사이버위협분석/해킹 및 개인정보 유출사고 동향

[정부 행정망] 온나라시스템 해킹 사건 보고서_2025년 10월

경험한사람 2025. 10. 18. 11:22

국가정보원은 2025년 10월 17일, 미상 해커가 온나라시스템 등 정부 행정망에 장기간 무단 접속해 자료를 열람한 사실을 확인했다고 발표했다. 해커는 GPKI 인증서를 탈취해 합법 사용자로 위장했으며, 공공·민간 부문을 동시에 공격한 정황이 드러났다.

 

목차
   ­ㄴ 개요 (Overview)
   ­ㄴ 해킹 경위 및 침투 경로 분석 (Incident Details and Intrusion Path Analysis)
   ­ㄴ 사고 원인 분석 (Root Cause Analysis)
   ­ㄴ 피해 현황 (Damage Assessment)
   ㄴ 주요 대응 및 조치 사항 (Key Response and Mitigation Measures)
   ­ㄴ 공격 주체 분석 (Attribution Analysis)
   ­ㄴ 향후 조치 계획 (Future Action Plan)
   ­ㄴ  온나라시스템 등에 대한 정교한 위장침투 대응 - 주요내용 인터뷰 영상

 
□  개요 (Overview)    

본 보고서는 국가정보원(이하 국정원)이 2025년 7월, 정부 온나라시스템을 포함한 공공 및 민간 부문에 대한 해킹 첩보를 입수하고 유관기관과 합동으로 대응한 사건의 기술적 전말을 분석하고, 식별된 취약점과 대응 조치를 명시하여 汎정부적 보안 체계 강화에 기여하는 것을 목적으로 한다. 국정원의 선제적 조치는 미국 해커 잡지 '프랙(Phrack)'이 관련 정황을 8월에 공개하기 약 한 달 전에 이루어졌으며, 이를 통해 추가 피해 확산을 방지하는 데 주력했다.

'프랙'지가 공개한 우리나라 공공 및 민간 부문의 주요 해킹 정황은 다음과 같다.

구분 해킹 정황
공공 부문
정부 온나라시스템 해커 접속 정황 및 인증 소스코드
A 부처 행정메일서버 소스코드
B 부처 행정업무용 인증서(GPKI) 패스워드(4개) 노출
피싱사이트에 접속한 공직자 이메일 계정(180여개) 노출
민간 부문
C 통신社 서버인증서 노출
D 통신社 서버 접속계정 관리파일 노출
E 언론社 원격관리시스템(VPN) 로그인 페이지 노출
포털社로 위장한 피싱사이트 접속계정 노출



 해킹 경위 및 침투 경로 분석 (Incident Details and Intrusion Path Analysis)   

이번 공격은 무차별적인 시스템 공격에서 벗어나, 정교한 사회 공학 및 계정 정보 탈취를 통해 정부 원격근무 인프라에 내재된 신뢰를 악용한 고도화된 침투 전략이라는 점에서 그 심각성이 크다. 해커는 합법적 사용자로 위장하여 정상적인 경로를 악용함으로써 장기간 탐지를 회피하는 치밀함을 보였으며, 해커의 공격은 다음과 같은 단계로 진행되었다.

  1. 인증 정보 확보: 해커는 다양한 경로를 통해 공무원들의 행정업무용 인증서(GPKI)와 관련 패스워드를 사전에 확보했다.
  2. 인증 체계 분석: 확보한 정보를 바탕으로 정부의 인증 체계를 면밀히 분석하여 침투 계획을 수립했다.
  3. 사용자 위장 및 접근: 합법적인 공무원으로 위장하여 행정안전부가 운영하는 재택근무용 원격접속시스템(G-VPN)을 통해 정부 행정망에 성공적으로 접근했다.
  4. 자료 열람: 2022년 9월부터 2025년 7월까지, 탈취한 인증서 6개와 국내외 IP 6개를 이용하여 온나라시스템에 접속하고 내부 자료를 열람했다.
  5. 추가 침투: 국정원의 대응 과정에서 해커가 일부 부처가 자체적으로 운영하는 전용 시스템에도 접근한 사실이 추가로 확인되었다.

