국정원 “정부 행정망 해킹 확인…6개 인증서·6개 IP로 침입”

[국가정보원 제공. 재판매 및 DB 금지]

국가정보원은 정부 행정망에 대한 해킹 공격이 실제로 발생했으며, 해커들이 공무원 인증서와 국내외 IP를 이용해 내부 시스템에 접근한 사실이 확인됐다고 오늘(17일) 밝혔습니다.

국가정보원은 "프랙에서 해킹 정황을 공개한 것보다 한 달 앞선 7월 해킹 첩보를 입수했다"며 "해커는 다양한 경로로 공무원들의 행정업무용 인증서(GPKI), 패스워드 등을 확보한 것으로 보이며, 인증체계를 분석한 뒤 합법적 사용자로 위장해 행정망에 접근한 것으로 밝혀졌다"고 공개했습니다.

국정원에 따르면 해커들은 2022년 9월부터 지난해 7월까지 행정안전부의 원격접속시스템을 통해 ‘온나라시스템’에 접속해 일부 자료를 열람했습니다.

이들은 공무원의 행정업무용 인증서(GPKI) 6개와 국내외 IP 6개를 활용했으며, 합법적인 사용자로 위장해 행정망에 침투한 것으로 파악됐습니다.

국정원은 "점검 결과 정부 원격접속시스템에 본인확인 등 인증체계가 미흡하고, 온나라 시스템의 인증 로직이 노출되면서 복수 기관에 접속이 가능했으며, 각 부처 전용 서버에 대한 접근 통제가 미비한 것이 사고 원인"이라고 밝혔습니다.

국정원은 사고 이후 ▲ ARS 등 2차 인증 절차 도입 ▲ 온나라시스템 인증 로직 변경 ▲ 해킹에 악용된 인증서 폐기 ▲ 피싱사이트 접속 추정 계정의 비밀번호 변경 ▲ 각 부처 서버 접근 통제 강화 ▲소스 코드 취약점 보완 등의 조치를 시행했습니다.

이번 해킹 배후에 대해 미국 해커 잡지 ‘프랙’은 북한 연계 조직 ‘김수키’를 지목했으나, 국정원은 “IP 주소 이력과 공격 방식 등을 분석 중이며 현재로선 특정 세력을 단정할 기술적 증거는 없다”고 밝혔습니다. 다만 해커의 언어 사용 패턴과 대만 공격 시도 정황 등을 근거로 모든 가능성을 열어둔 채 해외 정보기관 및 보안업체와 협력해 추적을 이어가고 있습니다.

국정원은 현재 열람된 자료의 구체적 내용과 규모를 조사 중이며, 결과가 확인되는 대로 국회 등에 보고할 예정입니다.

또한 행정안전부 등 관계기관과 함께 인증체계 강화와 정보보안 제품 확대 도입 등 재발 방지 대책을 마련하고, 보안관제 사각지대 해소를 위해 탐지 체계를 고도화할 계획입니다.

김창섭 국정원 3차장은 “정부 행정망은 국민 생활과 행정 서비스의 근간인 만큼 신속히 조사를 마무리하고 범정부 차원의 후속대책을 추진하겠다”고 밝혔습니다.

#국정원 #해킹 #행정안전부

연합뉴스TV 기사문의 및 제보 : 카톡/라인 jebo23

김동욱(DK1@yna.co.kr)