美서 해킹 의혹 나온 지 두 달 만에 인정
중국어 번역 기록, 대만 해킹 시도 정황

공무원 업무 시스템인 ‘온나라시스템’이 3년 가까이 해킹당한 사실이 뒤늦게 확인된 가운데, 정부가 내놓은 보안 강화책이 ‘임시방편’에 그친다는 지적이 나오고 있다. 전문가들은 “정부 업무망 해킹은 대미 협상 전략 등 국가 기밀이 새 나갈 수 있는 심각한 문제”라며 중장기 로드맵 마련을 촉구했다.

19일 국가정보원에 따르면 해커는 공무원 행정업무용 인증서(GPKI)와 패스워드 등을 확보해 행정안전부의 원격접속시스템(G-VPN)을 통해 온나라시스템에 접속했다. 이들은 2022년 9월부터 올해 7월까지 약 3년간 행정망 내부 자료를 열람했으며, 일부 부처의 자체 전용 시스템에도 접근했을 가능성이 제기됐다.

앞서 미국 해커 잡지 ‘프랙(Phrack)’은 지난 8월 8일 발간한 보고서에서 국내 정부 기관과 민간기업이 해킹당했다는 내용의 보고서를 발간했다. 이후 정부는 두 달여간 아무런 입장을 밝히지 않다가 지난 17일에서야 해킹 사실을 공식 인정했다. 이용석 행안부 디지털정부혁신실장은 브리핑에서 “단순히 해킹 사실을 알리기보다 인증체계 강화 등 대책까지 함께 담는 게 좋을 것 같다고 판단했다”고 설명했다.



“투팩터 인증으로 부족…장기 대책 세워야”문제는 여전히 ‘무엇이, 어떻게 유출됐는지’조차 파악되지 않았다는 점이다. 국정원은 “해커가 정부 행정망에서 열람한 구체적 자료 내용과 규모를 파악 중”이라고 밝혔다. 이 실장은 인증서·비밀번호 유출 경위에 대해 “조사 중이라 명확히 말하긴 어렵다”면서도 “인증서를 집이나 (정부청사) 외부PC에 설치하는 경우가 있는데, 이 PC가 악성코드에 감염되면 정보 탈취 위험이 있다”고만 했다.

해킹 주체 역시 불분명하다. 프랙은 이번 해킹 배후로 북한 김수키(Kimsuky) 조직을 지목했지만, 국정원은 “단정할 만한 기술적 증거는 부족하다”고 했다. 국정원은 해커가 한글을 중국어로 번역한 기록, 대만 해킹을 시도한 정황 등이 발견된 만큼 모든 가능성을 열어두고 배후를 추적한다는 입장이다.

정부는 기존의 행정전자서명 기반 인증체계를 생체기반 복합인증 수단인 ‘모바일 공무원증’ 등으로 대체해 나가겠다는 계획이다. 행안부는 지난 7월 28일 온나라시스템 로그인 재사용 방지를 위한 조치를 완료한 데 이어 8월 4일에는 정부원격근무시스템 접속 시 전화인증(ARS) 단계를 추가했다.

하지만 임종인 고려대 정보보호대학원 교수는 “미국은 2021년부터 새로운 보안 패러다임인 ‘제로트러스트’ 도입을 공식화했는데, 우리는 아직 투팩터(2단계) 인증을 말하고 있다”며 “임시방편 대책이 아닌 5개년 계획을 세워 2030년까지 탐지·격리·차단 체계를 완비해야 한다”고 말했다.

김휘강 고려대 정보보호대학원 교수는 “외부에 노출된 시스템 취약점을 제거하기 위한 상시 공격표면관리(ASM, Attack Surface Management) 활동과 실전적 모의해킹 테스트 등이 필요하다”며 “특히 유출된 시스템은 이미 해커에게 정보가 많이 노출됐기에 원점에서 솔루션을 재검토해야 한다”고 했다.