온나라시스템 뚫려 2022년부터 자료 열람 정황
프랙은 北 '김수키' 배후 추정…국정원 "단정 불가"
프랙은 北 '김수키' 배후 추정…국정원 "단정 불가"
|
국가정보원은 17일 "지난 7월 온나라시스템 등 공공·민간분야 해킹 첩보를 사전에 입수, 행안부 등 유관기관과 합동으로 해킹 사실을 확인했다"며 "추가 피해 방지를 위한 대응 중"이라고 밝혔다.
국정원에 따르면 해커는 공무원들이 사용하는 행정전자서명(GPKI) 인증서·패스워드를 확보했다. 그 중 6개의 인증서를 활용해 2022년 9월부터 올해 7월까지 행안부가 운영하는 정부원격근무시스템을 거쳐 온나라시스템에 접속해 자료를 열람한 것으로 나타났다. 국정원은 "인증체계를 분석한 뒤 합법적 사용자로 위장해 행정망에 접근한 것"이라고 설명했다.
또 해커는 일부 부처가 자체 운영 중인 전용 시스템에도 접근한 것으로 드러났다. 국정원은 "점검 결과 정부 원격접속시스템에 본인확인 등 인증체계가 미흡했다"며 "온나라시스템의 인증 로직이 노출되면서 복수 기관에 대해 접속이 가능했고 각 부처 전용 서버에 대한 접근 통제가 미비했던 게 사고 원인"이라고 했다. 다만 아직 기밀 자료가 실제로 유출됐는지는 명확하지 않다.
이번 해킹의 배후로는 북한의 대표적인 해커 조직인 '김수키'가 언급된다. 국정원은 "미국 해커 잡지인 프랙은 이번 해킹 배후로 북한 김수키 조직을 지목했다"며 "해커가 한글을 중국어로 번역한 기록, 대만 해킹을 시도한 정황 등이 확인됐다"고 밝혔다. 다만 국정원은 "해커 악용 IP 주소 6종의 과거 사고 이력, 공격방식 등을 종합적으로 분석 중이지만, 현재까지 해킹소행 주체를 단정할 수는 없다"고 덧붙였다.
국정원은 △정부 원격접속시스템 접속시 ARS 등 2차 인증 적용 △온나라 시스템 접속 인증 로직 변경 △해킹에 악용된 인증서 폐기 △피싱사이트 접속 추정 공직자 이메일 비밀번호 변경 △각 부처 서버 접근 통제 강화 △소스 코드 취약점 수정 등 조처를 했다고 전했다.
김창섭 국정원 3차장은 "온나라시스템 등 정부 행정망은 국민의 생활과 행정 서비스의 근간인 만큼, 진행중인 조사를 조속히 마무리하고 재발 방지를 위한 범정부 후속대책을 마련해 이행할 계획"이라고 말했다.
