정부업무관리시스템(온나라) 해킹대응관련 브리핑

존경하는 국민 여러분, 행정안전부 디지털정부혁신실장 이용석입니다.

지금부터 미국 해킹 전문지 '프랙(Phrack)'에서 게시된 내용 중에서 정부 시스템을 대상으로 한 침해 시도에 대한 행정안전부의 대응 조치 현황에 대해서 말씀드리겠습니다.

먼저, 국가 사이버 위기대응 체계에 대해서 말씀드리겠습니다.

현재 공공부문 사이버 위기대응은 국가정보원을 총괄하여 민간부문은 과학기술정보통신부에서 총괄하고 있습니다.

행정안전부는 국가정보자원관리원 등 소관 정부 시스템을 대상으로 사이버 위협에 대응하고 있으며, 지자체의 사이버 위협에 대해서도 함께 지원하고 있습니다.

국가정보원과는 상호간에 위협 정보 공유 등을 통해서 사이버 침해에 공동 대응하고 있다는 말씀드립니다.

금년 8월 8일 발표된 프랙 보고서에는 행안부, 외교부 등 여러 정부부처와 관련된 내용이 포함되어 있습니다. 이 중에서 행정안전부가 관리하는 정부업무관리시스템인 온나라 시스템 접속 로그와 공무원들이 인증을 위해 사용 중인 행정전자서명, 즉 GPKI의 인증서 파일, 행정전자서명을 이용하는 기관 시스템에 적용하기 위한 프로그램인 인터페이스, 즉 API 코드가 일부 있었습니다.

정부업무관리시스템인 온나라 시스템 접속 침해 관련 조치 사항을 말씀드리겠습니다.

우리 부에서는 7월 중순경 국가정보원으로부터 외부 인터넷 PC에서 정부원격근무시스템인 GVPN을 통해서 업무망인 온나라 시스템에 접근한 정황을 확인하였습니다.

이에 따라 지난 8월 4일 정부원격근무시스템에 접속 시 행정전자서명 인증과 더불어서 전화인증인 ARS를 함께 거치도록 보안 체계를 강화하였습니다.

온나라 시스템에 대해서는 온나라 시스템의 로그인 재사용 방지를 위한 조치를 완료하여 7월 28일까지 중앙부처, 지자체 단체에 함께 적용했다는 말씀드립니다.

다음은 행정전자서명인증서 관련 조치 내용에 대해서 말씀드리겠습니다.

우리 부에서는 국가정보원으로부터 해당 인증서 정보를 공유받았습니다. 인증서의 유효성 여부를 검증한 결과 대부분의 인증서에서는 유효기간이 만료되었습니다만 일부 유효한 인증서가 있었기 때문에 이것에 대해서는 8월 13일 폐기 조치를 완료하였습니다.

또한, 관리적 측면에서 사용자의 부주의로 인해 외부 인터넷 PC에서 인증서 정보가 유출되는 것으로 추정되고 있기 때문에 전 중앙부처와 지자체에 인증서 공유를 금지하고 관리를 강화하는 것을 내용으로 하는 내용을 통보하였다는 말씀드립니다.

아울러, 프랙 보고서에서 게시된 이용 기간의 행정전자서명인증서 API 소스코드는 ActiveX가 사용되던 예전의 버전입니다. 2018년부터는 사용하지 않고 있기 때문에 지금 이와 관련된 보안 위협은 없는 상태라는 말씀도 함께 밝혀둡니다.

현재 국가정보원 주관으로 관련 기관과 함께 유출 경위, 피해 영향도 등을 상세히 조사 중에 있습니다. 추후 조사 결과에 따라 개선할 사항이 발견되면 즉각적인 보안과 대응을 추가적으로 해 나가겠습니다.

행정안전부에서는 향후 탈취 및 복제 위험이 있는 행정전자서명인증서의 보안 위협에 대응하기 위해서 행정 및 공공기관의 공무원이 내부 행정 시스템에 접근하기 위해 사용하던 행정전자서명 기반의 인증체계를 생체복합인증수단인 모바일 공무원증 등 안전한 인증체계로 대체해 나가고자 합니다.

또한, 대국민 정부서비스 인증체계에 대해서도 생체인증수단을 활용하는 모발일 신분증 등 편리하면서도 보다 안전한 인증 수단을 적극적으로 도입을 확대해 나가겠습니다.

