.gif)
정부 온나라 해킹 사실 확인...국정원, 추가 피해 방지 대책 시행
8월 ‘프랙’ 보고서 내용 사실이었다...행안부 등 주요 정부 부처 사이버 침해
[보안뉴스 강현주 기자] 공무원 업무 시스템 접속에 필요한 행정전자서명(GPKI) 정보 등에 해외 국가 배후 해커가 접근했다는 의혹이 사실로 확인됐다.
국가정보원은 17일 해커가 정부업무관리시스템(온나라)에 무단 접속해 자료를 열람한 사실을 확인하고, 긴급 보안 조치로 추가 피해를 차단했다고 밝혔다.
행정안전부 역시 이날 정부세종청사에서 브리핑을 열고 “7월 중순 국정원을 통해 외부 인터넷PC에서 정부원격근무시스템(G-VPN)을 통해 온나라시스템에 접근한 정황을 확인했다”고 밝혔다.
<보안뉴스>는 8월 해외 해킹 전문 매체 ‘프랙’에 실린 보고서 ‘APT Down: The North Kroea Files’를 입수, 행정안전부를 비롯한 국내 주요 정부 기관 및 기업에 대한 해킹 침해 사실을 단독 보도한 바 있다. 이 공격은 북한 또는 중국 정부와 연계된 해커 그룹에 의한 것으로 추정된다.
▲온나라시스템 등 정부 행정망(내부망) 침투 개요도 [자료: 국정원]
해커는 다양한 경로로 공무원들의 행정업무용 인증서(GPKI)와 패스워드 등을 확보한 후, 인증체계를 면밀히 분석해 합법적 사용자로 위장해 행정망에 접근헀다고 국정원은 밝혔다.
해커는 이후 6개 인증서 및 6개 국내외 IP를 이용해 2022년 9월부터 올해 7월까지 행안부가 재택근무를 위해 사용하는 원격접속시스템(G-VPN)을 통과, 온나라시스템에 접속해 자료를 열람했다.
국정원은 대응 과정에서 해커가 일부 부처가 자체 운영 중인 전용 시스템에 접근한 사실도 확인해 조사하고 있다.
국정원은 해커가 악용한 6개 IP주소를 전체 국가 및 공공기관에 전파해 차단하는 등 해커의 접근을 막는 긴급 보안조치를 취했다.
이와 함께 △정부 원격접속시스템 접속시 ARS 등 2차 인증 적용 △온나라시스템 접속 인증 로직 변경 △해킹에 악용된 행정업무용 인증서(GPKI) 폐기 △피싱 사이트 접속 추정 공직자 이메일 비밀번호 변경 △각 부처 서버 접근통제 강화 △소스코드 취약점 수정 등의 조치로 추가 해킹 가능성을 차단했다고 밝혔다.
행안부 역시 “정부원격근무시스템에 접속할 때 행정전자서명 인증과 함께 전화인증(ARS)을 받으시 거치도록 보안을 강화했다”고 밝혔다. 또 행정전자서명 기반 인증 체계를 생체기반 복합 인증 수단인 모바일 공무원증 등으로 대체하기로 했다.
국정원은 7월 온나라시스템 등 공공 및 민간 분야 해킹 첩보를 입수, 행안부 등 유관 기관과 함께 정밀 분석을 실시해 해킹 사실을 확인하고 추가 피해 방지에 나섰다고 설명했다.
또 다른 정부 부처에서 쓰는 행정메일 서버 소스코드가 노출됨에 따라 보안이 취약한 부분을 수정했고, 패스워드가 노출된 다른 부처엔 GPKI 비밀번호를 변경하게 했다. 해커가 만든 피싱 사이트에 접속한 것으로 보이는 180개 공직자 이메일 계정도 비밀번호를 변경했다.
앞서 프랙 보고서는 우리나라 외교부 메일 서버가 해킹되고 해양수산부 등 부처의 인증 정보가 노출됐다고 적시했다. 또 방첩사를 겨냥한 피싱 공격 사실도 제시했다.
▲‘프랙’ 공개 우리나라 民ㆍ官 주요 해킹 정황 [자료: 국정원]
프랙 보고서는 북한 ‘김수키’를 해킹 주체로 지목했지만, 국정원은 공격 주체를 특정하지는 않았다. 국정원은 “이번 해킹에서 확인된 해커 악용 IP주소 6종의 과거 사고 이력, GPKI 인증서 절취 사례 및 공격 방식, 대상 유사성 등을 종합적으로 분석 중이지만 현재까지 해킹 주체를 단정할만한 기술적 증거는 부족한 상황”이라고 밝혔다. 해커가 한글을 중국어로 번역한 기록, 대만 해킹을 시도한 정황 등은 확인됐다.
국정원은 해커가 온나라시스템 등 정부 행정망에서 열람한 구체적 자료 내용 및 규모를 파악 중이다.
행안부 등 유관기관과 함께 인증체계 강화 및 정보보안제품 도입 확대 등 보안 강화 방안도 마련할 예정이다. 현재 보안관제시스템으로는 정상적 경로로 은밀히 진행되는 해킹 징후를 포착하는데 어려움이 있어, 사각지대를 모니터링할 수 있도록 탐지체계도 고도화한다.
김창섭 국정원 3차장은 “온나라시스템 등 정부 행정망은 국민의 생활과 행정 서비스의 근간인 만큼, 진행중인 조사를 조속히 마무리하고 재발방지를 위한 범정부 후속대책을 마련해 이행할 계획”이라고 밝혔다.
