배후는 北김수키?…국정원 "주체 특정할 기술적 증거 부족"
 |
17일 국가정보원은 "지난 7월 온나라시스템 등 공공·민간 분야 해킹 첩보를 사전에 입수했고 행안부 등 유관기관과 합동으로 정밀 분석을 실시했다"며 "(그 결과) 해킹 사실을 확인하고 추가 피해 방지를 위한 대응에 나섰다"고 밝혔다.
이번 조사는 8월 미국 보안 전문지 '프랙(Phrack)'이 고발한 해킹 정황과 내용이 같다. 국정원은 프랙보다 먼저 관련 사실을 인지해 대응하고 있었다는 입장이다. 국정원은 "프랙에서 해킹 정황을 공개한 것보다 한 달 앞선 대응조치"라고 강조했다.
조사에 따르면 해커는 다양한 경로로 공무원들의 행정업무용 인증서(GPKI)·패스워드 등을 확보했다. 이후 인증체계를 분석한 뒤 합법적인 사용자로 위장해 행정망에 접근한 것으로 나타났다.
이후 인증서 및 국내외 IP 6개를 이용해 2022년 9월부터 7월까지 행안부가 재택근무를 위해 사용한 원격접속시스템(G-VPN)을 통과했다. 이후 공무원 업무시스템 '온나라시스템'에 접속해 자료를 열람했다.
국정원은 원격접속시스템에 대한 인증체계가 부족한 점이 사태를 키웠다고 진단했다. 특히 "온나라시스템의 인증 로직이 노출되면서 복수기관에 접속이 가능했다"며 "각 부처 전용 서버에 대한 접근통제가 미비한 것이 사고 원인"이라고 부연했다.
국정원은 해커가 악용한 IP주소 6개를 전 국가 및 공공기관에 전파해 차단하고, 해커 접근을 막기 위한 긴급 보안조치를 단행했다. 아울러 정부 원격접속시스템에 접속할 때 전화인증(ARS) 등 2차 인증을 적용하도록 했다. 온나라시스템 접속 인증에 대한 로직도 변경하고 해킹에 악용된 GPKI를 폐기하는 조치도 수행했다. 각 부처 서버 접근 통제를 강화하고 소스코드 취약점을 수정하는 조치도 완료했다.
프랙은 이번 해킹을 자행한 배후로 북한 김수키 조직을 지목해왔다. 이와 관련해 국정원은 "해커 악용 IP주소 6종의 과거 사고 이력, GPKI 인증서 절취 사례 및 공격방식 등을 종합 분석 중"이라며 "현재까지 주체를 단정할 만한 기술적 증거는 부족한 상황"이라고 말했다.
조사에 따르면 해커는 한글을 중국어로 번역했고, 대만 해킹을 시도한 정황도 확인됐다. 국정원은 "모든 가능성을 열어두고 해외 정보협력기관 및 국내외 유수 보안업체와 협력해 공격 배후를 추적 중"이라고 밝혔다.
현재 국정원은 해커가 온나라시스템 등 정부 행정망에서 열람한 자료 내용과 규모를 파악하고 있다. 조사가 마무리 되는대로 결과를 국회 등에 보고할 예정이다. 행안부 등 유관기관과 함께 인증체계 강화·정보보안제품 도입 확대 등 보안강화 방안도 마련할 예정이다.
또한 현 보안관제시스템으로는 정상적인 경로로 은밀히 진행되는 해킹징후를 포착하는데 어려움이 있어, 사각지대를 모니터링할 수 있도록 탐지체계를 고도화해 나갈 계획이다.
김창섭 국정원 3차장은 "온나라시스템 등 정부 행정망은 국민의 생활과 행정 서비스의 근간인 만큼, 진행 중인 조사를 마무리하고 재발방지를 위한 범정부 후속대책을 마련해 이행하겠다"고 강조했다.
한편 국정원은 정부 부처 행정메일 서버 소스코드 노출 등 해킹 가능성이 있는 요인을 분석해 조치를 취했다. 민간의 경우 서버인증서 노출, VPN 접속 페이지 노출 등 피해가 있어 해당 업체에 위험성을 통보했고 보안조치를 요청했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.