마지막으로, 최근 발생한 사이버 위협 동향에 대해 면밀히 주시하고 있으며, 침해사고의 주요 원인인 피싱, 악성코드, 보안 취약점에 대해서도 점검과 조치를 이행하고 있다는 말씀 함께 드립니다.

동일 사고가 발생하지 않도록 사고 예방을 위해 최선을 다하겠습니다. 고맙습니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 안녕하세요? 프랙 보고서 보면 해커들이 GPKI 검증 로그를 약 2,800건 정도 빼갔다고 했는데 피해 규모가 맞는지 궁금하고요.

7월 중순경에 국정원이 접근 정황을 파악했다고 했는데 행안부도 이 시점에 바로 이 사실을 인지했는지 인지 시점도 궁금합니다.

그리고 한 가지 더 여쭤보면 행정전자서명인증서 같은 경우는 사용자 부주의로 정보가 유출된 것으로 추정된다고 얘기하셨는데 사용자가 구체적으로 로그아웃을 안 했다든지 구체적으로 어떤 사례로 추정하고 있는 건지 정확하게 확인된 내용 있으면 말씀 부탁드립니다.

<답변> 먼저, 저희가 확인된 GPKI, 한 기자께서 말씀하신 게 두 가지 포인트인데요. GPKI 피해 규모, 시기에 대해서 말씀해 주셨고요. 이거에 대해서 우선 말씀드리면 저희가 확인된 공인인증서 파일은 650명 정도의 인증서 파일이 발견되었다고 볼 수 있습니다. 그리고 12명의 파일... 정보에 있어서는 GPKI 자체의 인증서 키뿐만 아니라 비밀번호 같은 것들도 내용이 함께 있었었고요. 대부분 650명의 인증서 파일 중에서는 유효기간이 다 만료된 과거의 것으로 돼 있습니다만 3명은 유효기간이 남아 있었기 때문에 그 3명에 대해서는 폐기 조치했다는 말씀도 함께 드립니다.

그리고 이거 인지한 부분은 아까 말씀드린 것처럼 7월 중순에 저희가 인지되었고요. 그것 관련된 조치들이 함께, 인지와 함께 진행됐다, 이렇게 보시면 될 것 같습니다.

그리고 두 번째 질문 주신 부분이 GPKI의 사용자의 부주의에 관련된 내용이 있을 텐데요. 저희가 이거는 조사 중이기 때문에 명확하게 말씀드리긴 어렵지만 일반적으로, 일반적인 사례를 말씀드리면 주로 이분들이 GPKI 특성상 인증서는 외부에 가지고서도 사용하는 경우가 있습니다. 특히 원격근무를 하시는, 이용하는 경우에 외부 PC, 집에 있는 거든 아니면 다른 쪽에 있는 곳의 것을 인증서를 USB에 담을 수도 있지만 또 내부에 PC에 설치하는 경우도 있고 그렇기 때문에 거기에, 사실은 외부에 있는 PC는 저희가 보안적으로 좀 취약한 부분이 없지 않아 있는 게 내부에서 관리하는 시스템에 대해서 저희가 관리도 하고 있습니다만 이것처럼 원격근무라든지 가정에서 쓰고 있는 부분에 대해서는 한계가 있는데 그러다 보니까 사용자들이 노트북이나 PC가 악성코드에 감염될 수도 있고요. 그런 걸 통해서 해커들이 인증서 정보를 탈취하거나 PC나 집안에 있는 노트북 사용할 때 악성코드에 의해서 사용자가 이용하는 비밀번호도 함께 탈취할 수 있는 그런 위험성이 있는 것으로 알고 있습니다. 그렇기 때문에 저희가 정확하게 어느 PC에서 어떻게 나왔다는 더 조사가 필요하겠지만 외부 PC나 노트북 사용할 때는 그런 인증서라든지 비밀번호가 탈취될 수 있는 그런 위험성이 있다는 말씀드립니다.

<질문> 조금 헷갈리는 부분이 있는데 그러면 재택근무를 하든 그래서 외부 개인 PC에서 사용을 했다는 건데 이거는 그럼 원래는 허용되는 건데 이번에 문제가 생긴 건지, 그 부분이 궁금하고요.

그리고 아까 3건이라고 했는데 유효한 인증서 폐기 조치 8월 13일에 했다고 했는데 그러면 그 전 짧은 사이에 뭔가 이게 악용되거나 그랬을 소지도 있는 건지 궁금합니다.

