정부 행정망을 해킹한 공격자들이 공무원 인증서 6개와 국내외 IP 6개를 악용해 2년 가까이 온나라시스템에 침투한 것으로 드러났다.

17일 국가정보원에 따르면  “해커들이 2022년 9월부터 올해 7월까지 행정안전부 원격접속시스템을 통해 온나라시스템에 접속, 자료를 열람했다”고 밝혔다.

국정원은 미국 해커 잡지 ‘프랙’의 공개보다 한 달 앞선 7월에 해킹 첩보를 입수했다고 설명했다.

해커들은 다양한 경로로 확보한 공무원 행정업무용 인증서(GPKI)와 패스워드를 이용해 합법적 사용자로 위장, 시스템에 침입했다. 일부 부처가 자체 운영하는 전용 시스템 접근도 추가로 확인됐다.

국정원은 사고 원인으로 ▲원격접속시스템의 본인확인 체계 미흡 ▲온나라시스템 인증 로직 노출 ▲각 부처 서버 접근 통제 미비를 지목했다.

이에 따라 ARS 등 2차 인증 도입, 인증 로직 변경, 악용 인증서 폐기, 서버 접근 통제 강화 등의 조치를 완료했다. 프랙은 이번 해킹 배후로 북한 김수키 조직을 지목했지만, 국정원은 “현재까지 해킹 주체를 단정할 기술적 증거는 부족하다”며 신중한 입장을 보였다.

다만 해커가 한글을 중국어로 번역한 기록과 대만 해킹 시도 정황은 포착됐다.

김창섭 국정원 3차장은 “해커가 열람한 자료의 구체적 내용과 규모를 파악 중”이라며 “조사 완료 후 국회에 보고하고 범정부 차원의 재발 방지 대책을 마련하겠다”고 말했다.​​ /이현정 기자