“국회의원도 해킹”…北라자루스는 어떻게 법원을 뚫었나

법원 전산망 침투한 라자루스, 1014GB 개인정보 빼내
주민등록번호·혼인증명서·채무자료 등 민감 정보 포함
김명주 서울여대 정보보호학과 교수 “모르는 문자, 절대 누르지 말라”

(시사저널=정윤경 기자)

북한 정찰총국 산하 해킹 조직인 '라자루스'가 법원 전산망에 침투해 1014GB의 자료를 빼돌렸다. 200자 A4 용지로 따지면 26억장이 넘는다. 문제는 유출된 자료의 99.5%가 무슨 내용인지 확인조차 안 된다는 것이다. 일부 확인된 자료에는 주민등록번호, 계좌번호가 나와 있는 채무증대 및 지급불능 경위서, 혼인관계증명서와 같은 국민의 민감한 정보까지 포함된 것으로 알려졌다.

11일 법원행정처는 '사법부 전산망 침해에 의한 개인정보 유출 추가 안내'라는 공지를 올리고 "유출된 법원 자료에는 상당한 양의 개인정보가 있는 것으로 추정되나, 구체적인 개인정보 내역과 연락처 등을 즉시 전부 파악할 수 없다"고 전했다.

김명주 서울여대 정보보호학과 교수는 "유출된 개인정보가 보이스피싱, 스팸메일 전송 등 범죄에 악용될 수 있다"며 "국회의원도 유력한 타깃이 될 수 있다"고 경고했다. 법원행정처는 13일 시사저널에 "국민의 어떤 정보가 유출됐는지 꼼꼼하게 들여다보고 있다"며 "최대한 신속하게 유출 내용을 살펴보겠지만 상당 기간 소요될 것"이라고 설명했다. 김 교수는 "개인정보 유출 사실을 인지하고도 국민에게 통지하지 않은 법원이 직무유기를 했다"고 비판했다. 다음은 김 교수와 일문일답.

라자루스는 어떤 조직이고 무슨 일을 하나.

"라자루스는 북한 정찰국 소속 공식 '해커부대'다. 라자루스가 하는 일은 딱 세 가지다. 하나는 파괴하는 것, 두 번째는 정보를 탈취하는 것, 세 번째는 돈을 벌어오는 것이다. 원래 비트코인을 통해서 돈을 버는 세 번째 역할을 가장 많이 한다. 그러나 이번 사건 같은 경우는 정보 탈취가 가장 큰 목적으로 보인다. 국민의 개인 정보를 구체적으로 속속들이 알고 있는 곳이 법원이기 때문에 타깃이 된 것이다. 라자루스는 타깃을 정하면 그 사람과 관련된 네트워크 정보를 뽑아내서 누구부터 공격할지 결정한다. 이들은 우리나라 국민 개인정보를 전부 다 갖고 있다고 보면 된다."

라자루스는 어떻게 법원 전산망에 접근했나.

"과거 북한의 해킹 사례를 고려했을 때, 지능적으로 유유히 정보를 유출해 달아나는 '지능적 지속 위협(Advanced Persistent Threats)'으로 보인다. 쉽게 말하면, 타깃의 인물 관계도를 그려서 접근하기 쉬운 주변인부터 장악하는 것이다. 주변 사람들의 휴대폰이나 이메일에 먼저 악성코드를 심고, 그들이 서로 악성코드를 전파하도록 만드는 셈이다. 타깃에 대한 추적은 6개월에서 길게는 2년까지 걸린다. 타깃이 누구와 친한지, 어떤 SNS를 주로 사용하는지까지 알아낸다."

유출된 정보의 99.5%가 파악이 안 되고 있다.

"라자루스가 데이터를 가져갈 때 소속 서버로 직접 가져가지 않고 서버를 빌리는 클라우드 서버를 사용해서 그렇다. 소속 서버로 가져가면 신원이 특정될 수 있어서다. 몇 바이트 데이터가 이동했다는 기록은 있는데, 클라우드 서버 사용 기간이 만료돼 데이터가 날아갔다. 몇 년에 걸쳐서 데이터가 유출됐음에도 뒤늦게 서버를 뒤지다 보니 0.5%밖에 확인이 안 되고 있다."

북한이 가져간 자료에 국민의 민감한 정보가 다수 포함돼있다. 어떤 범죄에 악용될 수 있나.

"어떤 범죄를 저지를지는 특정할 수 없다. 개인정보를 활용한 모든 범죄의 가능성이 열려있어서다. 국회의원도 유력한 타깃이 될 수 있다. 한 의원을 해킹해, 동료 의원들에게 '회의 초안을 검토해 달라'고 메일을 발송하는 것이다. 메일을 열어보는 순간 바이러스가 감염된다. 그러면 현재 검토 중인 법안, 감사 관련 서류 등이 전부 북한으로 넘어갈 수도 있다."

법원이 늑장 대응을 했다는 비판도 나온다.

"개인정보보호법에 의하면, 개인정보를 보호하고 있는 기관에서 정보가 유출됐을 경우 24시간 이내에 신고하게 돼있다. 당사자한테 통보가 불가능하면 개인정보보호위원회 신고해야 한다. 예전에 '챗GPT'가 유출 사실을 24시간 내 신고하지 않아서 개인정보보호위원회가 과태료를 부과한 적도 있다. 법원이 개인정보 유출 사실을 인지했다면 국민에게 즉시 통보를 했어야 했다. 언론 보도가 나오기 전 당사자가 먼저 알았어야 한다. 누구의 개인정보가 유출됐는지도 모르고 통지도 안 했다면 법원의 직무유기다."

정보가 유출된 국민은 어떻게 대처해야 하나.

"안타깝지만 할 수 있는 건 없다. 디지털 사회에서 한 번 개인정보가 유출되면 막을 방법이 없기 때문이다. 주민등록번호는 다시 발급받으면 된다. 그런데 나머지는 어떻게 발급받을 수 있나? 모르는 곳에서 문자나 메일이 오면 절대 눌러보면 안 된다. 라자루스는 법원을 해킹했기 때문에 수사의 전 과정을 확보하고 있다. 혹시라도 경찰청이나 법원에서 '이번 사건 관련 처리를 위해 서류에 사인해 달라'는 등의 문자가 오면 절대 누르면 안 된다. 누르는 순간 휴대폰에 있던 사진, 공인인증서 등이 해킹된다. 국내 기관을 사칭한 전화가 와도 일단 전화를 끊고, 공식 홈페이지에 들어가 이중 확인을 거쳐야 한다."