정체불명의 해커가 정부 행정망인 ‘온나라시스템’ 등에 무단 접속해 3년여간 자료를 열람한 사실이 뒤늦게 확인됐다. 미국 해킹 관련 매체 ‘프랙 매거진’이 지난 8월 한국 정부와 통신사 등이 해킹당한 흔적이 있다고 보도한 지 두 달 만에 정부에서 이를 공식 인정한 것이다.
행정안전부는 17일 정부세종청사에서 브리핑을 하고 “올해 7월 중순쯤 국가정보원을 통해 외부 인터넷 PC에서 정부 원격근무시스템(G-VPN)을 통해 업무망인 온나라시스템에 접근한 정황을 확인했다”고 밝혔다. 국정원도 이날 보도자료를 통해 “해커가 다양한 경로로 공무원들의 행정업무용 인증서(GPKI)와 비밀번호를 확보한 뒤 합법적 사용자로 위장해 행정망에 접근했다”고 설명했다.
국정원에 따르면 해커들은 2022년 9월부터 올해 7월까지 행안부가 재택근무를 위해 사용하는 원격접속시스템(G-VPN)을 통과해 온나라시스템에 접속해 자료를 열람했다. 일부 정부 부처에서 자체 운영하는 부처 전용 시스템도 해킹당한 것으로 드러났다.
해킹에 악용된 행정업무용 인증서(GPKI)는 총 650명 분량이다. 이 가운데 12명은 인증서 키뿐 아니라 비밀번호까지 함께 유출된 것으로 파악됐다. 원격접속시스템(G-VPN)을 이용하는 인원은 약 6만3000명이다.
정부는 사용자 부주의로 외부 인터넷 PC에서 인증서 정보가 유출된 것으로 추정했다. 정부 시스템도 본인확인 등의 인증 절차가 부족했고, 각 서버의 접근 통제 역시 미비했다. 해커가 어떤 정보를 봤고, 유출된 기밀 자료가 있는지 등은 명확하지 않다.
국정원은 해커가 악용한 6개 IP주소의 접근을 차단하는 등 긴급 보안 조치를 실시했다. 또 정부 원격접속시스템 접속 시 2차 인증을 적용하고, 각 부처의 서버 접근 통제를 강화하는 등 추가 조치를 통해 해킹 가능성을 차단했다.
이번 해킹의 배후는 북한 해커조직일 가능성이 크다. 앞서 ‘프랙’은 북한 해킹 조직으로 알려진 ‘김수키’(Kimsuky)를 배후로 지목했었다. 국정원 조사에서도 해커가 한글을 중국어로 번역한 기록 등의 정황이 확인됐다. 다만 국정원은 “아직 해킹의 소행 주체를 단정하기는 어렵다”며 “모든 가능성을 열어두고 공격 배후를 추적하고 있다”고 밝혔다.
김판 기자 pan@kmib.co.kr