이용석 행안부 디지털정부혁신실장은 17일 정부세종청사에서 브리핑을 열고 "우리 부에서는 7월 중순께 국정원을 통해 외부 인터넷 PC에서 정부원격근무시스템(G-VPN)을 통해 업무망인 온나라시스템에 접근한 정황을 확인했다"고 밝혔다.
앞서 지난 8월 8일 미국 해킹 전문지 '프랙'은 행안부 온나라시스템 등에 해킹 시도가 있었다고 보도했다. 화이트해커가 국제 해커그룹의 PC를 역해킹했더니 공무원 업무 시스템인 온나라시스템 접속 로그, 공무원이 인증을 위해 사용하는 행정전자서명(GPKI) 인증서 파일, 관련 소스코드가 있었다는 내용이다. 해당 보도 후 행안부가 입장을 밝힌 것은 이번이 처음이다.
행안부는 온나라 시스템 접속 침해와 관련 지난 7월 발견 후 조치를 취했다는 입장이다. 이 실장은 “7월 중순경 국가정보원을 통해 외부 인터넷 PC에서 정부원격근무시스템(G-VPN)을 통하여 업무망인 온나라시스템에 접근한 정황을 확인했다”며 “지난 8월 4일 G-VPN 접속 시 행정전자서명 인증과 더불어, 전화인증(ARS)을 반드시 거치도록 보안을 강화했고, 온나라시스템 로그인 재사용 방지를 위한 조치를 완료해 7월 28일 중앙부처 및 지방자치단체에 적용했다”고 설명했다.
이어 "관리적인 측면에서 사용자 부주의로 인해 외부 인터넷 PC에서 인증서 정보가 유출된 것으로 추정된다"며 "전 중앙부처 및 지자체에 인증서 공유 금지 및 관리 강화 등을 통보했다"고 덧붙였다.
또 프랙 보고서에 게시된 이용 기관의 행정전자서명 인증서 API 소스 코드는 엑티브 엑스가 사용되던 예전 버전으로, 2018년부터 사용하지 않고 있으므로 지금은 보안 위협은 없는 상태라는 게 행안부 설명이다.
유출 경위, 피해 영향도에 대해서는 국정원 주관으로 관계기관과 조사를 진행하고 있다는 설명이다. 이 실장은 "추후 조사 결과에 따라 개선할 사항이 발견되면 즉각적으로 보완 및 대응하겠다"고 했다.
향후 행정전자서명 인증서 보안 위협을 방지하기 위해 내부 인증 체계를 '생체 기반'으로 전환해 간다는 방침도 밝혔다. 그는 "행정 및 공공기관 공무원 등이 내부 행정 시스템에 접근하기 위해 사용하던 행정전자서명 기반 인증 체계를 생체 기반 복합인증수단인 모바일 공무원증 등으로 대체해 나갈 것"이라며 "대국민 정부서비스 인증체계도 생체인증 수단을 활용하는 모바일 신분증 등 편리하면서도 안전한 인증 수단 도입을 적극 확대하겠다"고 강조했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