[강현주 기자(jjoo@boannews.com)]
8월 ‘프랙’ 보고서 내용 사실이었다...행안부 등 주요 정부 부처 사이버 침해
[보안뉴스 강현주 기자] 공무원 업무 시스템 접속에 필요한 행정전자서명(GPKI) 정보 등에 해외 국가 배후 해커가 접근했다는 의혹이 사실로 확인됐다.
국가정보원은 17일 해커가 정부업무관리시스템(온나라)에 무단 접속해 자료를 열람한 사실을 확인하고, 긴급 보안 조치로 추가 피해를 차단했다고 밝혔다.
행정안전부 역시 이날 정부세종청사에서 브리핑을 열고 “7월 중순 국정원을 통해 외부 인터넷PC에서 정부원격근무시스템(G-VPN)을 통해 온나라시스템에 접근한 정황을 확인했다”고 밝혔다.
<보안뉴스>는 8월 해외 해킹 전문 매체 ‘프랙’에 실린 보고서 ‘APT Down: The North Kroea Files’를 입수, 행정안전부를 비롯한 국내 주요 정부 기관 및 기업에 대한 해킹 침해 사실을 단독 보도한 바 있다. 이 공격은 북한 또는 중국 정부와 연계된 해커 그룹에 의한 것으로 추정된다.
▲온나라시스템 등 정부 행정망(내부망) 침투 개요도 [자료: 국정원]
해커는 다양한 경로로 공무원들의 행정업무용 인증서(GPKI)와 패스워드 등을 확보한 후, 인증체계를 면밀히 분석해 합법적 사용자로 위장해 행정망에 접근헀다고 국정원은 밝혔다.
해커는 이후 6개 인증서 및 6개 국내외 IP를 이용해 2022년 9월부터 올해 7월까지 행안부가 재택근무를 위해 사용하는 원격접속시스템(G-VPN)을 통과, 온나라시스템에 접속해 자료를 열람했다.
국정원은 대응 과정에서 해커가 일부 부처가 자체 운영 중인 전용 시스템에 접근한 사실도 확인해 조사하고 있다.
국정원은 해커가 악용한 6개 IP주소를 전체 국가 및 공공기관에 전파해 차단하는 등 해커의 접근을 막는 긴급 보안조치를 취했다.
이와 함께 △정부 원격접속시스템 접속시 ARS 등 2차 인증 적용 △온나라시스템 접속 인증 로직 변경 △해킹에 악용된 행정업무용 인증서(GPKI) 폐기 △피싱 사이트 접속 추정 공직자 이메일 비밀번호 변경 △각 부처 서버 접근통제 강화 △소스코드 취약점 수정 등의 조치로 추가 해킹 가능성을 차단했다고 밝혔다.
행안부 역시 “정부원격근무시스템에 접속할 때 행정전자서명 인증과 함께 전화인증(ARS)을 받으시 거치도록 보안을 강화했다”고 밝혔다. 또 행정전자서명 기반 인증 체계를 생체기반 복합 인증 수단인 모바일 공무원증 등으로 대체하기로 했다.
국정원은 7월 온나라시스템 등 공공 및 민간 분야 해킹 첩보를 입수, 행안부 등 유관 기관과 함께 정밀 분석을 실시해 해킹 사실을 확인하고 추가 피해 방지에 나섰다고 설명했다.
또 다른 정부 부처에서 쓰는 행정메일 서버 소스코드가 노출됨에 따라 보안이 취약한 부분을 수정했고, 패스워드가 노출된 다른 부처엔 GPKI 비밀번호를 변경하게 했다. 해커가 만든 피싱 사이트에 접속한 것으로 보이는 180개 공직자 이메일 계정도 비밀번호를 변경했다.
앞서 프랙 보고서는 우리나라 외교부 메일 서버가 해킹되고 해양수산부 등 부처의 인증 정보가 노출됐다고 적시했다. 또 방첩사를 겨냥한 피싱 공격 사실도 제시했다.
▲‘프랙’ 공개 우리나라 民ㆍ官 주요 해킹 정황 [자료: 국정원]
프랙 보고서는 북한 ‘김수키’를 해킹 주체로 지목했지만, 국정원은 공격 주체를 특정하지는 않았다. 국정원은 “이번 해킹에서 확인된 해커 악용 IP주소 6종의 과거 사고 이력, GPKI 인증서 절취 사례 및 공격 방식, 대상 유사성 등을 종합적으로 분석 중이지만 현재까지 해킹 주체를 단정할만한 기술적 증거는 부족한 상황”이라고 밝혔다. 해커가 한글을 중국어로 번역한 기록, 대만 해킹을 시도한 정황 등은 확인됐다.
국정원은 해커가 온나라시스템 등 정부 행정망에서 열람한 구체적 자료 내용 및 규모를 파악 중이다.
행안부 등 유관기관과 함께 인증체계 강화 및 정보보안제품 도입 확대 등 보안 강화 방안도 마련할 예정이다. 현재 보안관제시스템으로는 정상적 경로로 은밀히 진행되는 해킹 징후를 포착하는데 어려움이 있어, 사각지대를 모니터링할 수 있도록 탐지체계도 고도화한다.
김창섭 국정원 3차장은 “온나라시스템 등 정부 행정망은 국민의 생활과 행정 서비스의 근간인 만큼, 진행중인 조사를 조속히 마무리하고 재발방지를 위한 범정부 후속대책을 마련해 이행할 계획”이라고 밝혔다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.jpg)
.png)
.png){kind=spacer}
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
