행안부, 온나라시스템 해킹 대응 브리핑
GPKI 인증서 등 해커에 의한 유출 가능성
대안으로 생체기반복합인증수단 확대 제시
해킹 주체, 北 '김수키' 가능성 낮아
정부가 공무원 업무를 위한 내부 전산망인 '온나라시스템'에 해킹 시도가 있었던 정황을 확인하고 보안 조치를 강화했다. 국가정보원에서 현재 피해 상황 등을 조사하고 있으며 현재까지는 유출된 자료가 없는 것으로 파악됐다. 당초 해킹의 배후로 북한 '김수키' 조직이 지목됐으나 현재로선 이를 단정할 만한 기술적 증거는 부족한 상황이다.
행정안전부는 17일 정부세종청사에서 진행된 '정부업무관리시스템(온나라) 해킹 대응 관련 브리핑'에서 "지난 8월 발표된 프랙 보고서에 행안부에서 관리하는 온나라시스템의 접속 로그와 공무원들이 인증을 위해 사용 중인 행정전자서명(GPKI)의 인증서 파일, 행정전자서명을 이용하는 기관 시스템에 적용하기 위한 프로그램인터페이스(API) 소스코드 일부가 있었다"고 밝혔다.
앞서 미국 보안 전문지 '프랙(Phrack)'은 지난 8월 보고서에서 한국 정부의 '온나라시스템' 내 GPKI 인증서 약 2800건의 로그기록이 유출된 정황을 공개했다. 해킹 배후로는 북한 해커 조직인 '김수키'를 지목하기도 했다. 해커들이 온나라 시스템의 각종 공문서를 빼돌렸을 가능성을 제기한 것이다. 정부는 그간 해킹 여부에 대해 침묵을 지켜왔으나 이번 브리핑에서 사실상 인정한 것으로 보인다.
정부는 온나라시스템에 강화된 보안 조치를 이미 완료했다고 강조했다. 이용석 행안부 디지털정부혁신실장은 "지난 7월 중순경 국정원으로부터 외부 인터넷 PC가 정부원격근무시스템(G-VPN)을 통해 온나라시스템에 접근한 정황을 확인했다"며 "지난 8월4일 정부원격근무시스템 접속 시 행정전자서명 인증과 함께 전화인증(ARS)을 반드시 거치도록 보안을 강화했다"고 설명했다.
온나라시스템의 로그인 재사용 방지를 위한 조치도 완료해 지난 7월 중앙부처와 지방자치단체에 적용했다고 한다. 이 실장은 GPKI 관련 조치 사항에 대해 "650명의 공인인증서 파일이 유출됐으나 만료된 상태였고 인증서와 비밀번호 함께 유출된 건 12명이었다"며 "이중 3명은 유효기간이 남아 인증서를 (8월13일) 폐기 조치했다"고 말했다.
유출 경로는 G-VPN을 사용하는 재택근무자들의 PC인 것으로 추정된다. 이 실장은 "원격근무 시 집에 있는 외부 PC 등에 GPKI 인증서를 설치하는 경우 있다'며 "원격근무에 사용하는 PC가 악성코드에 감염되면 해커들이 인증서 정보 탈취할 수 있다"고 말했다. 다만 프랙보고서에 게시된 이용기관의 행정전자서명 인증서 API 소스 코드는 엑티브 엑스가 사용되던 예전 버전이다. 2018년부터 사용하지 않아 지금은 보안 위협이 없다는 게 행안부의 설명이다.
해킹 위협에 대비하기 위한 보안도 강화한다. 행안부는 GPKI 인증 체계를 생체기반 복합 인증 수단인 모바일 공무원증 등 안전한 인증체계로 대체해 나갈 방침이다. 대국민 정부서비스 인증체계에도 동일한 방식을 적용한다. 유출 경위, 피해 영향에 대한 조사는 국정원과 함께 지금도 진행되고 있다. 행안부는 현재까지 정부 자료 유출 등이 확인되진 않았지만 향후 조사 과정에서 유출이 확인될 가능성이 있다고 설명했다.
독자들의 PICK!
다만 해킹 배후로 지목된 북한 김수키 조직과의 연관성은 부족한 상황이다. 국정원은 "이번 해킹에서 확인된 해커 악용 IP주소 6종의 과거 사고 이력, GPKI 인증서 절취 사례 및 공격방식·대상의 유사성 등을 종합적으로 분석 중이지만 현재까지 해킹소행 주체를 단정할만한 기술적 증거는 부족하다"고 전했다.
