행안부-국정원 "정부 행정전산망 해킹 당했다"
8월 미국 보안지 보도후 두달여만에 시인, 북한 추정 해킹세력 소행
정부 행정전산망이 북한 추정 해킹세력에게 뚫린 사실을 정부가 뒤늦게 시인했다. 국정자원 화재에 이어 정부 전산망에 또하나의 치명적 허점이 드러난 셈이다.
미국 보안전문지 <프랙 매거진(Phrack Magazine)>은 지난 8월 한국의 정부 기관과 민간기업이 대거 해킹당한 정황이 있다고 공개했다. <프랙>은 국 비영리 단체 '디 도시크릿츠'가 'KIM'이라는 공격자의 서버를 해킹해 획득한 자료를 토대로 한국의 행정안전부, 외교부 등 중앙 행정기관과 KT·LG유플러스 등 이동통신사 등이 해킹당한 흔적이 있다고 지적했다.
처음에 해킹 사실을 강력 부인했던 KT·LG유플러스는 최근 자체 점검결과 <프랙> 보도가 사실로 확인됐다고 고개를 숙였다.
행정안전부도 17일 브리핑을 통해 "올해 7월 중순 경 국가정보원을 통해 외부 인터넷 PC에서 정부원격근무시스템(G-VPN)을 통해 업무망인 온나라시스템에 접근한 정황을 확인했다"고 밝혔다.
행안부에 따르면 해킹 피해를 당한 것으로 추정되는 GPKI(행정업무용 인증서)는 650명분이다. 이 중 12명은 인증서 키뿐 아니라 비밀번호 등 내용이 함께 유출됐다.
국가 사이버 침해 대응 총괄기관인 국가정보원 역시 이날 보도자료를 통해 "해커는 다양한 경로로 공무원들의 행정업무용 인증서(GPKI), 패스워드 등을 확보한 것으로 보이며, 인증체계를 분석한 뒤 합법적 사용자로 위장해 행정망에 접근한 것으로 밝혀졌다"며 "인증서 6개 및 국내외 IP 6개를 이용해 2022년 9월부터 올해 7월까지 행정안전부가 재택근무를 위해 사용하는 원격접속시스템을 통과, 온나라시스템에 접속해 자료를 열람했다"고 밝혔다.
국정원은 "점검 결과 정부 원격접속시스템에 본인확인 등 인증체계가 미흡하고, 온나라 시스템의 인증 로직이 노출되면서 복수 기관에 접속이 가능했으며, 각 부처 전용 서버에 대한 접근 통제가 미비한 것이 사고 원인"이라고 밝혔다.
해킹 세력에 대해선 "미국 해커 잡지인 <프랙>은 이번 해킹 배후로 북한 김수키 조직을 지목했다"면서도 "해커 악용 IP 주소 6종의 과거 사고 이력, 공격방식 등을 종합적으로 분석 중이지만, 현재까지 해킹소행 주체를 단정할만한 기술적 증거는 부족한 상황"이라고 밝혔다.
해킹 피해 규모에 대해서도 "현재 해커가 정부 행정망에서 열람한 구체적 자료내용 및 규모를 파악 중이며 조사가 마무리되는대로 결과를 국회 등에 보고할 예정"이라며 아직 확인하지 못했음을 토로했다.
미국 보안전문지 <프랙 매거진(Phrack Magazine)>은 지난 8월 한국의 정부 기관과 민간기업이 대거 해킹당한 정황이 있다고 공개했다. <프랙>은 국 비영리 단체 '디 도시크릿츠'가 'KIM'이라는 공격자의 서버를 해킹해 획득한 자료를 토대로 한국의 행정안전부, 외교부 등 중앙 행정기관과 KT·LG유플러스 등 이동통신사 등이 해킹당한 흔적이 있다고 지적했다.
처음에 해킹 사실을 강력 부인했던 KT·LG유플러스는 최근 자체 점검결과 <프랙> 보도가 사실로 확인됐다고 고개를 숙였다.
행정안전부도 17일 브리핑을 통해 "올해 7월 중순 경 국가정보원을 통해 외부 인터넷 PC에서 정부원격근무시스템(G-VPN)을 통해 업무망인 온나라시스템에 접근한 정황을 확인했다"고 밝혔다.
행안부에 따르면 해킹 피해를 당한 것으로 추정되는 GPKI(행정업무용 인증서)는 650명분이다. 이 중 12명은 인증서 키뿐 아니라 비밀번호 등 내용이 함께 유출됐다.
국가 사이버 침해 대응 총괄기관인 국가정보원 역시 이날 보도자료를 통해 "해커는 다양한 경로로 공무원들의 행정업무용 인증서(GPKI), 패스워드 등을 확보한 것으로 보이며, 인증체계를 분석한 뒤 합법적 사용자로 위장해 행정망에 접근한 것으로 밝혀졌다"며 "인증서 6개 및 국내외 IP 6개를 이용해 2022년 9월부터 올해 7월까지 행정안전부가 재택근무를 위해 사용하는 원격접속시스템을 통과, 온나라시스템에 접속해 자료를 열람했다"고 밝혔다.
국정원은 "점검 결과 정부 원격접속시스템에 본인확인 등 인증체계가 미흡하고, 온나라 시스템의 인증 로직이 노출되면서 복수 기관에 접속이 가능했으며, 각 부처 전용 서버에 대한 접근 통제가 미비한 것이 사고 원인"이라고 밝혔다.
해킹 세력에 대해선 "미국 해커 잡지인 <프랙>은 이번 해킹 배후로 북한 김수키 조직을 지목했다"면서도 "해커 악용 IP 주소 6종의 과거 사고 이력, 공격방식 등을 종합적으로 분석 중이지만, 현재까지 해킹소행 주체를 단정할만한 기술적 증거는 부족한 상황"이라고 밝혔다.
해킹 피해 규모에 대해서도 "현재 해커가 정부 행정망에서 열람한 구체적 자료내용 및 규모를 파악 중이며 조사가 마무리되는대로 결과를 국회 등에 보고할 예정"이라며 아직 확인하지 못했음을 토로했다.
<저작권자ⓒ뷰스앤뉴스. 무단전재-재배포금지>