온나라시스템 등 정부 행정망(내부망) 침투 개요도



 사고 원인 분석 (Root Cause Analysis)   

이번 해킹 사고는 단일 시스템의 실패가 아닌, 정부의 원격 접속 환경부터 개별 시스템에 이르기까지 여러 단계에 걸쳐 존재했던 복합적인 보안 취약점이 공격 성공의 빌미를 제공했음을 명확히 보여준다. 이는 효과적인 심층 방어(Defense-in-Depth) 전략의 부재를 시사하며, 각 취약점의 근본 원인을 분석하는 것은 효과적인 재발 방지 대책 수립의 핵심이다. 점검 결과 드러난 3가지 핵심 사고 원인은 다음과 같다.

  • 정부 원격접속시스템의 미흡한 인증 체계 정부 원격접속시스템(G-VPN)에 아이디와 패스워드 외 본인 확인을 위한 2차 인증 절차가 부재했던 것이 결정적이었다. 이로 인해 해커는 탈취한 인증서만으로 손쉽게 행정망의 초기 접근 권한을 획득할 수 있었다.
  • 온나라시스템 인증 로직 노출 온나라시스템의 인증 로직이 외부에 노출되어 있었던 점은 해커가 단일 시스템 침투에 그치지 않고 여러 부처의 시스템에 접근할 수 있는 발판을 마련해주었다. 이는 '피해 현황'에서 기술된 바와 같이 해커가 A, B 부처 등 복수의 기관으로 피해를 확산시킬 수 있었던 직접적인 원인이 되었다.
  • 각 부처 전용 서버의 접근 통제 미비 일부 부처가 자체 운영하는 전용 서버에 대한 접근 통제가 미비하여, 이미 행정망에 침투한 해커가 추가적인 내부 시스템으로의 수평 이동(Lateral Movement)을 허용했다. 이는 중앙 관리 시스템의 보안 정책이 개별 부처 단위까지 일관되게 적용되지 않았음을 보여준다.

 

 피해 현황 (Damage Assessment)   

이번 해킹 사건으로 인해 공공 및 민간 부문 전반에 걸쳐 정보 유출 및 보안 위협이 확인되었다. 현재 해커가 열람한 자료의 구체적인 내용과 규모에 대한 정밀 조사가 진행 중이며, 현재까지 파악된 피해 현황은 다음과 같다.

  • 공공 부문 피해
    • 온나라시스템: 해커의 무단 접속 및 자료 열람 발생 (열람한 구체적 자료 내용 및 규모는 현재 파악 중)
    • A 부처: 행정메일 서버 소스코드 노출
    • B 부처: 행정업무용 인증서(GPKI) 패스워드 4개 노출
    • 공직자 이메일: 피싱사이트 접속으로 180여 개 계정 노출 (현재까지 별도 피해 미확인)
  • 민간 부문 피해
    • C 통신사: 서버 인증서 노출
    • D 통신사: 서버 접속계정 관리 파일 노출
    • E 언론사: 원격관리시스템(VPN) 로그인 페이지 노출

 

 주요 대응 및 조치 사항 (Key Response and Mitigation Measures)   

첩보 인지 즉시, 합동 대응팀은 위협 확산을 차단하고 식별된 취약점을 해결하기 위해 다음과 같은 선제적 조치를 이행했다. 각 조치는 '사고 원인 분석'에서 식별된 특정 취약점에 직접 대응하도록 설계되었다.

  • 긴급 접근 차단
    • 해커가 악용한 6개의 IP 주소를 全 국가·공공기관에 즉시 전파하고 접속을 차단했다.
    • 해킹에 직접적으로 악용된 행정업무용 인증서(GPKI)는 즉시 폐기하여 추가 접근을 원천 차단했다.
  • 인증 및 접근 통제 강화
    • '미흡한 인증 체계'에 대한 직접적인 대응으로, 정부 원격접속시스템(G-VPN) 접속 시 ARS 등 2차 인증을 의무적으로 적용하여 인증 절차를 강화했다.
    • '인증 로직 노출' 문제 해결을 위해 온나라시스템의 접속 인증 로직을 긴급 변경하여 기존의 취약점을 보완했다.
    • '접근 통제 미비' 문제 해결을 위해 각 부처의 전용 서버에 대한 접근 통제 정책을 강화하여 비인가 수평 이동을 방지했다.
  • 취약점 제거 및 계정 보안
    • A 부처의 행정메일 서버 소스코드 취약점을 개발업체와 함께 분석하여 수정 조치를 완료했다.
    • B 부처의 노출된 GPKI 패스워드를 즉시 변경했다.
    • 피싱사이트 접속이 추정되는 공직자 이메일 계정 180여 개 전체의 비밀번호를 변경하여 계정 탈취 가능성에 대비했다.
  • 민간 부문 조치
    • 피해가 확인된 C, D, E 업체에 위험성을 통보하고 즉각적인 보안 조치를 요청했다.
    • 피해 통신업체에 대해서는 과학기술정보통신부가 피해 여부를 별도로 확인 중에 있다.

