해커, 650명 인증서-12명 비번 탈취
온나라시스템 2022년 9월부터 열람
北김수키 소행 추정…중국발 공격 가능성도
정보당국 인지 석달만에 늑장 시인
정부 전산망에 접속할 수 있는 ‘열쇠’인 행정전자서명(GPKI)이 해커에게 탈취되고, 실제 접속까지 허용된 사실이 드러났다. 공공기관의 전자결재와 보고를 담당하는 핵심 인프라가 뚫린 건 이번이 처음이다. 정부는 중국발 공격 가능성까지 열어두고 있다. 최초 공격 시점이 2022년 9월로, 3년 가까이 침투를 알아채지 못했다는 점에서 ‘전자정부’의 보안 체계가 뿌리부터 흔들렸다는 지적이 나온다.
행정안전부와 국가정보원은 17일 “신원이 확인되지 않은 해킹그룹이 공무원 약 650명의 GPKI 인증서와 12명의 비밀번호를 탈취했고, 일부는 이를 이용해 정부 전산망인 ‘온나라’ 시스템에 접속해 자료를 열람한 것으로 확인됐다”고 밝혔다. GPKI는 공무원 신원 확인과 결재·보고 인증에 필수적인 수단으로, 실제 유출 피해가 공식 확인된 건 이번이 처음이다.
국정원은 올해 7월에야 해킹 정황을 인지하고 악용된 인터넷주고(IP)를 차단하는 등 긴급 조치를 취했다. 하지만 외신이 8월 관련 사실을 보도한 뒤 두 달 가까이 침묵하다가 이번에야 공식 인정해 늑장 대응 논란이 일고 있다.
미국의 비영리단체 ‘디도시크릿츠’는 이번 해킹의 배후로 북한 정찰총국 산하 조직 ‘김수키’를 지목했다. 하지만 국정원은 중국발 가능성도 배제하지 않고 있다. 국정원 관계자는 “해커가 한글을 중국어로 번역한 기록과 대만 정부망 해킹 시도 정황이 확인됐다”며 “모든 가능성을 열어두고 배후를 추적 중”이라고 밝혔다.
행안부는 재택근무용 개인 PC가 악성코드에 감염돼 GPKI가 유출된 것으로 보고 있다. 정부는 재발 방지를 위해 모바일 공무원증 등 생체기반 복합 인증체계로 전환할 방침이다.