<답변> 먼저, 외부 PC에서 내부 시스템에 접근할 수 있도록 하는 부분은 GVPN이라고 해서요. 원격근무자들을 위해서 사용되고 있습니다. 오랫동안 사용되어 왔고 이 부분과 관련돼서 여러 가지 보완 조치를 하고 있습니다만 이번에 문제된 부분들은 아예 원천적으로 저희가 여러 가지 이상 탐지라든지 보안에 대해서는 모니터링하고 툴을 통해서 감지되는 보안 장치가 있습니다만 이것처럼 정상인 사용자처럼 위장하는 경우, 그러니까 GPKI 인증서도 갖고 있고 비밀번호를 정확하게 입력하고 인증체계가 됐을 경우에는 그런 어떤 보안에 대한 탐지 모니터링 툴에 잡히지 않고 정상적인 사용자로 인증돼서 접근할 수 있는 그런 위험성이 있었기 때문에 그런 부분들을 다시 저희가 인증서 폐기라든지 로그인 절차를 좀 더 강화하는 그런 것들 과정을 거쳤다고 보시면 될 것 같고요.

이런 부분들에 대해서 저희가 GVPN 사용자가 지금 현재 한 6만 3,800명 정도 있습니다. 그래서 집에서 근무하는 분들 아니면 원격에서 이동을 위해서, 이동 중에 업무를 하기 위해서 필요하신 분들한테 그런 서비스를 제공하고 있는 그런 체계라고 보시면 될 것 같습니다.

그리고 GPKI 인증서 관련돼서는 저희가 기본적으로 안전 체계는 다 공인된 공인인증서 암호키 체제를 쓰고 있기 때문에 이 인증서 비밀번호가 노출, 인증서와 비밀번호가 함께 노출될 수 있는 위험이 있지만 인증서 자체만 갖고 있을 때는 실제로 그걸 사용할 수는 없습니다. 그래서 좀 우려됐던 부분은 인증서하고 비밀번호를 함께 노출됐을 때 그런 위험성이 있기 때문에 그런 부분에 대해서는 저희가 폐기 조치라든지 이런 조치들을 했다, 이렇게 이해해 주시면 될 것 같습니다.

<질문> 자료에 보면 일단 세 가지, 보고서에 언급된 게 접속로그 그리고 GPKI 인증서 파일 그리고 API 소스코드 이렇게 세 가지인데요. 보면 뒤쪽에서는 GPKI와 API 소스코드에 대해서는 언급이 있는데 접속로그는 따로 언급된 바가 없거든요. 이거는 따로 정보로서 가치가 없다고 보는 건가요? 아니면 어떻게 판단하시는 건가요?

<답변> 접속로그들은 저희 인증서, 보통 보면 해커가 접속했던 기록들을 남겨놨던 것들이고요. 대부분 저희가 확인해 봤을 때 인증 실패라든지 이런 것들이 많이 나와 있는 정보들이기 때문에 그거를 따로 말씀 안 드린 것은 어떤 위협에 관련돼서 그런 데이터는 있지만 그것이 명쾌한 위협 정보로 판단되진 않았었기 때문에 저희가 이번에 별도로 말씀드리지 않았다고 이렇게 이해해 주시면 좋을 것 같습니다.

<질문> 저도 앞에 질문들이 다 나와서 마지막으로 여쭤볼 게 7월 중순에 아까 인지하셨다고 하셨는데 그리고 보고서는 8월 8일에 나왔고, 지금 10월 중순쯤인데 뒤늦게 발표를 하시는 이유에 대해서 설명 부탁드립니다.

<답변> 저희들이 일반적으로 어떤 위협이 감지되면 긴급 조치들을 먼저 시행합니다. 그래서 빨리 조치할 수 있는 것들을 우선적으로 조치하고, 또 어떤 추가적인 조사나 분석이 필요한 부분들이 있기 때문에 그거에 대해서는 또 나름대로 진행되는 그런 부분이 있고요. 그 부분과 관련돼서 아까 말씀드린 것처럼 저희들이 조치할 부분들은 조치가 됐습니다만 조사나 분석은 완료된 건 아니고 국가정보원을 비롯한 기관들이 하고 있기 때문에, 그리고 또 저희가 단순하게 이런 사실만 말씀드리기보다는 지금 이런 조치들이 돼서 인증체계를 좀 더 강화하기 위한 대체 강화수단까지 함께 말씀드리는 게 좋을 것 같다는 생각이 들었고요.

