▲ 국가정보원 원훈석 [출처=국가정보원]
국가정보원(원장 이종석, 이하 국정원)에 따르면 2025년 7월 온나라시스템 등 공공·민간 분야 해킹 첩보를 사전에 입수해 추가피해 방지를 위한 대응에 적극 나섰다.

행안부 등 유관기관과 합동으로 정밀 분석을 실시해 해킹 사실을 확인했다. 이는 2025년 8월8일 미국 해커 잡지 ‘프랙(Phrack)’에서 해킹 정황을 공개한 것보다 한 달 앞선 대응조치다.

▲ ‘프랙’ 공개 우리나라 民ㆍ官 주요 해킹 정황 [출처=국가정보원]

◇ 해킹첩보 검증 및 대응 활동... 온나라시스템 등 정부 행정망 침투

해커는 먼저 다양한 경로로 공무원들의 행정업무용 인증서(GPKI)·패스워드 등을 확보한 것으로 보이며 인증체계를 면밀히 분석한 뒤 합법적 사용자로 위장해 행정망에 접근한 것으로 밝혀졌다.

이후 인증서(6개) 및 국내외 IP(6개)를 이용해 2022년 9월부터 2025년 7월까지 행안부가 재택근무를 위해 사용하는 원격접속시스템(G-VPN)을 통과, 온나라시스템에 접속해 자료를 열람했다.

또한 국정원은 대응과정에서 해커가 일부 부처가 자체 운영 중인 전용 시스템에도 접근한 사실을 추가 확인해 조사 중이다.

점검 결과 정부 원격접속시스템에 본인확인 등 인증체계가 미흡하고 온나라시스템의 인증 로직이 노출되면서 복수기관에 접속이 가능하였고 각 부처 전용 서버에 대한 접근통제가 미비한 것이 사고원인으로 드러났다.

국정원은 해커가 악용한 6개 IP주소를 全 국가ㆍ공공기관에 전파ㆍ차단하는 등 해커의 접근을 막는 긴급 보안조치를 단행했다.

이와 함께 △정부 원격접속시스템 접속시 ARS 등 2차 인증 적용 △온나라시스템 접속 인증 로직 변경 △해킹에 악용된 행정업무용 인증서(GPKI) 폐기 △피싱사이트 접속 추정 공직자 이메일 비밀번호 변경 △각 부처 서버 접근통제 강화 △소스코드 취약점 수정 등의 조치를 통해 추가 해킹 가능성을 차단했다.

그 밖에 A 부처 행정메일 서버 소스코드 노출이 확인되었는데 해킹에 악용될 우려가 있어 개발업체와 함께 소스코드를 분석해 보안이 취약한 것으로 판단되는 부분을 수정했다.

또한 일부 패스워드가 노출된 B 부처 행정업무용 인증서(GPKI)의 패스워드를 변경했다. 해커가 구축한 피싱사이트에 접속한 것으로 보이는 180여개의 공직자 이메일 계정에 대해서도 해킹 가능성에 대비해 전체 비밀번호를 변경했다.

현재까지 이로 인한 별다른 피해는 확인되지 않았다. 민간의 경우 서버인증서 노출, 원격관리시스템(VPN) 접속 페이지 노출 등의 피해가 있어 해당업체에 위험성을 통보, 보안조치를 요청했으며 통신업체에 대해서는 과기정통부가 피해여부를 별도로 확인중이다.

◇ 공격 주체 및 향후 조치계획

미국 해커 잡지인 ‘프랙’은 이번 해킹을 자행한 배후로 북한 ‘김수키’ 조직을 지목했다. 국정원은 금번 해킹에서 확인된 해커 악용 IP주소 6종의 과거 사고 이력, GPKI 인증서 절취 사례 및 공격방식ㆍ대상의 유사성 등을 종합적으로 분석중이지만 현재까지 해킹소행 주체를 단정할만한 기술적 증거는 부족한 상황이다.

다만 해커가 한글을 중국어로 번역한 기록, 대만 해킹을 시도한 정황 등이 확인 되었지만 국정원은 모든 가능성을 열어 두고 해외 정보협력기관 및 국내외 유수 보안업체와 협력해 공격 배후를 추적하고 있다.

대응과정에서 국정원은 국회 정보위원회 양당 간사 등을 대상으로 해킹피해 상황 및 대응경과를 보고하고 사태의 심각성을 공유한 바 있다.

현재 해커가 온나라시스템 등 정부 행정망에서 열람한 구체적 자료내용 및 규모를 파악중이며 조사가 마무리 되는대로 결과를 국회 등에 보고할 예정이다.

행안부 등 유관기관과 함께 인증체계 강화·정보보안제품 도입 확대 등 보안강화 방안도 마련할 예정이다. 또한 現 보안관제시스템으로는 정상적인 경로로 은밀히 진행되는 해킹징후를 포착하는데 어려움이 있어 사각지대를 모니터링할 수 있도록 탐지체계를 고도화해 나갈 계획이다.

김창섭 국정원 3차장은 “온나라시스템 등 정부 행정망은 국민의 생활과 행정 서비스의 근간인 만큼 진행 중인 조사를 조속히 마무리하고 재발방지를 위한 汎정부 후속대책을 마련해 이행할 계획이다”고 밝혔다.