미상의 해커가 정부 행정망인 ‘온나라시스템’을 해킹해 외교부와 국방부 정부 부처 자료가 3년 가까이 유출된 것으로 확인됐다.
국가정보원은 17일 “지난 7월 온나라시스템 등 공공·민간분야 해킹 첩보를 사전에 입수, 행정안전부 등 유관기관과 합동으로 정밀 분석을 실시해 해킹 사실을 확인하고 추가피해 방지를 위한 대응에 적극 나섰다”며 “해커는 다양한 경로로 공무원들의 행정업무용 인증서(GPKI), 패스워드(비밀번호) 등을 확보한 것으로 보이며, 인증체계를 면밀히 분석한 뒤 합법적 사용자로 위장해 행정망에 접근한 것으로 밝혀졌다”고 공개했다.
또 “이후 인증서(6개) 및 국내외 IP(6개)를 이용해 2022년 9월부터 올해 7월까지 행안부가 재택근무를 위해 사용하는 원격접속시스템(G-VPN)을 통과, 온나라시스템에 접속해 자료를 열람했다”고 했다.
미국 보안 잡지 ‘프랙(Phrack)’은 지난 8월 한국 정부 기관과 이동통신사, 민간 기업이 해킹 당한 정황을 포착했다는 내용의 보고서를 기재했다.
국정원은 대응 과정에서 일부 부처가 자체 운영중인 전용 시스템에도 접근한 사실을 추가 확인했다. 국정원은 “점검 결과, 정부 원격접속시스템에 본인확인 등 인증체계가 미흡하고 온나라시스템의 인증 로직이 노출되면서 복수기관에 접속이 가능했으며, 각 부처 전용 서버에 대한 접근통제가 미비한 것이 사고원인으로 드러났다”고 설명했다.
아울러 정부 원격접속시스템 접속시 ARS 등 2차 인증을 적용하고, 온나라시스템 접속 인증 로직 변경, 해킹에 악용된 행정업무용 인증서(GPKI) 폐기, 피싱사이트 접속 추정 공직자 이메일 비밀번호 변경, 각 부처 서버 접근통제 강화, 소스코드 취약점 수정 등의 조치를 취했다.
앞서 프랙은 이번 해킹의 배후로 북한 정찰총국 산하 해커 조 김수키(Kimsuky)를 지목했다.
국정원은 “이번 해킹에서 확인된 해커 악용 IP 주소 6종의 과거 사고 이력, GPKI 인증서 절취 사례와 공격방식·대상의 유사성 등을 종합적으로 분석 중이지만, 현재까지 해킹 소행 주체를 단정할만한 기술적 증거는 부족한 상황”이라고 했다.
다만 “해커가 한글을 중국어로 번역한 기록, 대만 해킹을 시도한 정황 등이 확인 됐지만 국정원은 모든 가능성을 열어 두고 해외 정보협력기관, 국내외 유수 보안업체와 협력해 공격 배후를 추적하고 있다”고 덧붙였다.
국정원은 “해커가 온나라시스템 등 정부 행정망에서 열람한 구체적 자료 내용과 규모를 파악 중이며 조사가 마무리 되는대로 결과를 국회 등에 보고할 예정”이라며 “행안부 등 유관기관과 함께 인증체계 강화·정보보안제품 도입 확대 등 보안강화 방안도 마련하겠다”고 했다.
이와 함께 현재 보안관제 시스템으로는 해킹 징후 포착에 어려움이 있어, 사각지대를 모니터링할 수 있도록 탐지체계를 고도화해 나갈 계획이라고 밝혔다.
김창섭 국정원 3차장은 “온나라시스템 등 정부 행정망은 국민의 생활과 행정 서비스의 근간인 만큼, 진행 중인 조사를 조속히 마무리하고 재발 방지를 위한 범(汎)정부 후속대책을 마련해 이행할 계획”이라고 말했다.
국가정보원은 17일 “지난 7월 온나라시스템 등 공공·민간분야 해킹 첩보를 사전에 입수, 행정안전부 등 유관기관과 합동으로 정밀 분석을 실시해 해킹 사실을 확인하고 추가피해 방지를 위한 대응에 적극 나섰다”며 “해커는 다양한 경로로 공무원들의 행정업무용 인증서(GPKI), 패스워드(비밀번호) 등을 확보한 것으로 보이며, 인증체계를 면밀히 분석한 뒤 합법적 사용자로 위장해 행정망에 접근한 것으로 밝혀졌다”고 공개했다.
또 “이후 인증서(6개) 및 국내외 IP(6개)를 이용해 2022년 9월부터 올해 7월까지 행안부가 재택근무를 위해 사용하는 원격접속시스템(G-VPN)을 통과, 온나라시스템에 접속해 자료를 열람했다”고 했다.
미국 보안 잡지 ‘프랙(Phrack)’은 지난 8월 한국 정부 기관과 이동통신사, 민간 기업이 해킹 당한 정황을 포착했다는 내용의 보고서를 기재했다.
국정원은 대응 과정에서 일부 부처가 자체 운영중인 전용 시스템에도 접근한 사실을 추가 확인했다. 국정원은 “점검 결과, 정부 원격접속시스템에 본인확인 등 인증체계가 미흡하고 온나라시스템의 인증 로직이 노출되면서 복수기관에 접속이 가능했으며, 각 부처 전용 서버에 대한 접근통제가 미비한 것이 사고원인으로 드러났다”고 설명했다.
아울러 정부 원격접속시스템 접속시 ARS 등 2차 인증을 적용하고, 온나라시스템 접속 인증 로직 변경, 해킹에 악용된 행정업무용 인증서(GPKI) 폐기, 피싱사이트 접속 추정 공직자 이메일 비밀번호 변경, 각 부처 서버 접근통제 강화, 소스코드 취약점 수정 등의 조치를 취했다.
앞서 프랙은 이번 해킹의 배후로 북한 정찰총국 산하 해커 조 김수키(Kimsuky)를 지목했다.
국정원은 “이번 해킹에서 확인된 해커 악용 IP 주소 6종의 과거 사고 이력, GPKI 인증서 절취 사례와 공격방식·대상의 유사성 등을 종합적으로 분석 중이지만, 현재까지 해킹 소행 주체를 단정할만한 기술적 증거는 부족한 상황”이라고 했다.
다만 “해커가 한글을 중국어로 번역한 기록, 대만 해킹을 시도한 정황 등이 확인 됐지만 국정원은 모든 가능성을 열어 두고 해외 정보협력기관, 국내외 유수 보안업체와 협력해 공격 배후를 추적하고 있다”고 덧붙였다.
국정원은 “해커가 온나라시스템 등 정부 행정망에서 열람한 구체적 자료 내용과 규모를 파악 중이며 조사가 마무리 되는대로 결과를 국회 등에 보고할 예정”이라며 “행안부 등 유관기관과 함께 인증체계 강화·정보보안제품 도입 확대 등 보안강화 방안도 마련하겠다”고 했다.
이와 함께 현재 보안관제 시스템으로는 해킹 징후 포착에 어려움이 있어, 사각지대를 모니터링할 수 있도록 탐지체계를 고도화해 나갈 계획이라고 밝혔다.
김창섭 국정원 3차장은 “온나라시스템 등 정부 행정망은 국민의 생활과 행정 서비스의 근간인 만큼, 진행 중인 조사를 조속히 마무리하고 재발 방지를 위한 범(汎)정부 후속대책을 마련해 이행할 계획”이라고 말했다.
https://n.news.naver.com/article/366/0001115234?sid=105
