2025.10.17 공무원 업무시스템 온나라 해킹 사건

1. 개요

 - 2022년 9월부터 2025년 7월까지 약 3년간 북한 해킹 그룹으로 추정되는 해커 조직이 대한민국 범정부 업무관리시스템인 온나라(ONNA)를 해킹한 사건입니다.

 - 온나라시스템은 정부 전 부처와 지방자치단체가 문서 결재, 공유, 보고서 작성, 회의자료 관리 등 모든 행정업무를 처리하는 핵심 통합 전산망으로, 일반 기업의 인트라넷에 해당하는 시스템입니다.​

 - 미국 해킹 전문 매체 프랙(Phrack Magazine)이 2025년 8월 8일 40주년 기념호를 통해 'APT Down: The North Korea Files'라는 보고서를 발표하면서 사건이 공론화되었습니다.

 - 이 보고서는 화이트해커들이 북한 해킹 그룹 '김수키(Kimsuky)' 소속으로 추정되는 해커의 컴퓨터를 역해킹하여 확보한 8.9GB 분량의 데이터를 분석한 것입니다.​

 - 정부는 보고서 발표 후 약 2개월간 침묵을 지키다가 2025년 10월 17일 행정안전부 브리핑과 국가정보원 보도자료를 통해 공식적으로 해킹 사실을 인정했습니다.​

2. 피해범위

 - 침해 기간: 2022년 9월부터 2025년 7월까지 약 3년간​

  > 침해 대상 기관

• 행정안전부 온나라시스템​
• 행정전자서명(GPKI) 시스템​
• 행안부 외 2개 정부 부처의 자체 운영 시스템 추가 확인​
• 통일부, 해양수산부 계정 사용 흔적 확인​

 

  > 유출된 인증정보

• 공무원 650명의 행정전자서명(GPKI) 인증서 파일​
• 이 중 12명은 GPKI 인증 키와 비밀번호가 함께 유출​
• 대부분 유효기간 만료, 유효기간이 남은 3명의 인증서는 2025년 8월 13일 폐기 조치 완료​

 

  > 침해 방법

• 해커는 6개의 인증서와 국내외 6개의 IP 주소를 이용해 정부원격근무시스템(G-VPN)을 통과한 후 온나라시스템에 접속하여 자료를 열람​

 

3. 유출항목

 - 온나라시스템 관련

  > 온나라시스템 접속 로그 및 로그인 기록​

  > 통일부, 해양수산부 소속 공무원 계정 사용 기록​

  > 온나라시스템 내부 자료 열람(구체적 규모는 조사 중)​

 

 - 행정전자서명(GPKI) 관련

  > 공무원 650명분의 GPKI 인증서 파일​

  > GPKI 검증 로그 약 2,800건​

  > GPKI API 소스코드 일부(단, 2018년 이전 구버전으로 현재 미사용)​

 

 - 기타 정부 시스템:

  > 외교부 내부 이메일 플랫폼(깨비메일) 서버 소스코드​

  > 기타 정부 부처 자체 시스템 접근 정황​

 

 - 정부는 해커가 열람한 자료의 구체적 내용과 규모를 파악 중이며 조사가 마무리되는 대로 국회에 보고할 예정이라고 밝혔습니다.​

 

4. 원인

 - 주요 보안 취약점

  > G-VPN 인증체계 미흡: 정부원격근무시스템(G-VPN)의 본인확인 등 인증체계가 취약했다​

  > 온나라시스템 인증 로직 노출: 온나라시스템의 인증 로직이 노출되면서 하나의 인증서로 복수 기관에 접속이 가능했다​

  > 각 부처 서버 접근통제 미비: 각 부처 전용 서버에 대한 접근통제가 불충분했다​

  > 사용자 부주의: 공무원들이 보안이 취약한 외부 인터넷 PC에서 인증서 정보를 사용하여 유출된 것으로 추정​

 

 - 해커의 침투 과정:

  > 해커는 다양한 경로로 공무원들의 GPKI 인증서 및 비밀번호를 확보​

  > 인증체계를 면밀히 분석한 후 합법적 사용자로 위장하여 행정망에 접근​

  > 정상적인 온나라 트래픽과 혼합되어 탐지가 어려웠음​

 

