공무원 업무시스템 '온나라' 해킹 의혹 사실로…국정자원 화재로 먹통됐다가 정상화되기도

정부 "구체적인 해킹 피해 규모 파악 중, 재발 방지 대책 마련할 것"

정부 행정 전산망의 수난시대다.



국가정보자원관리원(이하 국정자원) 화재로 정부 행정정보시스템 장애가 20일 넘게 이어지는 와중에 그간 제기돼온 시스템 해킹 의혹이 사실로 확인된 것이다.

지난 9월 27일 대전 유성구 국가정보자원관리원 화재현장에서 소방당국 관계자들이 폭발한 리튬배터리를 옮기고 있다.

행정안전부는 17일 브리핑을 통해 미국 해킹 관련 매체인 '프랙 매거진(Phrack Magazine)'에서 제기된 해킹 의혹을 사실로 확인하고, 보안 조치 강화 등 대응 상황을 공개했다.



국가 사이버 침해 대응 총괄기관인 국가정보원도 보도자료를 내 신원을 알 수 없는 해커가 정부 행정망에 무단 접속해 자료를 열람한 사실이 확인됐다며 유관 부처가 합동 보안 조치를 시행하고, 추가 피해 차단 및 재발 방지 대책을 마련하고 있다고 알렸다.



앞서 프랙은 올해 8월 한국의 정부 기관과 민간기업이 대거 해킹당한 정황이 있다고 공개했다.



이 매체는 미국 비영리 단체 '디 도시크릿츠'가 'KIM'이라는 공격자의 서버를 해킹해 획득한 자료를 토대로 한국의 행정안전부, 외교부 등 중앙 행정기관과 이동통신사 등이 해킹당한 흔적이 있다고 전한 바 있다.



국정원 등의 점검 결과 공공부문에서 해킹 흔적이 확인된 곳은 공무원 행정업무 시스템인 온나라, 부처 행정 메일서버, 공직자 이메일 계정, 부처 업무용 인증서(GPKI) 등이다. 민간 부문의 경우 KT, LG유플러스 등 이동통신사가 해킹에 노출됐던 것으로 조사됐다.



온나라시스템의 경우 해커가 GPKI 등을 이용해 2022년 9월부터 올해 7월까지 재택근무 시 사용하는 원격접속시스템(G-VPN)을 통과한 뒤 내부 자료를 열람한 것으로 확인됐다.



온나라시스템은 공무원들이 업무를 볼 때 활용하는 행정망이다.

자료=국가정보원 제공

공무원들이 GPKI를 이용해 행정망 내부에 접속한 뒤 서류를 보내거나 받는 등 공무원 업무 시 핵심 시스템으로 볼 수 있다. 공문 수발신 외에도 내부 메모 보고 등에 활용된다.



온나라시스템은 이번 국정자원 화재로 정부 전산시스템이 셧다운됐을 때 함께 마비됐다가 복구작업이 진행되며 하나둘 기능이 정상화되고 있다.



장기간 해킹 공격에 노출됐던 시스템이 화마에 큰 타격을 받고 멈춰 섰다가 간신히 제 기능을 되찾아가는 상황으로 볼 수 있다.



국정원은 G-VPN의 본인확인 등 인증체계가 미흡하고, 온나라시스템의 인증 로직이 노출되면서 해커가 복수의 정부 기관에 접속할 수 있었던 것으로 보고 있다. 또 각 부처 전용 서버에 대한 접근통제도 미비했던 점이 해킹 가능 배경으로 분석됐다.

행안부는 해킹 피해 이후 국정원과 협의를 거쳐 G-VPN 접속 시 전화 자동응답시스템(ARS)을 통한 2차 인증 적용, 유출된 GPKI 폐기 등 보안 조치를 강화했다.



두 기관은 온나라시스템에 대한 해커 침입이 확인된 만큼 구체적으로 어떤 자료를, 얼마나 열람했는지 피해 규모를 확인하고 있다.



이용석 행안부 디지털정부혁신실장은 이날 정부세종청사에서 연 브리핑에서 "구체적인 (피해) 내용들은 조사하고 있으며 관련 기관과 협의를 통해 (재발 방지를 위한) 종합 대책을 마련하겠다"고 밝혔다.

<연합>