온나라시스템 해킹 위기! 전직 화이트해커가 경고하는 정부 보안의 치명적 허점
온나라시스템 해킹 위기! 전직 화이트해커가 경고하는 정부 보안의 치명적 허점
서론: 한국을 휘감는 해킹의 그림자
2025년, 한국 사회는 연쇄적인 사이버 공격으로 몸살을 앓고 있습니다. 상반기 SK텔레콤의 2700만 명 개인정보 유출 사건에 이어, KT와 롯데카드 등 주요 기업에서 대규모 해킹이 발생했습니다. 더 충격적인 것은 정부 부처마저 표적이 됐다는 사실입니다. 행정안전부, 통일부, 해양수산부 등에서 해킹 시도 흔적이 포착됐고, 이는 단순한 기업 문제가 아닌 국가 안보 차원의 위협으로 부상하고 있습니다. 이러한 상황 속에서 전직 화이트해커이자 서강대학교 겸임교수인 신동휘 씨의 경고가 울려 퍼집니다. "온나라시스템을 아무나 들여다봐도 괜찮습니까? 정부 해킹을 심각하게 여겨야 합니다."
이 글에서는 최근 공개된 '프랙(Phrack) 보고서'를 중심으로 정부와 기업의 보안 취약점을 분석하고, 전문가의 조언을 통해 실질적인 대응 방안을 탐구합니다. SEO 최적화된 키워드(온나라시스템 해킹, 프랙 보고서, 화이트해커 경고)를 활용해 이해하기 쉽게 정리했습니다.
프랙 보고서: 드러난 정부 시스템 침입 정황
미국 해킹 전문 매체 '프랙'이 지난달 발표한 보고서 '지속형 지능 공격 무력화: 북한 파일(APT Down: The North Korea Files)'은 충격을 줬습니다. 이 보고서는 북한 해커 조직 '김수키'로 추정되는 인물의 PC를 재해킹해 얻은 자료를 기반으로 합니다. 그러나 고려대학교 정보보호대학원 분석 결과, 실제 주체는 중국계 조직일 가능성이 높습니다.
보고서에 따르면, 해커들은 통일부와 해양수산부를 통해 범정부 업무 시스템 '온나라시스템'에 로그인 성공했습니다. 온나라시스템은 전 부처의 문서 작성·결재가 이뤄지는 핵심 인프라로, 침입 시 국가 기밀 문서가 유출될 위험이 큽니다. 구체적으로:
- 온나라시스템 공문서 획득 가능성
- 공무원 본인인증(GPKI) 로그 2800건 탈취
- 보안 프로그램 및 외교부 메일 서버 소스코드 유출
신동휘 교수는 "GPKI 인증서가 해커 PC에서 나왔다는 건 해킹당한 증거"라며, "얼마나 많은 정보가 유출됐는지 파악조차 어려운 상황"이라고 지적했습니다. 고려대 김승주 교수도 "국가 위기"로 규정하며 전수조사를 촉구했습니다. 반면, 국민대 이원태 교수는 "침해 정황일 뿐, 완전한 유출 증명은 아님"이라 신중론을 펼칩니다. 독립 포렌식과 출처 검증이 시급합니다.
전직 화이트해커의 날카로운 비판: 기업 해킹 사례
정부 문제 외에도 기업의 보안 미흡이 두드러집니다. 신 교수는 KT와 롯데카드 사건을 "막을 수 있었던 사고"로 규정했습니다.
KT 사태: 미승인 초소형 기지국(펨토셀)이 통신망에 무단 접속해 본인인증을 우회했습니다. 경찰 조사에 따르면, 범행 도구는 출처 불명의 네트워크 부품으로, KT의 인증 절차 부실이 원인입니다. 신 교수는 "문이 열려 있던 상태와 같다"며 "변명 안 되는 잘못"이라고 비판했습니다. 이는 본인인증 뚫림으로 2차 피해(복제폰 등) 우려를 키웁니다. 다만, IMSI·IMEI 등 다중 인증으로 복제폰 가능성은 낮습니다.
롯데카드 사건: 2017년 알려진 오라클 웹로직 서버 취약점을 8년간 방치해 유출이 발생했습니다. 패치가 공개된 지 오래된 문제로, "강도 높은 비판 대상"입니다. 한국의 IT 서비스 결합도가 높아 해커들의 '테스트베드'가 됐다는 자조가 나옵니다.
근본 원인: '돈 안 되는' 보안 투자 인식
신 교수는 "보안 담당자 탓이 아닌, 기업의 투자 인색함"을 꼽았습니다. 국내 보안 인증 'ISMS-P'는 형식적 서류 작업에 치중해 실제 취약점 수술이 어렵습니다. SK텔레콤·KT·롯데카드 모두 인증 보유자임에도 해킹을 피하지 못했습니다.
보안 기업 경영 경험에서 나온 조언: "사태 터지면 반짝 투자 후 원점 회귀. 지속적 투자가 핵심입니다." 최근 다크웹에서 한국 개인정보가 '공공재'화됐다는 보고(뉴스1)도 투자 확대를 촉구합니다. 2년 새 해킹 공격 55.7% 증가(2025년 통계) 속, 3축 체계(탐지·방어·무력화)가 필요합니다.
결론: 이번엔 다르게, 국가적 대응으로
한국의 보안 수준은 허약하지 않으나, IT 의존도가 높아 매력적 표적입니다. 신 교수의 말처럼 "이번 사고를 잊지 말고 지속 투자"해야 합니다. 정부는 전산시스템 전수조사, 기업은 취약점 패치와 인증 강화로 나서야 합니다. 우리 모두의 디지털 안전을 위해, 지금 행동할 때입니다.
자료 출처: 경향신문, 뉴스1, 프랙 보고서 분석(고려대 정보보호대학원).