특히 또 요즘에는 언론에서 이런 우려사항도 언론에 나왔기 때문에 저희들이 이거를 그동안에 조치한 내용 그다음에 분석한 내용 그다음에 방지하기 위한 강화대책까지 함께 담아서 오늘 이 자리에서 말씀드린다고 이해해 주시면 좋겠습니다.

<질문> 질문이 없어서 하나 더 추가 여쭤보겠습니다. 지금 비밀번호와, 그러니까 두 가지가 있어야지 위협이 된다고 하셨는데 이게 대책으로 나온 게 생체기반 복합인증수단을 대체하는 걸로 말씀하셨는데 이게 기존의 방법과 이게 대체가 되는 것과 어떤 차이가 있는 건가요?

<답변> 아무래도 이렇게 보시면 될 것 같습니다. 인증서라는 것들은 이동하면서 아까 말씀드린 것처럼 다른 매체에 저장도 할 수 있는 그런 취약점이 있는데 그거에 비해서 모바일 신분증 같은 경우는 다른 수단들이 있습니다. 휴대폰 같은 경우는 대부분 경우 본인이 직접 휴대한다는 그런 것 때문에 다른 곳에 둘 수 있는 그런 위험이 상대적으로 적어질 수 있고요.

또 인증과 관련돼서는 다중인증체계를 거칩니다. 한 번에 하나의 수단만 갖고 있을 때에는 어떤 저희가 방지를 하고 있는 수단들이 있습니다만 그게 위협에 노출될 수 있는 위험이 있다면 2중, 3중의 장치를 거치게 된다면 그만큼 그런 어떤 외부의 위협들이, 위협 요인들이 노출됐을 경우에 다른 차단 수단을 통해서 근본적인 접근을 방지할 수 있는 게 있을 텐데 그걸 저희가 복합인증이나 다중인증체계 이렇게 설명을 드리고 있는데, 지금 모바일 신분증 같은 경우에는 처음에 발급받을 때부터 여러 가지 물리적 IC카드가 있다든지 아니면 안면인식을 한다든지 그리고 사용 시마다 지문 인증을 한다든지 이런 다양한 수단들이 추가적인 요구사항들을 통해서 어떻게 보면 1개의 문제, 그러니까 취약점이 있는 것을 다른 수단을 통해서 보완할 수 있는 그런 수단이 충분히 갖춰져 있다고 보시면 될 것 같고요.

그거에 비해서 GPKI 체제는 좀 더 일찍 나왔지만 지금에서 보면 GPKI 체제보다는 모바일 신분증 체제가 훨씬 더 여러 가지 다중복합인증체계를 통해서 좀 더 강화된 보안 수단이다, 이렇게 말씀드릴 수 있을 것 같습니다.

그래서 GPKI보다는 앞으로는 다중인증수단이 보장되는 모바일 신분증 체계로 인증 체계를 바꿔가는 것이 좀 더, 전환해 가는 것이 좀 더 안전한 인증체계다, 라고 말씀드릴 수 있는 것입니다.

<질문> 제가 조금 아직 헷갈려서 그런데, 그럼 아까 인증서와 비번이 같이 노출된 경우에도 이거 다 폐기 조치를 했으니까 문제가 없다고 말씀해 주셨는데 그러면 이 사태로 인해서 뭔가 예상되는 피해 같은 게 그럼 지금 없는 건가요? 제가 조금 이해가 안 돼서.

<답변> 분명히 접근했던 비정상 접근이 확인됐기 때문에 저희가 피해가 없다, 라고 말씀드린 일은 없고요. 이 부분과 관련돼서는 지금 구체적인 내용들은 조사를 하고 있기 때문에 그거는 조사하는 기관과 협의를 통해서 그 부분에 대해서 관련 기관과 또 종합대책도 함께 지금 마련하고 있습니다. 그렇기 때문에 그런 부분을 발표드릴 때 정확하게 말씀드리는 게 좋을 것 같습니다.

<답변> (사회자) 더 이상 질문이 없으면 이상으로 브리핑을 마치겠습니다. 참고로 프랙 보고서 관련 공공부문의 종합적인 대응 현황은 국가정보원에서 국정원 홈페이지의 소식정보 메뉴의 보도자료에 11시에 게시가 됐으니 참고해 주시기 바랍니다. 감사합니다.

<끝>