모아인포스
뉴스연예경제IT/테크라이프스포츠

온나라시스템 보안 논란, 무엇이 문제였고 무엇이 달라져야 할까

2025년 10월 17일 · 22 read
URL 복사
카카오 공유
페이스북 공유
트위터 공유

정부 업무망의 핵심 서비스인 온나라시스템에서 위장 침투 정황이 확인되며 원격근무 보안과 인증 체계 전반에 대한 논의가 커지고 있습니다. 이번 이슈를 사실 중심으로 정리하고, 현업 관점에서 실효성 있는 개선 포인트를 짚어봅니다.

1. 온나라시스템, 무엇을 하는 서비스인가

온나라시스템은 중앙부처와 지자체 등 공공기관의 전자결재, 문서유통, 협업을 통합 지원하는 업무 플랫폼입니다. 결재 문서가 오가고, 문서 상태가 기록되며, 부처 간 협업이 일어나는 곳이기에 ‘업무의 흐름’ 자체가 담겨 있습니다. 단순한 포털이 아니라 행정 절차의 핵심을 매개하는 기반이죠.

원격근무 확산과 함께 G-VPN 같은 정부 원격접속 시스템을 경유해 내부 자원(온나라 포함)에 접근하는 방식이 널리 쓰였습니다. 이 접근 경로가 안전하려면 인증, 단말 위생, 세션 통제, 행위 탐지가 모두 유기적으로 맞물려야 합니다.

2. 이번 사건의 핵심 타임라인

공식 발표에 따르면, 외부 인터넷 PC에서 정부 원격근무망(G-VPN)을 통과해 온나라시스템에 접근한 정황이 확인됐습니다. 관련 첩보는 여름 무렵 포착됐고, 이후 원격접속과 인증체계, 일부 전용 시스템에 대한 점검이 이어졌습니다. 공개 보도 이전에 선제 대응이 진행됐고, 그 과정에서 특정 IP 차단, 인증서 폐기, 2차 인증 확대 등의 긴급 조치가 단계적으로 적용된 것으로 알려졌습니다.

핵심은 “정상 사용자를 위장한 접근”이었고, 일정 기간에 걸쳐 자료 열람 시도가 이어진 점이 특징입니다. 실제 피해 규모나 열람 데이터의 구체적 범위는 조사와 점검이 이어지며 확인이 진행되는 사안입니다.

3. 침투 방식: 원격접속·인증서·재사용 문제

3-1. 왜 원격접속이 관건이었나

원격접속 시스템(G-VPN)은 합법 사용자에게 내부로 들어오는 ‘문’을 열어줍니다. 이 문이 안전하려면 접속 주체의 강력한 확인(다요소 인증), 접속 단말의 신뢰성 검증, 접속 후 행위의 이상 징후 탐지가 모두 필요합니다. 한 요소라도 약하면 우회가 가능합니다.

3-2. GPKI 인증서의 역할과 리스크

공무원 행정업무용 인증서(GPKI)는 신원·권한 확인의 핵심 수단입니다. 인증서만으로는 사용이 제한되도록 설계되었지만, 비밀번호 등과 함께 노출될 경우 위험이 커집니다. 특히 인증서 파일의 외부 PC 저장, 피싱을 통한 비밀번호 획득, 클라우드 동기화 폴더를 통한 유출 등 사용 습관의 사소한 빈틈이 실제 위협으로 이어질 수 있습니다.

3-3. 인증 로직·세션 재사용의 취약점

인증 로직이 노출되거나 기관 간 재사용 구조가 있다면, 한 번의 인증 성공으로 복수 시스템 접근이 가능해집니다. 여기에 2차 인증 미흡, 세션 수명 과다, IP·시간대·디바이스에 따른 리스크 기반 제한이 약하면 정상 행위처럼 위장한 침투가 길게 지속될 수 있습니다.

