米国のセキュリティ分野専門メディア「Phrack Magazine」が2カ月前に、韓国政府が運用中の行政電子署名システム（GPKI）のハッキング被害を報じていたにもかかわらず、政府がその間、各部処間で情報共有もせずに事実を隠していたことが分かった。GPKIは公務員の身元確認や文書の偽造・改ざん防止などの機能を提供する主要な電算システムだ。

19日、Phrack Magazineによると、同誌は8月7日（現地時間）、米サンフランシスコで開催されたサイバーセキュリティカンファレンスである「DEF CON」に合わせて創刊40周年記念号を発行した。この記念号には、韓国政府のハッキング事実を扱った報告書「APT Down : The North Korea Files」が掲載された。セキュリティの脆弱性を発見するホワイトハッカーとして知られる「Saber」と「cyb0rg」が共同作成したこの報告書には、北朝鮮のハッキング組織「Kimsuky」によるGPKIへの侵入事実と、どのようにして機密情報を抜き取ることができたかなどが記されていた。ただし国家情報院は、ハッキングの主体について「（Kimsukyと）断定できる技術的証拠は不足している状況だ」と説明した。


報告書の内容などを総合すると、昨年初め、「Troll Stealer」という名の新種のマルウェアが、あるダークウェブ監視企業によって発見された。「Saber」らは、特定のハッカーがこのマルウェアを利用して韓国の公務員の個人用PCを感染させ、そこに保存されていたGPKI認証書とパスワードを盗み出したと主張している。ハッカーはパスワードを解読するプログラムまで開発していたという。このようにして盗み取ったGPKI認証情報を用い、韓国政府の電算網リモート接続システム（GVPN）を経由し、公務員業務システム「オンナラ」に接続することができた。


報告書に書かれていた主要内容は、それから2カ月が経った今月17日、行政安全部の公式ブリーフィングを通じて事実であることが確認された。行政安全部によれば、2022年9月から今年7月までの間に、公務員650人分のGPKI認証書が流出していたという。そのうち647人分の認証書は有効期限が切れており、残りの3人分は有効期限が残っていたため、8月13日に破棄処分された。Phrack Magazineによる発表からおよそ1週間後になってようやく措置が完了した形だ。ハッカーが政府行政網で閲覧した資料の具体的内容と規模は、現在、国家情報院が把握中だ。

問題は、主管部処である国家情報院や行政安全部が他の部処に具体的なハッキング被害の事実を知らせなかったため、一部の部処では職員個人の認証書流出の有無すら全く知らなかった点にある。特に国家情報院は、この報告書が出る1カ月ほど前にすでにオンナラシステムへの侵入事実を把握していた。19日、国民の力の朴正河（パク・ジョンハ）議員が文化体育観光部から提出を受けた資料によると、GPKI認証書が流出した文化体育観光部の公務員は5人だった。しかし同部は、17日に行政安全部が関連ブリーフィングを行い、朴議員室が資料を要請した後になって初めて、行政安全部を通じて被害事実を確認できたという。文化体育観光部の傘下機関である国家遺産庁も同様で、GPKI認証書1件が流出していたにもかかわらず、その事実を把握していなかった。

朴正河議員は「一部の部処や機関がハッキング被害の事実を知らなかったことが確認された。部処間で情報共有と協力がなされていなかったということだ」と指摘し、「セキュリティ管理体制の欠陥を早急に正し、再発防止対策を講じる必要がある」と述べた。これに対して政府関係者は、「セキュリティ上の脅威が感知されると、（通常は）緊急措置をまず実施し、その後に追加調査や分析を行う」とし、「単なるハッキング事実だけでなく、認証体系強化などの対策をあわせて盛り込んで発表することになった」と話した。別の政府関係者も「流出した認証書のうち、有効期限が切れていない3件については関係部処（企画財政部など）に通知し、破棄するよう指示した」とし、「残りの647件についてはセキュリティ上の脅威がないと判断し、通知しなかった」と説明した。

一方、現在、公務員がリモート勤務システムに接続する際には、GPKI認証に加えてARS電話認証を必ず経なければならない。さらに政府は、GPKI認証書のセキュリティ脅威に対応するため、生体認証を基盤とした複合認証手段であるモバイル公務員証などに切り替える方針だ。