행안부, 7월 G-VPN 통한 해킹 정황 확인
공무원 인증서 650건 유출… 인증 체계 개편
“사용자 부주의 가능성… 외부 PC로 침입”
프랙 매거진 보도 두 달 만에 정부 공식 인정

공무원 업무 시스템인 ‘온나라 시스템’과 공무원 인증에 사용되는 ‘행정전자서명’(GPKI)이 외부 해킹 시도에 노출된 것으로 확인됐다. 미국 해킹 관련 매체인 ‘프랙 매거진’이 지난 8월 한국의 중앙부처와 이동통신사, 민간기업이 해킹당한 흔적이 있다는 보도를 한 후 침묵을 지켰던 정부가 뒤늦게 이를 인정하고 사후 대응 과정을 공개한 것이다.

행정안전부는 17일 정부세종청사에서 이용석 디지털정부혁신실장 주재로 브리핑을 열고 “올해 7월 국가정보원을 통해 외부 인터넷 PC에서 정부원격근무시스템(G-VPN)을 통해 업무망인 온나라시스템에 접근한 정황을 확인했다”면서 “이에 따라 8월 4일 원격근무시스템 접속 때 GPKI 인증과 더불어 전화 인증을 거치도록 보안을 강화했다”고 밝혔다.

공무원 650명의 GPKI 인증서 파일이 유출된 사실도 확인됐다. 이 실장은 “650명 정도의 인증서 파일이 (유출된 것으로) 발견되었다”며 “12명의 정보는 GPKI 자체 인증서 키와 비밀번호 같은 것들도 포함됐다”고 말했다. 유출된 인증서 대부분은 유효기간이 만료된 것으로 확인됐는데, 3명은 유효기간이 남아 있어 폐기 조치한 상황이다.

행안부는 이번 해킹의 원인으로 ‘사용자 부주의’에 따른 인증서 유출 가능성을 지목했다. 행안부는 공무원 등이 상대적으로 보안이 취약한 외부 인터넷 PC를 사용하다 인증서 정보가 유출된 것으로 추정하고, 모든 중앙부처와 지방자치단체에 인증서 공유 금지와 관리 강화를 지시했다고 밝혔다.

행안부는 탈취 및 복제 위험이 있는 GPKI 인증서의 보안 위협에 대응하기 위해 기존의 인증 체계를 생체 기반 복합 인증 수단인 모바일 공무원증 등으로 전환할 계획이다. 아울러 대국민 정부 서비스의 인증 체계에도 모바일 신분증 등 생체 인증 기반의 안전한 수단을 확대 도입할 방침이다.

이 실장은 “최근 증가하는 사이버 위협 동향을 자세히 주시하고 있으며 피싱, 악성코드, 보안 취약점 등 침해 사고의 주요 원인에 대해 점검을 강화하고 있다”면서 “같은 사고가 재발하지 않도록 예방에 최선을 다하겠다”고 밝혔다.

프랙 매거진은 지난 8월 미국 비영리단체 ‘디 도시크릿츠’가 ‘KIM’이라는 공격자의 서버를 해킹해 확보한 자료를 바탕으로 한국의 행안부, 외교부 등 중앙부처와 민간기업, 이동통신사 등에 해킹 흔적이 있다고 보도한 바 있다. 이 공격자는 북한 해킹 조직인 ‘김수키(Kimsuky)’로 추정됐다.

해킹 피해 정황이 발견된 기관에는 행안부, 외교부 등 중앙행정기관을 비롯해 군, 검찰, 다음·카카오·네이버, KT, LG유플러스 등이 포함된다. 이 중 행안부는 온나라 시스템과 GPKI에서 해킹 흔적이 확인됐다.