 

 공격 주체 분석 (Attribution Analysis)   

공격의 배후를 규명하는 것은 유사 위협에 대한 방어 전략을 수립하고 국가 차원의 사이버 안보 역량을 강화하는 데 매우 중요하다. 현재까지의 분석 결과와 공식적인 입장은 다음과 같다.

  1. 외부 기관의 지목: 미국 해커 잡지 '프랙(Phrack)'은 이번 해킹의 배후로 북한의 해킹 조직인 '김수키(Kimsuky)'를 지목했다.
  2. 국정원 자체 분석: 국정원은 해커가 악용한 IP 주소 6개의 과거 이력, 기존의 GPKI 인증서 절취 사례, 그리고 이번 공격에서 사용된 방식과 대상의 유사성 등을 종합적으로 분석하며 공격 주체를 추적하고 있다.
  3. 현재까지의 결론: 현재까지 해킹 소행 주체를 특정 조직으로 단정할 만한 명확한 기술적 증거는 부족한 상황이다. 다만, 조사 과정에서 해커가 한글을 중국어로 번역한 기록이나 대만 해킹을 시도한 정황 등 추가적인 단서가 확인되었다. 국정원은 모든 가능성을 열어두고 해외 정보기관 및 국내외 유수 보안업체와 긴밀히 공조하여 공격의 배후를 계속 추적하고 있다.

 

 향후 조치 계획 (Future Action Plan)   

이번 사건을 계기로 단기적인 대응을 넘어, 汎정부 차원의 정보보호 체계를 근본적으로 강화하기 위한 중장기적인 계획을 수립하여 추진할 것이다. 향후 추진할 핵심 계획은 다음과 같다.

  1. 조사 완료 및 결과 보고: 해커가 온나라시스템 등 정부 행정망에서 열람한 구체적인 자료 내용 및 피해 규모 파악을 조속히 마무리할 것이다. 국정원은 이미 대응 과정에서 국회 정보위원회 양당 간사 등을 대상으로 피해 상황 및 대응 경과를 보고했으며, 최종 조사 결과가 나오는 대로 국회 등에 투명하게 보고할 예정이다.
  2. 汎정부 보안 강화 방안 마련: 행정안전부 등 유관기관과 협력하여, 이번에 드러난 취약점을 근본적으로 해결하기 위한 '汎정부 보안 강화 방안'을 마련할 계획이다. 여기에는 2차 인증 의무화 확대 등 인증체계 전면 강화, 최신 정보보안제품 도입 확대 등의 내용이 포함될 것이다.
  3. 보안관제 탐지체계 고도화: 정상적인 경로로 은밀하게 진행되는 지능형 해킹 징후를 기존 보안관제시스템만으로 포착하는 데 한계가 있음을 인지하고, 사각지대까지 모니터링할 수 있도록 탐지체계를 고도화해 나갈 계획이다.


□ 온나라시스템 등에 대한 정교한 위장침투 대응 - 주요내용 인터뷰 영상     

동영상 서비스가 종료되어 해당 콘텐츠를 재생할 수 없습니다.

 


본 사안의 중대성과 관련하여, 김창섭 국정원 3차장은 재발 방지를 위한 기관의 확고한 의지를 다음과 같이 표명했다.
"온나라시스템 등 정부 행정망은 국민의 생활과 행정 서비스의 근간인 만큼, 진행중인 조사를 조속히 마무리하고 재발방지를 위한 汎정부 후속대책을 마련해 이행할 계획”이라고 밝혔다. 끝.

보도자료_국정원, 온나라시스템 등에 대한 정교한 위장침투에 대응_251017.pdf
0.20MB


감사합니다.