해킹 의혹 사실이었다…정부 “온나라 시스템 해킹 흔적 확인”
행정안전부(행안부)는 17일 정부세종청사에서 브리핑을 열고 “지난 7월 중순 재택근무에 사용하는 정부원격근무시스템(G-VPN)을 통해 외부인이 온나라시스템에 접근한 정황을 국가정보원(국정원)이 확인했다”고 밝혔다. 온나라시스템은 정부 부처와 지방자치단체가 문서 결재·공유 등 업무를 통합해 운영하는 내부 전산망이다.
행정안전부 온나라 해킹 브리핑
![정부업무관리시스템이 해킹당한 사실을 정부가 공식 확인했다. 사진은 정부세종청사 중앙동. [연합뉴스]](https://www.koreadaily.com/data/photo/2025/10/17/d49b07e0-ca8f-4df7-b23e-807767b28103.jpg)
국정원·행안부에 따르면, 해커는 지난 2022년 9월부터 지난 7월까지 3년가량 온나라 시스템에 접속해 정부 자료를 열람했다. 해커들은 인증서 6개와 패스워드, 국내외 IP 6개를 이용해 정부원격근무시스템을 통해 합법적 사용자인 것처럼 각 부처 시스템에 접속한 것으로 나타났다.
이 과정에서 공무원들의 인증서 파일 653개가 실제로 유출됐다는 것이 지금까지 정부 조사 결과다. 이 중 650개 인증서는 유효기간이 만료했지만, 나머지 3개는 유효기간이 남아있었다. 이용석 행안부 디지털정부혁신실장은 “유효한 인증서는 8월 13일 폐기 조치를 완료했다”고 설명했다. 또 국정원은 해커가 행안부 일부 부처의 자체 운영 시스템에도 접근한 사실을 추가 확인해 조사 중이라고 밝혔다.
해커가 정부 행정망에서 구체적으로 어떤 정보를 봤으며 이에 따라 유출된 기밀 자료가 존재하는지 등에 대해선 아직 명확하게 밝혀지지 않았다. 국정원은 “현재 해커가 정부 행정망에서 열람한 구체적 자료 내용 및 규모를 파악 중이며 조사가 마무리 되는 대로 결과를 국회 등에 보고할 예정”이라고 밝혔다.
해킹 주체가 누구인지도 밝혀지지 않았다. 프랙매거진은 해킹 주체로 ‘김수키(kimsuky)’를 지목했다. 하지만 국정원은 “현재까지 해킹소행 주체를 단정할만한 기술적 증거는 부족한 상황”이라고 밝혔다. 김수키는 외교·안보·국방 분야 첩보를 수집해 북한 정권에 제공하는 해킹 조직으로 알려져 있다. 국정원은 “해커가 한글을 중국어로 번역한 기록과 대만 해킹도 시도한 정황을 확인했다”며 “모든 가능성을 열어 두고 해외 정보협력기관 및 국내외 유수 보안업체와 협력해 공격 배후를 추적하고 있다”고 덧붙였다.
당초 행정전자서명 인증서와 비밀번호가 유출된 경위에 대해선 “사용자 부주의”로 추정했다. 이용석 실장은 “조사 중이라 명확히 말하긴 어렵다”면서도 “일반적인 사례를 보면 인증서를 집이나 (정부청사) 외부 PC에 설치하는 경우가 있는데, 이 PC가 악성코드에 감염되면 정보 탈취 위험성이 있다”고 설명했다.
국가정보원, 해킹 유출 경위 조사 중
![정부업무관리시스템이 해킹당한 사실을 정부가 공식 확인했다. 사진은 정부세종청사 중앙동. [연합뉴스]](https://www.koreadaily.com/data/photo/2025/10/17/e4fd722d-c2bd-44d5-b9a2-14c845d9a346.jpg)
나아가 정부는 탈취·복제의 위험이 있는 행정전자서명 인증서의 보안 위협에 대응하기 위해, 행정전자서명 기반의 인증 체계를 생체기반 복합 인증 수단인 모바일 공무원증 등으로 대체하기로 했다. 또 대국민 정부서비스 인증체계에 대해서도 생체인증 수단을 활용하는 모바일 신분증 등 안전한 인증수단 도입을 적극적으로 확대할 계획이다.
이용석 실장은 “국정원 조사 결과에 따라 개선할 사항을 발견하면 즉각 보완·대응하겠다”며 “동일한 사고가 발생하지 않도록 사고 예방을 위해 최선을 다하겠다”고 밝혔다.
문희철([email protected])