국정자원 화재 이어 3년 간 정부 행정망 털려

"기준 지키지 않은 게 문제…구조적 개선 시급"

정부가 공무원 업무시스템인 '온나라시스템'을 비롯한 행정 전산망에 외부 해커가 침투해 자료를 열람한 사실을 확인했다. 3년 동안 공무원 인증서 약 650명분이 유출된 것으로 파악됐으며, 정부는 대부분 유효기간이 만료된 인증서라고 해명했다. 그러나 민간 기업에는 고강도 보안 규제를 요구하면서 정작 정부 스스로는 허술한 관리로 사고를 자초했다는 지적이 나온다.

정부가 민간에는 개인정보 유출이나 전산장애 발생 시 과징금과 제재를 강하게 적용해 온 점과 대비된다. 실제 2023년 카카오와 네이버는 개인정보보호법 위반으로 각각 70억 원대, 40억 원대의 과징금을 부과받았고, 같은 해 금융권 전산장애 당시 일부 은행에는 임원 문책 권고까지 내려진 바 있다.

'온나라' 등 행정망 해킹 확인…공무원 인증서 650명 유출

국가정보원은 17일 "지난 7월 온나라시스템 등 공공·민간분야 해킹 첩보를 사전에 입수해 합동 분석을 실시한 결과, 정부 행정망에 대한 침투 사실을 확인했다"며 "프랙(Phrack)의 보도(8월 8일)보다 한 달 앞서 긴급 대응을 진행했다"고 밝혔다.

18일 국정원 등 분석에 따르면 해커는 다양한 경로로 공무원의 행정전자서명(GPKI) 인증서와 비밀번호를 확보한 뒤 합법 사용자로 위장해 행정망에 접근했다. 확보한 인증서 6개와 국내외 IP 6개를 활용해 2022년 9월부터 올해 7월까지 정부 원격근무시스템(G-VPN)을 통해 온나라시스템에 접속, 일부 내부 문서를 열람했다.

점검 결과, 정부 원격접속시스템의 본인확인 절차 등 인증체계가 미흡했고 온나라시스템의 인증 로직이 노출돼 복수 기관 접속이 가능했으며, 각 부처 전용 서버 접근통제도 제대로 작동하지 않은 것으로 드러났다.

국정원은 해커가 악용한 IP 6종을 전 기관에 차단하고, 인증서 폐기 및 2차 인증 강화 등 긴급 조치를 완료했다고 밝혔다.

행정안전부도 17일 브리핑에서 "국정원 통보 직후 즉시 차단과 인증서 폐기 조치를 시행했다"며 "650명 중 12명은 비밀번호가 함께 포함된 사례였고, 이 중 3건은 유효기간이 남아 있어 8월 13일 폐기했다"고 밝혔다.

정부 전산 인프라에 대한 안일한 인식은 이번이 처음이 아니다. 지난달 26일 발생한 국가정보자원관리원 대전센터 화재로 정부 전산망 709개 시스템이 중단됐으며, 복구율은 한 달 가까이 지난 현재도 절반 수준에 머물고 있다.

핵심 행정서비스 다수가 장기간 마비되면서 국민 불편이 이어졌지만, 행안부는 "재해복구(DR_센터를 통한 이중화가 적용되지 않은 시스템이 많았다"고 인정했다. 실제로 피해 시스템 중 상당수가 DR 구성을 갖추지 않아 백업·복구가 지연된 것으로 확인됐다.

이 때문에 정부가 민간 기업에는 '사이버 위기대응'과 '서비스 이중화'를 의무화하면서 정작 공공 전산 인프라의 안정성과 복구 관리에는 소홀했다는 비판이 제기됐다.

전문가들은 온나라시스템 해킹과 국정자원 화재 모두 "정부 정보보안·재해관리 체계의 근본적 한계가 드러난 사건"이라고 지적한다.

"민간보다 보안 기준 낮지 않아…기준 지키지 않은 게 문제"

보안 전문가들은 이번 사태를 '정부 보안 거버넌스의 구조적 실패'로 진단했다. 특히 정부는 유사한 사고에도 책임 소재가 모호하고, 재발 방지를 위한 제도적 제재도 미비하다는 지적이다.

김승주 고려대 정보보호학과 교수는 뉴스1과 통화에서 "정부의 보안 기준이 민간보다 낮은 게 아니라, 그 기준을 지키지 않아 생긴 관리 실패"라며 "기업엔 가혹하고 정부엔 너그러운 문화가 이런 사고를 낳았다"고 지적했다.

그는 "기업이 보안사고를 내면 CEO가 사과하고 과징금도 부과되지만, 정부는 같은 문제가 발생해도 아무도 책임지지 않는다"며 "징벌적 과징금까지는 아니더라도 책임자 문책이나 예산 삭감 같은 행정적 제재가 없으니 실효성이 떨어진다"고 말했다.

실제 민간에서는 개인정보 유출이나 전산장애가 발생하면 최고경영자와 임원진이 직접 책임을 지는 사례가 잇따른다. 2022년 카카오 전산장애 당시 남궁훈·홍은택 대표가 대국민 사과에 나섰고, 네이버와 쿠팡 등은 개인정보보호법 위반으로 수십억 원대 과징금을 부과받았다.

김 교수는 또 "우리 정부의 보안 관리가 여전히 '보안과 안정성을 따로 다루는 낡은 패러다임'에 머물러 있다"며 "미국처럼 해킹(보안)과 전산망(안정성)을 하나로 통합 관리해야 한다"고 강조했다.

그는 "탐지·방어·무력화로 이어지는 '삼축 체계'를 사이버 보안에 도입하고, 국가안보실이 범정부 보안 컨트롤타워로서 역할을 해야 한다"고 제언했다.

이어 "행안부가 강조하는 생체인증 같은 지엽적 조치보다, 이런 구조적 개선이 더 시급하다"며 "기준을 만들었다면 그걸 지키게 만드는 제도적 책임 체계가 있어야 한다"고 덧붙였다.