5. 대응
 - 초기 대응 (2025년 7월):

  > 국가정보원이 7월 중순 해킹 첩보를 사전 입수하여 프랙 보고서 발표 1개월 전에 이미 인지​

  > 행안부에 즉시 통보하고 조치 시작​

 

 - 긴급 보안 조치

  > 2단계 인증 강화 (2025년 8월 4일 시행):

• G-VPN 접속 시 GPKI 인증과 더불어 전화인증(ARS)을 반드시 거치도록 강화​

 

  > 온나라시스템 보안 강화 (2025년 7월 28일 적용)

• 로그인 재사용 방지 조치 완료​
• 온나라시스템 접속 인증 로직 변경​
• 전 중앙부처 및 지자체에 적용​

 

  > 유출 인증서 관리

• 유효기간이 남은 3개 인증서 폐기 (2025년 8월 13일)​
• 해킹에 악용된 GPKI 인증서 폐기​

 

  > IP 차단 및 접근통제

• 해커가 악용한 국내외 IP 주소 6개를 전 국가·공공기관에 전파 및 차단​
• 각 부처 서버 접근통제 강화​

 

  > 기타 보안 조치

• 피싱 사이트 접속 추정 공직자 180명의 이메일 비밀번호 변경​
• 소스코드 취약점 수정​
• 전 중앙부처와 지자체에 인증서 공유 금지 및 관리 강화 통보​

 

 - 장기 대책

  > 행정전자서명 기반 인증체계를 생체기반 복합 인증 수단인 모바일 공무원증으로 대체 추진​

  > 인증체계 강화 및 정보보안제품 도입 확대 등 보안강화 방안 마련 예정​

 

6. 문제점

 - 지연된 공개와 투명성 부족:

 > 프랙 보고서 발표 후 약 2개월간 정부가 침묵을 지키며 사실 확인조차 피함​

 > 2025년 8월 8일 프랙 보고서 공개 → 10월 17일 정부 공식 인정​

 > 행안부는 "사이버 위기 대응은 국정원 소관"이라며 책임 회피​

 

 - 장기간 미탐지:

 > 해커가 2022년 9월부터 2025년 7월까지 약 3년간 정부 행정망에 접근했으나 발견하지 못함​

 > 정상 사용자로 위장한 해커의 활동이 보안 탐지 모니터링 도구에 잡히지 않음​

 

 - 구조적 보안 취약점:

 > G-VPN의 인증체계 미흡​

 > 온나라시스템 인증 로직 노출로 인한 복수 기관 접속 가능​

 > 각 부처 서버 접근통제 미비​

 > 원격근무 시스템 도입 후 망분리 정책 무력화​

 

 - 사용자 보안 관리 부실:

 > 공무원들이 외부 인터넷 PC에서 인증서를 사용하여 유출​

 > 인증서 공유 및 관리 부실​

 

 - 피해 규모 불명확:

 > 해커가 열람한 자료의 구체적 내용과 규모가 아직 파악되지 않음​

 > 국가 기밀 유출 여부 불분명​

 > 조사 완료 시점 불명확​

 

 - 해킹 주체 미확인:

 > 프랙은 북한 김수키 조직을 지목했으나 정부는 "기술적 증거 부족"​

 > 한글의 중국어 번역 기록, 대만 해킹 시도 등으로 중국 배후 가능성도 제기​

 > 모든 가능성을 열어두고 조사 중​

 

 - 기관 간 책임 소재 불명확:

 > 행안부, 국정원, 과기정통부 간 책임 소재가 명확하지 않음​

 > 각 기관이 서로 다른 부서 소관이라며 책임 회피​

 

 - 연이은 전산망 사고:

 > 국가정보자원관리원 화재 사고(2025년 10월)에 이어 해킹 사고까지 발생하여 정부 행정망의 근본적 보안체계에 대한 의문 제기

 

 - 국가정보원은 "조사가 마무리되는 대로 결과를 국회 등에 보고하고 행안부 등 유관기관과 함께 재발 방지를 위한 범정부 종합 대책을 마련하겠다"고 밝혔습니다.