기사를 읽어드립니다

0:00

김휘강 고려대 정보보호대학원 교수는 20일 한겨레와 인터뷰에서 해커 조직이 3년 가까이 정부 내부 업무망에 드나들 수 있었던 건 “코로나 감염병 시기 원격·재택근무가 활성화되면서 브이피엔(VPN·가상 사설망)을 통한 접속 과정에서 보안상 약점이 생겼기 때문”이라며 “업무상 원격 접속을 하게 했다면 인증과 관련된 보안을 강화하는 조처가 선행됐어야 한다”고 말했다. 코로나 팬데믹을 거치며 공무원들이 집이나 외부에서 정부 업무망에 접속할 수 있도록 하는 정부원격근무시스템(G-VPN) 이용이 크게 늘었는데 그에 반해 안전을 담보하기 위한 충분한 조처를 하지 못했다는 뜻이다.

앞서 국가정보원은 17일 정체가 밝혀지지 않은 해커 조직이 행정안전부 국가정보자원관리원이 운영하는 정부원격근무시스템(G-VPN)에 로그인할 수 있는 인증서와 비밀번호 등을 훔쳐 2022년 9월부터 올해 7월까지 정부 내부 업무관리 전산망인 ‘온나라시스템’에 접속해 자료를 열람해왔으며 , 일부 정부 부처가 자체적으로 운영하는 시스템에도 침입했다고 밝혔다. 국제적인 보안 전문 웹진인 ‘프랙 매거진’이 지난 8월8일 한국 정부 기관 등이 해킹당한 자료를 공개한 지 두 달여 만에 정부가 피해 사실을 인정한 셈이다.

김휘강 교수를 비롯한 고려대 정보보호대학원 연구진은 프랙 매거진에 실린 자료를 분석해 8월22일 외부에 공개했다. 당시 김 교수는 “우리나라를 대상으로 한 해킹 사건이 그 심각성에도 불구하고 국내에서 충분한 관심을 받지 못해 안타깝다”며 “드러난 피해는 빙산의 일각에 불과하다. (다른 국가로부터) 지원받는 해킹 조직은 주요 기관과 기업을 집요하게 노리고 있어 보안 불감증에 경종을 울릴 필요가 있다”고 했다. 그에게 이번 해킹 사태를 통해 우리 사회가 얻어야 할 교훈은 무엇인지, 정부가 앞으로 무엇을 해야 할지 등을 물었다. 다음은 김 교수와의 일문일답.

―프랙 매거진에 실린 보고서는 어떤 내용인가.

“북한 또는 중국으로부터 지원을 받는 해커 그룹이 한국 정부 기관 및 민간 기업들을 해킹하고 있었는데, 화이트해커(악의적인 ‘블랙해커’로부터 시스템을 보호하기 위해 취약점을 찾아내고 방어하는 해커) 2명이 해커 그룹 시스템에 침투해 이런 일이 벌어지고 있다고 알린 게 ‘프랙 보고서’다. 당시 공개된 해커들의 가상머신(물리적으로 존재하는 컴퓨터가 아닌 컴퓨팅 환경을 소프트웨어로 구현한 것) 안에는 한국의 여러 부처 시스템 침투를 통해 유출한 행정전자서명(GPKI) 인증서, 인증서 패스워드를 알아내는 도구, 침투 대상 시스템의 소스코드(프로그래머가 특정 작업을 수행하도록 지시하는 명령어) 등이 들어 있었다.”

―프랙 매거진 자료를 보면서 어떤 대목이 염려돼 분석해 공개한 것인가.

