정부전산망, 드러난 관리 부실…'화재에 멈추고 해킹에 털리고'

국가정보자원관리원(국정자원) 화재에 따른 정부 전산망 장애가 3주 넘게 이어지고 있는 가운데, 공무원 업무 시스템인 '온나라시스템' 등이 외부 해킹된 사실이 뒤늦게 확인되면서 정부의 행정망 관리 체계가 또다시 도마에 올랐다.

정부는 해킹 정황 인지 후 보안 강화 조치에 나섰다고 밝혔지만, 누구의 소행인지 등 정확한 경위도 파악하지 못한 데다 유출된 인증서의 경우 악용될 소지도 있어 보안 허점이 여실히 드러났다는 지적이 나온다.

19일 행정안전부에 따르면 행안부는 지난 17일 브리핑을 갖고 "올해 7월 중순께 누군가 외부 인터넷 PC에서 정부원격접속시스템(G-VPN)을 통해 공무원 업무망인 온나라시스템에 접근한 정황을 국가정보원이 확인했다"고 밝혔다.

지난 8월 미국의 보안 전문 매체인 '프랙'은 행안부가 관리하는 온나라시스템 등 한국 정부의 행정망이 해킹을 당했다고 보도했는데, 의혹 제기 두 달 만에 관련 사실을 인정한 것이다.

프랙 보고서에는 온나라시스템 접속 로그와 공무원들이 인증을 위해 사용하는 행정전자서명(GPKI) 인증서 파일, 이를 이용하는 기관 시스템에 적용하기 위한 프로그램 인터페이스(API) 소스코드 등이 해킹됐다는 내용이 담겼다.

국정원도 해커들이 원격접속시스템을 이용하는 재택근무 공무원 등 다양한 경로를 통해 인증서와 비밀번호 등을 확보한 뒤 인증체계 분석 후 합법적인 사용자로 위장해 행정망에 무단 접근한 것으로 추정하고 있다.

정부는 일단 해킹 정황 인지 후 지난 7월 28일 온나라시스템 로그인 재사용 방지를 위한 조치를 완료했다는 설명이다. 8월 4일에는 원격근무시스템 접속 시 GPKI 인증서와 함께 전화인증(ARS)을 반드시 거치도록 보안을 강화했다.

또 인증서 API 소스코드는 액티브 엑스가 사용되던 예전 버전으로, 2018년부터 사용되지 않고 있어 현재는 보안 위협은 없는 상태라고 정부는 밝혔다.

그러나 GPKI 인증서의 경우 이미 공무원 650명 가량의 공인 인증서 파일이 탈취된 것으로 파악됐다. 이 중 12명의 경우는 인증서 키뿐만 아니라 비밀번호까지 함께 유출된 것으로 확인됐다.

이에 대해 이용석 행안부 디지털정보혁신실장은 브리핑에서 "650명의 인증서 파일 중 대부분은 유효 기간이 만료됐다"며 "3명은 유효 기간이 남아있어 8월 13일 폐기 조치를 완료했다"고 말했다.

다만 폐기 조치 전 유효 기간이 남아있던 이들 3명의 인증서가 악용됐을 가능성도 남아있다.

이 실장은 "비정상 접근이 확인됐기 때문에 피해가 없다고 말할 수는 없다"면서도 "인증서 자체만 갖고 있을 때는 그것을 실제로 사용할 수는 없지만, 비밀번호가 함께 노출됐을 때는 악용 위험성이 있다"고 했다.

상황이 이렇지만 정부는 이번 해킹이 누구의 소행이고, 어떻게 인증서 정보가 유출됐으며, 어떤 정보를 탈취했는지 제대로 파악하지 못하고 있는 상태다.

국정원은 "프랙은 해킹 배후로 북한 김수키 조직을 지목하고 있지만, 현재까지 해킹 소행 주체를 단정할 만한 기술적 증거는 부족한 상황"이라며 "모든 가능성을 열어두고 공격 배후를 추적하고 있다"고 밝혔다.

인증서 유출과 관련해서도 정부는 '사용자 부주의' 정도로만 추정하고 있는 상황이다.

이 실장은 "이 부분은 현재 조사 중이기 때문에 명확하게 말하긴 어렵지만, GPKI 인증서는 가정 등에서 원격근무를 할 때 쓴다. 사용자는 6만3800명 정도"라며 "PC나 노트북이 악성코드에 감염됐을 때 인증서 정보 탈취 위험성도 있다"고 했다.

특히 정부의 '늑장 발표'도 논란이다. 이미 지난 7월 중순께 해킹 정황을 인지했다고 밝혔지만, 세 달이 지나서야 관련 사실을 공식 발표하면서다. 정부는 해킹 의혹과 관련한 국회의 자료 제출 요구에도 두 달간 침묵을 유지해왔다.

이 실장은 이에 대해 "일반적으로 어떤 위협이 감지되면 긴급조치를 먼저 시행한 뒤 추가적인 조사나 분석을 진행한다"며 "단순히 해킹 사실만 발표하기보다 인증체계 강화 등 대책까지 함께 담는 게 좋을 것 같다고 판단했다"고 말했다.

여기에 국정원 조사에 따르면 올해 7월뿐 아니라 이미 2022년 9월부터 해커들이 인증서와 IP로 정부 행정망에 접속한 것으로 뒤늦게 파악됐지만, 3년간 이러한 사실을 전혀 몰랐다는 것도 문제다.

정부는 이와 관련 생체기반 복합인증 수단인 '모바일 공무원증' 등 보다 안전한 인증체계로 대체해 나가겠다는 계획이다.

모바일 공무원증은 처음 발급 받을 때 물리적 IC 카드나 안면인식, 지문인식 등 다양한 수단을 통해 보안 취약점을 보완할 수 있고, 휴대폰을 본인이 직접 휴대하기 때문에 PC 등 다른 매체에 저장하는 위험성이 상대적으로 적다는 것이다.

다만 국정자원 화재에 따른 전산망 장애로 시스템 백업과 이중화 미비가 뭇매를 맞은 가운데, 공무원 업무망 보안까지 뚫리면서 정부의 관리 체계 부실 비판은 피할 수 없을 것으로 보인다.

'전자정부 세계 1위'의 민낯이 드러나면서 정부가 추진 중인 공공부문 인공지능(AI) 대전환에도 '빨간불'이 켜졌다.

이 실장은 "최근 발생하는 사이버 위협 동향에 대해 면밀히 주시하고, 침해 사고의 주요 원인인 피싱과 악성코드, 보안 취약점 등에 대해 점검 조치 중"이라며 "동일한 사고가 발생하지 않도록 사고 예방에 최선을 다하겠다"고 했다.

한편, 국정자원 화재로 장애가 발생한 정부 전산망 시스템 총 709개 중 정상화된 시스템은 전날 오후 9시 기준 367개다. 복구율은 51.8%다.

정부는 대구센터로 이전해 복구하는 20개 시스템을 제외한 미복구 시스템을 11월 20일까지 재가동하겠다는 계획이다.

윤호중 행안부 장관은 "국민 불편이 하루 빨리 해소될 수 있도록 남은 절반의 복구도 차질 없이 진행해 나가겠다"며 "안전·보안·신뢰 3대 원칙에 따라 모든 시스템이 정상화될 때까지 최선을 다하겠다"고 밝혔다.