공무원들이 문서 결재나 메일 송수신을 위해 활용하는 업무 시스템인 '온나라시스템'이 정체 불명의 해커 집단에 의해 해킹됐다는 사실이 국가정보원, 행정안전부 등 합동 조사로 확인됐다. 당초 해당 해커 집단은 북한 배후 그룹인 김수키로 지목됐지만 국정원은 "해킹 주체를 단정할 증거가 부족하다"는 입장이다.
국정원은 지난 7월 온나라시스템 등 공공·민간 분야 해킹 첩보를 사전에 입수해 행안부 등 유관기관과 합동으로 정밀 분석을 실시해 해킹 사실을 확인하고 추가 피해 방지를 위한 대응에 나섰다며 17일 이같이 밝혔다. 해당 해킹 정황은 미국 보안 잡지 '프랙'을 통해 8월 공개되기도 했다.
조사 결과 해커는 공무원들의 행정업무용 인증서(GPKI)와 비밀번호를 확보한 것으로 보인다. 확인된 해킹 정황은 △A부처 행정메일서버 소스코드 △B부처 행정업무용 인증서(GPKI) 패스워드(4개) 노출 △피싱사이트에 접속한 공직자 이메일 계정(180여개) 노출 등이다. 민간 부문에서는 △C통신사 서버 인증서 노출 △D통신사 서버 접속계정 관리 파일 노출 △E언론사 원격관리시스템 로그인페이지 노출 △포털사로 위장한 피싱사이트 접속계정 노출 등 정황이 확인됐다.
해커는 인증체계를 분석한 후 합법적 사용자로 위장해 행정망에 접근한 것으로 확인됐다. 이후 6개 인증서와 국내외 IP(인터넷주소) 16개를 이용해 2022년 9월부터 올 7월까지 행안부가 재택근무를 위해 사용하는 원격접속 시스템(G-VPN)을 통과했고 온나라시스템에 접속해 자료를 열람했다.
국정원은 해커가 일부 부처가 자체 운영 중인 전용 시스템에 접근한 사실도 추가 확인해 조치했다. 또 해커가 악용한 6개 IP주소를 전 국가·공공기관에 전파해 차단하도록 하는 등 긴급 보안조치도 단행했다. 국정원은 "정부 원격접속시스템 접속시 ARS 등 2차 인증 적용, 온나라시스템 접속 인증 로직 변경, 해킹에 악용된 GPKI 폐기, 피싱사이트 접속 추정 공직자 이메일 비밀번호 변경, 각 부처 서버 접근통제 강화, 소스코드 취약점 수정 등의 조치를 통해 추가 해킹 가능성을 차단했다"고 설명했다.
A부처 행정메일 서버 소스코드 노출과 관련해서는 개발업체와 함께 소스코드를 분석해 보안이 취약한 것으로 판단되는 부분을 수정했다. 일부 패스워드가 노출된 B부처는 GPKI의 비밀번호를 바꿨다.
국정원은 "민간의 경우 서버인증서 노출, 원격관리시스템(VPN) 접속 페이지 노출 등의 피해가 있어 해당업체에 위험성을 통보해 보안조치를 요청했다"며 "통신업체에 대해서는 과학기술정보통신부가 피해여부를 별도로 확인 중"이라고 했다.
또 "해킹에서 확인된 해커 악용 IP주소 6종의 과거 사고 이력, GPKI 인증서 절취 사례 및 공격방식ㆍ대상의 유사성 등을 종합적으로 분석중이지만 현재까지 해킹소행 주체를 단정할만한 기술적 증거는 부족한 상황"이라며 "해커가 한글을 중국어로 번역한 기록, 대만 해킹을 시도한 정황 등이 확인됐지만 모든 가능성을 열어 두고 해외 정보협력기관 및 국내외 유수 보안업체와 협력해 공격 배후를 추적하고 있다"고 했다.
이어 "보안관제시스템으로는 정상적인 경로로 은밀히 진행되는 해킹징후를 포착하는데 어려움이 있어, 사각지대를 모니터링할 수 있도록 탐지체계를 고도화해 나갈 계획"이라고 강조했다.
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
'">
.jpg?type=nf190_130)