대응조치”라고 해명했다.

당시 프랙은 해킹 그룹 시스템에 보관된 데이터 자료를 공개했는데, 여기에는 행안부 소관인 온나라시스템에 대한 접속 로그가 담겨 있었다. 공인인증서 보안 프로그램 소스코드, 내부 웹 보안 시스템 관련 문서, 행정전자서명 등도 포함됐다.

유출된 내용 중 행정전자서명 인증서와 관련해 이용석 실장은 “국정원으로부터 해당 인증서 정보를 공유받아 유효성 여부를 점검한 결과 대부분 유효 기간이 만료됐다”며 “일부 유효한 인증서는 8월 13일 폐기 조치했다”고 말했다.

이어 “사용자 부주의로 외부 인터넷 PC에서 인증서 정보가 유출된 것으로 추정된다”며 “국정원 주관으로 관계기관과 함께 유출 경위와 피해 영향 등을 조사 중”이라고 덧붙였다.

국정원도 17일 온나라시스템 침해 정황에 대한 조사 결과를 발표했다. 국정원 발표에 따르면 해커는 공무원의 행정업무용 인증서(GPKI), 패스워드 등을 확보한 것으로 추정된다. 이후 인증서(6개) 및 국내외 IP(6개)를 이용, 2022년 9월부터 올해 7월까지 온나라시스템에 접속해 자료를 열람했다.

국정원은 “정부 원격접속시스템에 본인확인 등 인증 체계가 미흡하고 온나라시스템의 인증 로직이 노출되며 복수기관에 접속이 가능했다”며 “각 부처의 전용 서버에 대한 접근통제가 미비한 점이 원인으로 드러났다”고 설명했다.

국정원은 해커가 악용한 6개 IP주소를 전 국가·공공기관에 전파·차단하는 등 해커의 접근을 막는 긴급 보안 조치를 단행했다. 또 대응 과정에서 해커가 일부 부처에서 자체 운영하는 전용 시스템에도 접근한 사실을 추가 확인해 조사 중이다.

한편, 이번 공격의 배후는 아직 정확히 밝혀지지 않았다. 이번 공격이 공개된 당시 프랙 측은 그 배후로 북한 정부와 연계된 해커 조직 ‘김수키(Kimsuky)’를 지목한 바 있다.

국정원은 악용 IP 주소 6종과 과거 사고 이력 등을 종합 분석 중이나 해킹 주체를 단정할 만한 기술적 증거를 확보하진 못했다고 설명했다. 해커가 한글을 중국어로 번역한 기록, 대만 해킹을 시도한 정황이 확인됐으나, 국정원은 모든 가능성을 열어 두고 해외 정보 협력 기관 및 국내외 보안업체와 협력해 공격 배후를 추적하고 있다.