[데일리시큐]국정원, 온나라시스템 정교한 해킹 침투 확인…“행정망 인증체계 허점 악용”

내용 요약

국가정보원이 정부 행정업무용 ‘온나라시스템’과 공공·민간 전반에 걸친 해킹 침투를 탐지하고, 인증체계와 원격접속시스템의 구조적 취약점을 악용한 정교한 위장 침투 사례를 분석했습니다. 이번 사건은 인증정보·소스코드 유출로 이어졌으며, 공공부문의 보안체계를 전면 재점검할 필요성을 제기합니다.

핵심 포인트

• 원격접속시스템의 구조적 결함: VPN, RDP, SSH 등 기본 원격접속 프로토콜이 무단 접근을 허용하는 구조적 취약점
• 인증체계의 약점: 약한 비밀번호 정책, 기본자격증명, 프리빌리지 상승과 같은 인증 관련 결함
• 고급 침투 기법: 멀티 단계 APT(Advanced Persistent Threat) 접근 방식으로 인증정보와 소스코드를 유출

---

기술 세부 내용

1️⃣ Remote Access System Vulnerabilities

원격접속시스템은 조직 내부 네트워크와 외부 환경을 연결해 주는 중추적 인프라입니다. 이번 침투 사례에서 핵심적으로 악용된 구조적 취약점은 다음과 같습니다.

단계	기술·개념	공격 시나리오	방어 방안
1️⃣ 프로토콜 선택	VPN (IPSec, OpenVPN) / RDP / SSH	해커는 공용 인터넷에서 VPN 서버에 접근해 내부망으로 스텔스 이동	VPN 강제 MFA, IP 기반 차단, 세션 타임아웃
2️⃣ 인증 흐름	일반 비밀번호 혹은 기본자격증명	1~2 단계 인증을 우회하거나 패스워드 스프레이 공격으로 접속	Password Policy 강화(복잡성, 수명), 계정 잠금 정책
3️⃣ 소프트웨어 취약점	Unpatched 서버/클라이언트	CVE-XXXX-XXXXX 등 공개된 취약점을 활용해 제어권 획득	정기적인 패치 적용, 취약점 스캐닝
4️⃣ 보안 구성을 통한 접근 제어	Zero Trust (내부/외부 구분 없음)	내부망에서도 세분화된 접근 권한 부여가 부족	Micro‑segmentation, Least Privilege 적용

핵심 메시지
원격접속시스템이 “보안 허브”가 아니라 “보안 허점”이 되는 이유는 프로토콜 자체의 취약성 + 사용자 인증 방식의 단순화에 있습니다. 따라서 VPN/SSH/RDP 세트업 시 보안 설정이 ‘데폴트’가 아니라 ‘보안 표준’이어야 합니다.

2️⃣ Authentication System Weaknesses

인증체계가 흔히 직면하는 문제는 비밀번호 관리와 특권 계정(Privileged Account) 보호입니다. 이번 사건에서는 다음과 같은 기술적 약점이 발각되었습니다.

단계	기술·개념	공격 시나리오	방어 방안
1️⃣ 비밀번호 관리	Weak Passwords / Credential Reuse	공격자는 사내 사용자 비밀번호를 유추하거나 복사해 내부망 접근	MFA 도입, 정책 기반 비밀번호 복잡성
2️⃣ Privileged Account	Domain Admin, Service Accounts	Pass‑the‑Hash, Pass‑the‑Ticket 기법으로 고권한으로 이동	Privileged Access Management (PAM), Account Segmentation
3️⃣ Kerberos & SPNEGO	인증 토큰 취득	티켓 도난을 통해 내부 인증 체계 조작	Ticket Lifetime 제한, Kerberos Ticket Granting Service (TGS) 로그
4️⃣ 인증 로그	Audit Trails 미흡	공격이 일어났음을 감지하지 못하고 수요	SIEM 도입, 로그 수집 및 분석

핵심 메시지
인증체계가 단순히 사용자와 비밀번호를 매칭하는 수준에서 끝나면, 한 번의 비밀번호 탈취가 조직 전체로 이어질 수 있습니다. 다중 요소 인증(MFA)과 권한 분리가 필수입니다.

