프랙(FRAK) 보고서·국정원 조사 종합 — 온나라 시스템 취약점과 GPKI 인증 유출 정황 분석

프랙(FRAK) 보고서·국정원 조사 종합 — 온나라 시스템 취약점과 GPKI 인증 유출 정황 분석

2025년 공개된 프랙(FRAK) 보고서와 그 후속으로 진행된 국가정보원(국정원)의 정밀조사를 종합하면, 정부의 핵심 행정 플랫폼(이하 온나라 시스템)을 포함한 여러 공공망이 다양한 취약점으로 공격에 노출된 정황이 확인됩니다. 본문에서는 보고서와 조사 결과를 바탕으로 해킹 시나리오, 인증정보 유출 정황, 행안부·국정원의 대응 조치 및 향후 보안 강화 과제를 정리합니다.

온나라 시스템 취약 경로와 전형적 해킹 시나리오

프랙 보고서는 온나라 전자결재 시스템 등 문서 유통 루트의 암호화·권한 통제 미흡, 내부망·외부망 경계에서의 인증 우회 가능성 등을 주요 취약점으로 지적합니다. 공격자는 일반적으로 피싱이나 악성코드로 초기 침입을 시도한 뒤, 내부 계정 탈취와 권한 상승 과정을 통해 민감 문서에 접근하는 방식으로 내부망까지 확산합니다.

국정원의 조사에 따르면 실제로 원격근무용 접속 시스템(G-VPN)을 경유해 온나라 시스템에 접근한 정황이 발견되었습니다. 공격자는 공무원용 전자서명(GPKI) 정보와 비밀번호 등을 확보한 뒤, 합법적 사용자처럼 행세해 내부 자료를 열람한 것으로 확인됐습니다. 이 같은 공격 흐름은 사용자 인증 정보의 유출·재사용이 관건임을 보여줍니다.

GPKI 등 인증정보 유출 정황과 위험성

보고서와 국정원 발표 모두에서 핵심적으로 다뤄진 부분은 행정전자서명(GPKI)과 관련된 인증정보의 악용 가능성입니다. 공격자는 다수의 인증서와 해외·국내 IP를 통해 장기간(보고서 표기 기준으로 2022년~2025년 일부 기간) 원격접속 경로를 악용해 자료를 열람한 정황이 확인됐습니다.

GPKI와 같은 행정용 인증서는 공무원 업무망 접근의 핵심 수단이므로, 해당 정보가 유출될 경우 단순 데이터 열람을 넘어 시스템 권한 오용 및 추가 침투의 발판으로 악용될 수 있습니다. 따라서 인증정보의 관리 강화는 최우선 과제입니다.

행안부·국정원의 즉각적 대응 조치

국정원과 행안부는 즉시 긴급 보안조치를 시행했습니다. 여기에는 (1) 악용된 IP 주소 전파·차단, (2) 원격접속 시 ARS 등 2차 인증 도입, (3) 온나라 시스템의 인증 로직 변경, (4) 의심되는 GPKI 인증서 폐기 및 비밀번호 초기화, (5) 피싱 의심 계정의 비밀번호 변경, (6) 취약 소스코드 수정 및 접근 통제 강화 등이 포함됩니다.

또한 행안부는 인증체계 개선 계획을 밝히며, 장기적으로는 행정전자서명 기반 인증을 생체기반의 복합 인증(예: 모바일 공무원증 등)으로 전환하는 방안도 검토 중이라고 발표했습니다.

보고서가 지적한 구조적 한계 — 기술적 대응만으로 충분하지 않다

프랙 보고서는 단순 기술적 결함뿐 아니라 조직·정책적 취약성도 강조합니다. 대응 매뉴얼의 표준화 부족, 기관별 보안 책임자 지정의 불일치, 예산·인력의 제약으로 인한 패치 지연 등이 복합적으로 작용해 위협을 키웠습니다. 국정원도 현재 공격 주체의 특정이 기술적으로 확정되지 않았음을 밝히며, 단편적 조치로는 유사 사고 재발을 막기 어렵다고 경고합니다.

따라서 범정부 차원의 통합 관제, 표준화된 인증·권한 관리 정책, 정기적인 외부 보안 감사 및 민·관 협업 확대가 병행되어야 합니다.

권고되는 단기·중기 보안 강화 과제

• 원격접속 및 전자서명 사용에 대한 다중 인증(예: ARS·TOTP·생체)을 즉시 적용
• GPKI 등 행정용 인증서의 안전한 발급·보관·폐기 프로세스 전면 정비
• 레거시 시스템의 패치·격리 우선순위 설정 및 점진적 교체 계획 수립
• 범정부 통합 모니터링과 위협 인텔리전스 공유 체계 구축
• 정기적인 모의 침투(레드팀)와 외부 보안 감사를 의무화
• 공무원 대상 보안 인식 제고 교육 강화 및 피싱 대응 훈련 상시화

맺음말

프랙 보고서와 국정원 조사는 우리 공공망의 취약점을 가시화한 경고음입니다. 기술적 패치와 차단 조치가 반드시 필요하지만, 더 중요한 것은 조직·정책·인력 차원에서의 종합적 개선입니다. 중앙 정부와 각 기관이 협력해 인증 관리·접근 통제·모니터링 체계를 근본적으로 재설계할 때만이 공공 서비스의 신뢰를 회복할 수 있습니다.

참고: 본문은 공개된 보고서 및 기관 발표(프랙 보고서 요약, 국정원·행안부 브리핑 내용 등)를 바탕으로 재구성·요약·재서술한 분석 기사입니다.