이용석 행정안전부 디지털 정부혁신실장이 17일 오전 세종시 정부세종청사 중앙동에서 정부업무관리시스템(온나라) 해킹 대응 관련 내용을 발표하고 있다. 뉴스1

미국 보안 분야 전문 매체인 ‘프랙 매거진’(Phrack Magazine)이 2달 전 한국 정부가 운용 중인 행정전자서명시스템(GPKI)의 해킹 피해 사실을 알렸는데도 정부가 그동안 부처 간 공유 없이 쉬쉬해 온 것으로 드러났다. GPKI는 공무원 신원 확인과 문서의 위·변조 방지 기능 등을 제공하는 주요 전산 시스템이다.

19일 프랙에 따르면 프랙은 지난 8월 7일(현지시각) 미국 샌프란시스코에서 열린 사이버 보안 콘퍼런스인 ‘데프콘’ 행사에 맞춰 40주년 기념호를 발행했다. 기념호에는 한국 정부의 해킹 사실이 담긴 보고서(APT Down : The North Korea Files)가 포함됐다. 보안 취약점을 찾아내는 화이트 해커로 알려진 ‘세이버(Saber)’와 ‘사이버오알지(cyb0rg)’가 공동 작성한 해당 보고서는 북한 해킹조직인 ‘김수키(kimsuky)’의 GPKI 해킹 사실과 어떻게 민감한 정보를 빼낼 수 있었는지 등을 다뤘다. 다만 국정원은 해킹 주체와 관련해 “(김수키를) 단정할만한 기술적 증거는 부족한 상황”이라고 했다.

보고서 내용 등을 종합하면, 지난해 초 ‘트롤 스틸러(Troll Stealer)’란 이름의 신생 악성코드가 한 다크 웹 모니터링 기업에 의해 발견됐다. 세이버 등은 특정 해커가 해당 악성코드를 사용해 한국 공무원들 개인 PC를 감염시킨 뒤 PC 안에 저장된 GPKI 인증서와 비밀번호를 빼냈다고 주장했다. 해커는 비밀번호를 해독하는 프로그램도 개발한 상태였다. 해커는 이렇게 훔친 GPKI 인증정보로 한국 정부의 전산망 원격접속시스템(GVPN)을 거쳐 공무원 업무 시스템인 ‘온나라’에 접속할 수 있었다.

프랙 보고서의 주요 내용은 2달이 흐른 지난 17일 행정안전부의 공식 브리핑을 통해 사실로 확인됐다. 2022년 9월부터 올해 7월까지 공무원 653명의 GPKI 인증서가 탈취됐다는 게 행안부 설명이다. 650명 인증서는 유효 기간이 만료됐고, 나머지 3명 인증서는 유효 기간이 남아, 지난 8월 13일 폐기 처분했다. 프랙 발표 후 일주일 가까이 돼서야 조처가 완료된 것이다. 해커가 정부 행정망에서 열람한 구체적 자료 내용과 규모는 현재 국정원이 파악하고 있다.

지난 8월 한국 정부의 GPKI 인증서가 해킹됐다(붉은 박스)는 내용을 담은 프랙 보고서. 사진 보고서 캡처

문제는 주무 부처인 국정원이나 행안부가 다른 부처에 구체적인 해킹 피해 사실을 알리지 않으면서, 일부 부처는 개별 직원 인증서 유출 여부조차 까맣게 몰랐다는 점이다. 특히 국정원은 프랙 보고서가 나오기 한 달 전쯤 온나라 시스템 해킹 사실을 파악한 바 있다. 19일 국민의힘 박정하 의원이 문화체육관광부로부터 제출받은 자료에 따르면 GPKI 인증서가 유출된 문체부 공무원은 5명이다. 하지만 문체부는 지난 17일 행안부가 관련 브리핑을 열고 박 의원실이 자료를 요청한 이후에야 행안부를 통해 피해 사실을 확인할 수 있었다고 한다. 문체부 산하 국가유산청도 마찬가지다. GPKI 인증서 1건이 유출됐으나 그동안 알지 못했다고 한다.

박정하 의원은 “일부 부처와 기관이 해킹 피해 사실을 알지 못한 게 확인됐다. 부처 간 정보 공유와 협조가 이뤄지지 않았던 것”이라며 “보안 관리 체계의 미비점을 바로잡고 재발 방지 대책을 서둘러야 한다”고 했다. 정부 관계자는 이에 대해 “보안 위협이 감지되면 (통상) 긴급조치를 먼저 시행한 뒤 추가적인 조사·분석 등을 진행한다”며 “단순 해킹 사실만이 아닌 인증체계 강화 등 대책까지 함께 담아 발표하게 된 것”이라고 했다.

현재 공무원들이 원격근무시스템에 접속하려면 GPKI 인증과 더불어 ARS 전화인증을 반드시 거쳐야 한다. 나아가 정부는 GPKI 인증서의 보안 위협에 대응하기 위해 생체기반 복합 인증 수단인 모바일 공무원증 등으로 대체하기로 했다.