온나라시스템 등 정부 행정망(내부망) 침투 개요도. (사진=국가정보원)
[뉴스토마토 이석종 국방전문기자] 국가정보원은 지난 7월 정부의 온라인 행정시스템인 온나라시스템 등 공공·민간 분야 해킹 첩보를 사전에 입수, 행정안전부 등 유관기관과 합동으로 정밀 분석을 실시해 해킹 사실을 확인하고 추가 피해 방지를 위한 대응에 나섰다고 17일 밝혔습니다.
이는 지난 8월 8일에 미국 해커 잡지 <프랙(Phrack)>에서 해킹 정황을 공개한 것보다 한 달 앞선 대응 조치라는 게 국정원의 설명입니다.
국정원에 따르면 해커는 먼저 다양한 경로로 공무원들의 행정업무용 인증서(GPKI)·패스워드 등을 확보한 것으로 보이며, 인증 체계를 면밀히 분석한 뒤 합법적 사용자로 위장해 행정망에 접근했습니다.
이후 인증서(6개)와 국내외 IP(6개)를 이용해 2022년 9월부터 올해 7월까지 행안부가 재택근무를 위해 사용하는 원격접속시스템(G-VPN)을 통과, 온나라시스템에 접속해 자료를 열람했습니다.
국정원은 해커가 악용한 6개 IP주소를 전 국가·공공기관에 전파·차단하는 등 해커의 접근을 막는 긴급 보안 조치를 단행했고 대응 과정에서 해커가 일부 부처가 자체 운영 중인 전용 시스템에도 접근한 사실을 추가 확인해 조사 중입니다.
미국 해커 잡지 <프랙>은 이번 해킹의 배후로 북한 '김수키' 조직을 지목했습니다.
이와 관련해 국정원은 이번 해킹에서 확인된 해커 악용 IP주소 6종의 과거 사고 이력, GPKI 인증서 절취 사례 및 공격 방식·대상의 유사성 등을 종합적으로 분석 중이지만 현재까지 해킹 소행 주체를 단정할 만한 기술적 증거는 부족한 상황이라고 설명했습니다.
국정원은 "다만 해커가 한글을 중국어로 번역한 기록, 대만 해킹을 시도한 정황 등이 확인된 만큼 모든 가능성을 열어 두고 해외 정보 협력 기관, 국내외 보안업체 등과 협력해 공격 배후를 추적하고 있다"고 부연했습니다.
김창섭 국정원 3차장은 "온나라시스템 등 정부 행정망은 국민의 생활과 행정 서비스의 근간인 만큼, 진행 중인 조사를 조속히 마무리하고 재발 방지를 위한 범정부 후속 대책을 마련해 이행할 계획"이라고 밝혔습니다.
이석종 국방전문기자 stone@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 최신형 정치정책부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지