4. 확인된 조치와 즉각적 영향

긴급 단계에서 취해진 조치로는 다음이 거론됩니다. 첫째, 악용된 것으로 의심되는 IP의 전파·차단. 둘째, ARS 등 2차 인증 확대 적용. 셋째, 온나라시스템의 인증 로직 조정. 넷째, 유출 가능성이 있는 인증서의 폐기와 비밀번호 일괄 변경. 다섯째, 각 부처 전용 서버 접근통제 강화와 소스코드 취약점 보완 등입니다.

이 조치들은 당장 동일 수법의 재시도를 어렵게 만드는 데 효과가 있습니다. 동시에 현업에서는 접속 과정이 다소 늘어나고, 인증서 재발급·교체로 인한 업무 공백이 일시적으로 발생할 수 있습니다. 그러나 장기적으로는 접속 신뢰도를 높이고, 접근 흔적을 더 정밀하게 남겨 사후 분석을 용이하게 합니다.

참고: 2차 인증이 추가되면 피싱 공격이 ‘인증 우회’를 노리거나, 실시간 중간자 공격으로 전개되는 경향이 커집니다. 따라서 2차 인증 도입과 함께 사용자 교육, 도메인 보호, 브라우저·메일 보안 강화가 병행되어야 합니다.

5. 무엇이 근본 원인이었나

5-1. 사람·절차·기술의 결합 문제

보안 사고는 기술적 결함 단일 요인보다 사람과 절차의 빈틈이 복합적으로 이어지는 경우가 많습니다. 이번 사안에서도 사용자 단말 관리와 인증서 보관 습관, 재택/원격근무 절차, 인증 로직의 설계와 노출 가능성, 기관 간 접근정책 일관성 부족 등 복합 요인이 거론됩니다.

5-2. 재사용과 신뢰 전이

한 시스템에서의 신뢰가 다른 시스템으로 전이되면, 공격자에게는 ‘한 번 뚫어 다수 접근’의 기회가 생깁니다. 인증서 기반 신뢰가 과도하게 넓은 범위에 적용되거나, 세분화된 권한이 제대로 분리되지 않으면 리스크는 선형이 아니라 기하급수적으로 커집니다.

5-3. 탐지의 사각지대

정상 사용자를 가장한 접근은 전통적인 경보 체계에 잘 걸리지 않습니다. 고정 IP, 정상 업무 시간대, 정상적인 API 호출 패턴이면 더더욱 그렇죠. 그래서 최근 추세는 통계적 이상 탐지, 사용자·엔터티 행위 분석(UEBA), 세션 지능, 디바이스 지문, 지속 인증(continuous authentication)으로 이동하고 있습니다.

6. 앞으로 달라질 인증과 업무 절차

공공 인증 체계는 점진적으로 다요소·모바일 중심으로 재편될 전망입니다. 생체 인식과 보안 영역(TEE/SE)을 활용하는 모바일 공무원증 같은 방식은, 인증서 파일과 비밀번호 조합보다 탈취 난이도를 크게 높입니다. 여기에 디바이스 바인딩과 위험기반 인증(RBA)을 결합하면 원격접속의 실효 보안이 개선됩니다.

업무 절차 측면에서는 다음 변화가 예상됩니다. 첫째, 원격접속 승인·검토 절차의 강화(역할 기반, 기간 한정 권한). 둘째, 문서 열람 로그의 고해상도 수집과 비정상 쿼리 감지. 셋째, 기관 간 접근정책 표준화와 상호 검증. 넷째, 재택 단말의 최소 기준(부팅 암호, 디스크 암호화, 최신 패치, 엔드포인트 보호) 의무화입니다.

현장 팁: 단순 OTP 추가만으로는 부족합니다. 디바이스 고유 요소(플랫폼 인증)와 위치·시간·행위 프로파일을 결합해 ‘의심스러운 정상’을 가려내는 것이 핵심입니다.

