이용석 행정안전부 디지털정부혁신실장이 17일 정부세종청사에서 범정부 업무시스템인 ‘온나라시스템’ 해킹 대응 내용을 발표하고 있다. [뉴스1]

정부의 공무원 업무관리 시스템인 ‘온나라시스템’이 해킹당해 정부 부처에서 3년 가까이 정보가 유출된 것으로 확인됐다. 온나라시스템이 해킹당한 것은 이번이 처음이다. 해킹 과정에서 공무원들이 사용하는 653개 인증서 파일이 유출된 것으로 나타났다.

지난달 26일 국가정보자원관리원(국정자원) 화재로 정부 행정정보시스템 장애가 20일 넘게 이어지는 와중이다. 국정자원 복구율은 17일 오후 9시 현재 50.4%에 불과하다. 3년간 이어진 온나라시스템 해킹 의혹을 두 달 전 외국에서 지적했음에도 그동안 누가, 왜, 무엇을 해킹했는지 명확히 밝혀진 게 없다. 전문가들은 정부의 전산망 관리가 ‘에러(error)’ 상태이고, 공무원뿐만 아니라 일반 국민의 정보도 유출됐을 가능성도 지적했다.

행정안전부(행안부)는 17일 정부세종청사에서 브리핑을 열고 “지난 7월 중순 재택근무에 사용하는 정부원격근무시스템(G-VPN)을 통해 외부인이 온나라시스템에 접근한 정황을 국가정보원(국정원)이 확인했다”고 밝혔다. 온나라시스템은 정부 부처와 지방자치단체가 문서 결재·공유 등 업무를 통합해 운영하는 내부 전산망이다.

앞서 지난 8월 미국 해킹 전문 매체인 프랙매거진(Phrack Magazine)은 행안부·외교부·통일부·해양수산부 등 중앙부처를 비롯해 KT·LG유플러스 등 한국의 이동통신사, 다음·카카오·네이버 등 민간기업이 해킹당한 흔적이 있다고 주장했다. 이후 정부는 두 달가량 인정도, 불인정도 안 하며 침묵했다. 그러다가 뒤늦게 이 보도가 사실이라고 인정한 것이다. 국정원·행안부에 따르면, 해커는 2022년 9월부터 지난 7월까지 3년가량 온나라시스템에 접속해 정부 자료를 열람했다.

해커들은 인증서 6개와 패스워드, 국내외 IP(인터넷 식별 고유번호) 6개를 이용해 정부원격근무시스템을 통해 합법적 사용자인 것처럼 각 부처 시스템에 접속한 것으로 나타났다.

이 과정에서 공무원들의 인증서 파일 653개가 실제로 유출됐다는 것이 지금까지 정부 조사 결과다. 이 중 650개 인증서는 유효기간이 만료했지만, 나머지 3개는 유효기간이 남아있었다. 이용석 행안부 디지털정부혁신실장은 “유효한 인증서는 8월 13일 폐기 조치를 완료했다”고 설명했다. 또 국정원은 해커가 행안부 일부 부처의 자체 운영 시스템에도 접근한 사실을 추가 확인해 조사 중이라고 밝혔다.

박병호 행안부 사이버보안팀장은 “일반적으로 해커가 특정 공무원의 PC에 악성코드를 심어 인증서를 가져가 PC와 동일한 환경을 만들면 해당 공무원의 권한에 부여된 모든 정보를 볼 수 있다”고 말했다.

오윤성 순천향대 경찰행정학과 교수는 “국가 전체가 사이버에 의존하면서도 보안에 대해서는 경각심을 잃고 있다”라며 “에러(error)라고 규정할 수 있을 만큼 공공 시스템의 허술한 관리가 국가 안보를 위협하는 수준에 이르렀다”고 지적했다.

김승주 고려대 정보보호대학원 교수는 “온나라시스템 외 다른 공공 시스템의 침해 여부도 확인되지 않은 만큼 일반 국민들의 정보가 유출됐을 가능성도 있다”고 우려했다.

해커가 온나라시스템에서 구체적으로 어떤 정보를 봤으며 이에 따라 유출된 기밀 자료가 존재하는지 등에 대해선 아직 명확하게 밝혀지지 않았다. 국정원은 “현재 해커가 정부 행정망에서 열람한 구체적 자료 내용 및 규모를 파악 중이며 조사가 마무리 되는 대로 결과를 국회 등에 보고할 예정”이라고 밝혔다.

해킹 주체가 누구인지도 밝혀지지 않았다. 프랙매거진은 해킹 주체로 ‘김수키(kimsuky)’를 지목했다. 하지만 국정원은 “현재까지 해킹 소행 주체를 단정할만한 기술적 증거는 부족한 상황”이라고 밝혔다. 김수키는 외교·안보·국방 분야 첩보를 수집해 북한 정권에 제공하는 해킹 조직으로 알려져 있다. 국정원은 “해커가 한글을 중국어로 번역한 기록과 대만 해킹도 시도한 정황을 확인했다”며 “모든 가능성을 열어 두고 해외 정보협력기관 및 국내외 유수 보안업체와 협력해 공격 배후를 추적하고 있다”고 덧붙였다.

당초 행정전자서명 인증서와 비밀번호가 유출된 경위에 대해선 “사용자 부주의”로 추정했다. 이용석 행안부 디지털정부혁신실장은 “조사 중이라 명확히 말하긴 어렵다”면서도 “일반적인 사례를 보면 인증서를 집이나 (정부청사) 외부 PC에 설치하는 경우가 있는데, 이 PC가 악성코드에 감염되면 정보 탈취 위험성이 있다”고 설명했다.

정부는 뒤늦게 보안 취약점을 보완하는 등 대책을 마련하고 있다. 행안부는 온나라시스템에 대해서는 로그인 재사용 방지를 위한 조치를 완료해 7월 28일 중앙부처·지방자치단체에 적용했다. 해킹 흔적을 발견한 인증서에 대해서는 국정원으로부터 해당 인증서 정보를 공유 받아 유효성 여부를 점검했다. 이용석 실장은 “8월 4일 정부원격근무시스템에 접속 시 행정전자서명 인증과 더불어 전화인증(ARS)을 반드시 거치도록 했다”고 말했다.

나아가 정부는 탈취·복제의 위험이 있는 행정전자서명 인증서의 보안 위협에 대응하기 위해, 행정전자서명 기반의 인증 체계를 생체기반 복합 인증 수단인 모바일 공무원증 등으로 대체하기로 했다. 또 대국민 정부서비스 인증체계에 대해서도 생체인증 수단을 활용하는 모바일 신분증 등 안전한 인증수단 도입을 적극적으로 확대할 계획이다.

하지만 김승주 교수는 “현재 피해 규모조차 확인되지 않은 상황에서 생체인증 강화 같은 대책을 논의하는 것은 실효성이 없다”며 “지금 가장 시급한 것은 정부 전산망 전체에 대한 ‘전수조사’”라고 강조했다. 오윤성 교수는 “국정원의 발표는 프랙의 보고서에 나온 온나라시스템 해킹 내용을 단순히 사실 확인한 수준일 뿐, 피해 규모는 여전히 파악되지 않았다”고 지적했다.