국정원 "정부 행정망 해킹 확인…북한 연계 증거는 아직 없다"

[파이낸셜뉴스] 국가정보원이 정부의 온나라시스템을 비롯한 행정망이 미상 해커에 의해 정교하게 침투당한 사실을 확인했다.

국정원은 17일 보도자료를 내고 "현재까지 추가 피해는 없지만 재발 방지를 위한 범정부 대책을 마련 중"이라고 밝혔다.

국정원에 따르면 지난 7월 공공·민간분야 해킹 첩보를 입수한 뒤 행정안전부 등 유관기관과 합동 분석을 실시한 결과 정부 온나라시스템에 해커가 무단 접속해 자료를 열람한 사실이 확인됐다.

이는 미국 해커잡지 '프랙(Phrack)'이 지난 8월 8일 관련 정황을 공개하기 한 달 전이었다.

해커는 공무원 행정업무용 인증서(GPKI)와 패스워드를 확보한 뒤 합법적 사용자로 위장해 지난 2022년 9월부터 올해 7월까지 행안부 원격근무시스템(G-VPN)을 통해 온나라시스템에 접근했다. 국정원은 해커가 일부 부처 전용 내부망에도 침투한 정황을 추가로 확인하고 조사 중이다.

국정원은 이번 공격의 주요 원인으로 정부 원격접속시스템의 인증체계 미흡, 온나라시스템의 인증 로직 노출, 부처별 서버 접근통제 부실을 꼽았다. 이에 △2차 인증(ARS) 적용 △인증 로직 변경 △노출된 인증서 폐기 △공직자 이메일 비밀번호 변경 △서버 접근통제 강화 등 긴급 보안조치를 시행했다.

민간 부문에서도 통신사 서버인증서·계정관리파일 노출, 언론사 VPN 접속 페이지 노출, 포털사 위장 피싱사이트 계정 유출 등이 발견돼 과학기술정보통신부와 협조해 후속 조치를 진행 중이다.

한편 '프랙'은 이번 공격의 배후로 북한 해킹조직 '김수키(Kimsuky)'를 지목했지만 국정원은 "현재까지 특정 세력을 단정할 만한 기술적 증거는 없다"고 밝혔다.

국정원은 국회 정보위원회 양당 간사에게 해킹 피해 상황을 보고했으며 행안부 등과 협력해 인증체계 강화와 정보보안제품 확대 도입을 추진할 계획이다.

west@fnnews.com 성석우 기자