7. 재발 방지를 위한 실무 체크리스트

  • 계정·인증서 위생: 불필요 인증서 즉시 폐기, 저장 위치 일괄 점검, 비밀번호 관리자 사용, 비밀번호 재사용 금지 정책의 기술적 강제
  • 다요소 인증: 고위험 행위(권한 상승, 대량 열람/다운로드, API 토큰 발급)에 조건부 MFA 강제
  • 세션 보안: 짧은 수명, 재사용 방지, 디바이스-세션 바인딩, 비정상 재인증 요구
  • 로그·가시성: 열람 범위 요약 지표, 벤치마크 대비 이상 탐지, 사전 정의된 유출 패턴 룰셋
  • 원격 단말 기준: OS/브라우저 최신화 자동 강제, 디스크 암호화, 화면 캡처 방지 정책, 브라우저 격리
  • 피싱 방어: 도메인·브랜드 보호, DMARC·SPF·DKIM 정합성, 브라우저 경고 훈련, 모의 피싱 정례화
  • 권한 최소화: 업무별 뷰/다운로드 한도, 데이터 마스킹, 부처 간 접근권 재검토
  • 비상 절차: 의심 이벤트 즉시 권한 동결, 인증서 폐기 자동화, 영향 범위 시뮬레이션

8. 자주 오해하는 포인트 정정

8-1. “인증서만 유출되면 다 끝이다?”

인증서는 중요한 열쇠지만, 비밀번호와 환경 검증 없는 단독 사용은 제한적입니다. 다만 인증서+비밀번호+절차 빈틈이 결합되면 위험도가 급상승합니다. 그래서 ‘단일 비밀’에 의존하는 구조에서 벗어나야 합니다.

8-2. “2차 인증 있으면 안전하다?”

2차 인증은 큰 장점이지만, 세션 하이재킹·피싱 프록시·SIM 스와핑 등 현실 공격은 그 위를 노립니다. 따라서 지속 인증과 행위 분석, 디바이스 바인딩을 함께 써야 합니다.

8-3. “원격근무만 줄이면 된다?”

원격근무 축소는 근본 해결이 아닙니다. 현업은 이동·협업이 필수고, 안전한 원격을 만드는 것이 생산성과 보안 모두에 이롭습니다.

9. 공공과 민간이 함께 챙길 현실적 보안 습관

  • 업무용 자격 증명은 개인 클라우드·메신저로 옮기지 않기, 브라우저 자동 저장 금지
  • 업무·개인 기기 분리, 최소한 브라우저 프로필 분리와 확장프로그램 정기 점검
  • 이상 징후 알림을 귀찮아하지 않기: 평소 접속하지 않던 시간·지역 경고는 일단 의심
  • 문서 대량 열람/다운로드 제한을 오버라이드하지 말 것, 정당한 사유 기록 남기기
  • 모의 피싱 훈련 결과를 개인 성과가 아니라 팀 보안 수준으로 피드백하기

10. 마무리: 온나라시스템 신뢰 회복의 조건

온나라시스템은 단순 서비스가 아니라 행정의 일상 그 자체입니다. 신뢰 회복의 핵심은 ‘사용자 경험을 해치지 않으면서’ 보안을 생활화하는 데 있습니다. 인증은 더 강해지되, 자동화와 위험기반 접근으로 불필요한 마찰은 줄이고, 로그와 탐지는 더 똑똑해져야 합니다. 그리고 무엇보다 중요한 건 사람입니다. 한 번의 실수가 전체 신뢰를 흔들 수 있기에, 조직 차원의 교육과 절차, 기술이 함께 돌아가야 합니다.

결국 관건은 “예방-탐지-대응”의 연결입니다. 이번에 드러난 빈틈을 솔직하게 기록하고, 표준으로 만들고, 반복하는 것. 그게 가장 현실적인 재발 방지책입니다.

이번 일을 계기로 공공과 민간 모두가 원격접속과 인증 체계를 다시 점검하고, 실제 업무 흐름을 기준으로 실효성 있는 대책을 쌓아가길 바랍니다. 보안은 사건 직후가 아니라, 평소 습관에서 시작되니까요.

같은 카테고리 게시물
최근 다른 게시물