3️⃣ Camouflaged Infiltration Techniques

정교한 위장 침투는 보통 APT(Advanced Persistent Threat) 공격자들이 사용하는 다단계 전술입니다. 공공·민간 대상의 해킹에서 자주 보이는 기법을 정리하면 다음과 같습니다.

단계	기술·개념	설명
① Reconnaissance	OSINT / Phishing	정부·기업 공개 정보를 수집해 맞춤형 스피어‑피싱 이메일 발송
② Initial Access	Credential Dumping, Zero‑day Exploit	사내 시스템에 취약점으로 침투, 또는 유효 인증정보를 획득
③ Lateral Movement	Pass‑the‑Hash, SMB Hijacking	내부망에서 다른 장치로 이동, 권한 상승
④ Data Exfiltration	Staging, Encrypted Channel	소스코드·인증정보를 외부 서버로 복사
⑤ Persistence	Scheduled Tasks, Registry Mod	재시작 후에도 자동 실행 보장

예시
정부의 원격접속시스템에 접근 후, 내부 사용자 계정의 비밀번호를 획득해 ‘온나라시스템’ 내부 리소스를 탈취한 뒤, 해당 정보를 외부로 유출하고, 동시에 동일한 자격증명으로 다른 민간기업의 소스코드를 확보하는 시나리오가 보고되었습니다.

4️⃣ Incident Response and Mitigation

사고 대응은 “피해 최소화”와 “원인 규명” 두 가지 측면에서 접근해야 합니다.

1. Containment
   • 악용된 계정 즉시 비활성화
   • VPN, RDP, SSH 접근 포트 차단
   • 내부 네트워크 세그먼트 분리
2. Eradication
   • 악성 파일·레지스트리 클린업
   • 취약점 패치 적용 (VPN 서버, RDP 서비스, Windows 업데이트)
3. Recovery
   • 복구 시점 재설정(시스템 롤백)
   • MFA 및 PAM 재구성
   • 보안 설정 재검토 및 테스트
4. Post‑Incident Review
   • 공격 경로 분석(로그, 네트워크 흐름)
   • 보안 정책 재정비
   • 보안 인식 교육 강화

핵심 메시지
“즉시 차단 → 완전 청소 → 강화된 재진입 방지”가 효과적인 대응 체계이며, 특히 Zero Trust 모델을 기반으로 재구성하는 것이 필수입니다.

5️⃣ Recommendations for Public Sector Security

공공기관은 보안 리스크가 가장 높은 대상으로 간주됩니다. 이번 사건을 반성해 다음과 같은 보안 강화 조치를 권고합니다.

• Zero Trust Architecture 도입: 네트워크 내부·외부 구분 없이 모든 접근을 최소 권한으로 검증
• Privileged Account Management (PAM) 도입: 프리빌리지 계정은 별도 저장소에 보관하고, MFA와 세션 모니터링 수행
• Continuous Monitoring & Threat Intelligence: SIEM, EDR, SOC 운영을 통해 실시간 위협 탐지 및 대응
• Secure Remote Access: VPN 대신 SASE (Secure Access Service Edge) 또는 Zero‑Trust Network Access (ZTNA) 도입
• Regular Penetration Testing: 외부 보안 업체와 협력해 6개월마다 전면 테스트 수행
• 인증 정보 보안: 비밀번호 복잡성, 수명, 다중 요소 인증을 정책화하고, 비밀번호 관리 솔루션 도입
• 보안 인식 교육: 직원 대상 정기적인 피싱 훈련과 보안 정책 교육

마무리
이번 침투 사례는 공공·민간 분야의 인증체계와 원격접속시스템이 얼마나 취약할 수 있는지를 명확히 보여줍니다. 구조적 보안 결함을 한 번에 개선하고, Zero Trust와 PAM 같은 현대 보안 프레임워크를 적극 도입한다면 향후 유사한 공격으로부터 조직을 안전하게 보호할 수 있을 것입니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=201481