“정부의 ‘온나라시스템’은 일종의 업무 포털, 그룹웨어(이메일, 전자결재 등 기업 내 다양한 협업 기능을 하나의 플랫폼에서 제공하는 소프트웨어) 같은 거다. 공무원들이 중요한 문건이나 자료 보고를 하고, 결재 처리를 하는 시스템이다. 프랙 보고서를 바탕으로 해커들이 접속한 화면 등을 복원해보니 단순히 인증서, 패스워드 몇 개가 나간 게 아니라 온나라시스템 내부까지 침투한 것이 확인되었다. 유출된 인증서도 여러 부처에 걸쳐 광범위하게 존재했다. 결국 해커가 정부 내부 시스템에 들어가 다양한 문서를 장기간 엿보았다는 이야기라, 심각성이 크고 시급하게 대응이 필요하다고 판단했다.”

―정부가 해킹당한 사실을 너무 늦게 공개한 거 아니냐는 비판이 있다. 이에 대한 생각은?

“국가정보원에서 프랙 보고서가 공개되기 전, 보고서를 쓴 화이트해커들을 접촉해 자료를 공유 받아 시스템 점검과 조처를 한 거로 알고 있다. (※국정원은 올해 7월 해킹 피해 사실을 인지했다고 밝혔다) 워낙 심각했던 상황이고, 해커가 이미 장기간 시스템 내부까지 침투해둔 상태였기 때문에 위험 관리 측면에서 어느 정도 조사를 마친 뒤 밝힌 건 적절했다고 생각한다. ‘어떤 조치가 현재 진행 중이라는 내용’이 너무 상세하게 공개될 경우, 해커들이 자신의 증거를 인멸하고 빠져나오는 데 유용한 정보가 될 수 있기 때문에 국가 안보 차원에서 기술적 조치 현황에 맞춰 발표 시점 조절은 필요했을 것으로 본다.”

―이번 해킹 사태에서 얻어야 할 교훈은 무엇일까.

“완벽한 보안이란 건 없다. 정부는 망분리(외부 인터넷망과 내부 업무망 분리)에 의존한 보안 정책을 해왔는데, 코로나 팬데믹 시기 생긴 빈틈을 해커가 비집고 들어왔다. 코로나 기간 중 불가피하게 브이피엔(VPN)을 통한 원격 접속을 하게 했다면, 보안을 강화하는 조처가 선행돼야 했다. 최근 2년간 발생한 대규모 해킹사건들을 보면 브이피엔 장비의 취약점을 노리는 경우가 증가하고 있다. 브이피엔이 보안 장비임에도 불구하고, 제조사에 따라서 브이피엔 자체에 취약점이 있기도 하고, 기본적으로 브이피엔은 해커들이 외부에서 침투해서 들어갈 수 있는 접점이기 때문에 주요 공격 대상이 된다. 이에 따라 인증 관리와 접근제어 강화가 필요한데, 아이디와 패스워드, 또는 인증서 자체가 해킹으로 유출되더라도 추가 인증 수단을 요구하는 다중 인증체계(멀티 팩터 인증) 또는 패스키 등을 이용해 인증을 더 강화하고 있다. 해커는 항상 우리 시스템의 변경 사항을 지켜보고 있으면서 약해진 순간을 노리기 때문에 경각심을 가져야 한다.”

-―통신사뿐 아니라 정부까지 해킹당하는 사태가 잇따르고 있다. 각 기관은 어떤 조처를 해야 하나.

“가장 기본적인 것이 안 되고 있던 게 문제다. 많은 조직이 자산 식별, 즉 자신이 어떤 종류의 데이터를 가지고 있고 어떤 서버·장비들이 있는지 제대로 파악을 못하고 있다. 취약한 채로 방치된 자산들이 해킹의 진입로가 되지는 않는지, 자산 분석이 가장 기본이다. 자산을 파악한 뒤 어느 부분이 인터넷이나 외부망과의 접점인지를 확인해 지속적인 공격표면관리(외부에 노출된 취약점을 지속해서 제거하는 활동)를 반드시 해야 한다. 특히, 해커가 이미 장기간 온나라시스템 내부 구조를 파악한 상황인데, 이런 경우 취약점이 새로 출현할 확률이 매우 높다.”

박현정 기자 saram@hani.co.kr