북한의 해커 조직 '김수키(Kimsuky)'로 추정되는 세력이 정부가 공무원 업무시스템인 '온나라시스템'에 대한 공격을 시도한 것으로 알려진 가운데 정부가 이를 공식 확인하고, 공무원 인증서 650명분이 유출된 사실을 발표했다.
이용석 행정안전부 디지털정부혁신실장은 17일 정부세종청사에서 열린 브리핑에서 '온나라 시스템'과 공무원 인증을 위해 사용 중인 행정전자서명(GPKI)이 해킹된 대해 "외부에서 접근한 정황을 확인하고 추가 보안 조치를 완료했다"고 발표했다.
앞서 지난 8월 8일 프렉은 40주년 기념호를 발간하며 'APT Down: The North Korea Files' 보고서를 발표했다. 이 보고서에는 '김수키(Kimsuky)'로 추정되는 세력이 한국과 대만 정부의 내부 시스템을 해킹했다고 주장했다. 또 통일부·해양수산부 계정으로 온나라시스템에 접속한 기록과 함께 행정안전부의 행정전자서명(GPKI) 검증 로그 약 2800건이 포함됐다고 주장한 바 있다.
뿐만 아니라 국방부 방첩사령부(DCC), 외교부, 대검찰청 등 기관에 로그인 시도와 피싱 기록도 포함됐다. 방첩사령부를 대상으로도 시도한 피싱 공격 로그가 확인됐다. 이처럼 북한의 지원을 받는 외부 해커가 우리 정부에 대한 지속적이고 지능적인 전방위적 공격을 이어온 것이다. 정부도 이를 확인하고 유출 사실을 시인한 만큼 추가적인 대책이 요구된다.
온나라시스템은 공무원이 보고서 작성, 결재, 회의자료 관리 등 모든 행정업무를 처리하는 정부 표준 전산망이다. 즉, 일반 기업의 '인트라넷'처럼 내부 결재·지시 체계가 이뤄지는 핵심 시스템으로, 외부 침입 시 내부 문서가 노출될 우려가 나온다.
이 실장은 "국가정보원(국정원)이 7월 중순 외부 인터넷 PC를 통해 정부원격근무시스템(G-VPN)을 통해 온나라시스템에 접근한 정황을 파악했고, 행안부도 같은 시점에 통보받아 즉시 조치에 들어갔다"고 밝혔다.
G-VPN은 공무원이 외부에서 정부 내부망에 접속할 때 사용하는 일종의 보안 통로이며, GPKI는 공무원 신원을 확인하기 위한 전자 서명 시스템이다.
해킹된 공무원들의 공인인증서 파일은 약 650명분으로 파악됐다. 이 실장은 "650명 중 12명은 GPKI 키와 비밀번호가 함께 포함된 사례였으며, 대부분은 유효기간이 이미 만료된 과거 인증서였다"라며 "다만 3명은 유효기간이 남아 있어 지난 8월 13일 폐기 조치됐다"고 덧붙였다.
이 실장은 "온나라시스템의 로그인 정보를 재사용하지 못하도록 하는 차단 조치를 7월 28일 모든 중앙부처와 지자체에 적용했다"라며 "지난 8월 4일 정부원격근무시스템(G-VPN) 접속 시 행정전자서명(GPKI) 인증뿐 아니라 전화인증(ARS)을 반드시 병행하도록 보안을 강화했다"고 덧붙였다.
관련기사
- [기자수첩] 국내 기업 데이터, 해커 돈벌이 전락 왜?2025.10.03
- [단독] SGI서울보증 공격했던 해커, 화천기계 데이터 탈취2025.09.10
- 북한 추정 해커 김수키, 한국 정부 또 공격2025.08.10
- 삼성 파운드리, 현대차 8나노 車 반도체 수주2025.10.17
또 사용자 부주의로 인한 행정전자서명 인증서 유출 경위에 대해 "조사 중이라 명확하게 말씀드리기 어렵다"면서도 "일반적으로 GPKI 인증서를 외부 PC에서 사용하는 경우, 악성코드에 감염되거나 비밀번호가 탈취될 수 있는 위험성이 있어 보완적으로 취약한 부분이 있다"고 해명했다.
한편 이 실장은 "현재 국정원이 관계기관과 함게 유출 경위와 피해 영향을 조사 중이며, 개선사항이 나오면 즉시 보완할 것"이라며 "최근 피싱, 악성코드, 보안 취약점 등 다양한 사이버 위협을 면밀히 점검 중이며, 같은 사고가 재발하지 않도록 예방에 최선을 다하겠다"고 말했다.
