[법원해킹②]몇년에 걸쳐 1TB 해킹…법원은 털리고도 '모르쇠'

김남희 기자 2024. 5. 15. 19:00
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
관리자 비밀번호 '123qwe' 허술한 보안
해킹 당한 정황 발견하고도 신고 안 해
개인정보위, 신고 절차 적법성 조사 착수

[서울=뉴시스] 김남희 기자 = 북한 해커 조직 라자루스가 최소 2년간 법원 전산망에서 1TB가 넘는 자료를 빼내는 동안 법원은 이를 인식조차 하지 못한 것으로 드러났다.

라자루스는 북한 정찰총국 소속으로 김수키, 안다리엘과 함께 북한 3대 해킹 조직으로 알려졌다.

법원은 뒤늦게 해킹 사실을 인지하고도 수사를 의뢰하지 않아 피해를 키웠다는 지적을 받는다. 사법부가 독립된 헌법기관으로서 별도 보안시스템을 사용하는 점도 문제의 원인으로 분석된다.

2021년 1월7일 이전 '라자루스' 침투

경찰청 국가수사본부와 국가정보원, 검찰청의 합동조사에 따르면 라자루스는 최소 2021년 1월7일 이전부터 법원 전산망에 침투해 있었다.

경찰 관계자는 "해커가 처음 침입한 것이 확인된 건 2021년 1월7일"이라며 "이미 해커가 들어온 상태를 발견한 것이기 때문에 그 이전에 들어왔는지 기록을 봐야 하는데 지난해 말 수사에 착수했을 때 이미 많은 자료가 지워진 뒤라 최초 침입 시점과 원인은 밝힐 수 없었다"고 말했다.

라자루스는 2023년 2월9일까지 국민 개인정보가 담긴 개인회생 관련 문서 5171개(4.7GB)를 포함해 1014GB에 달하는 자료를 해킹한 것으로 확인됐다.

문서 5171개를 제외한 나머지 유출 자료는 어떤 종류인지조차 확인되지 않는 상황이다. 북한의 법원 전산망 해킹이 얼마나 오래 전 시작됐는지도 불분명하다.

결과적으로 최소 2년 이상 법원 전산망이 해킹에 노출된 셈이다. 대법원은 지난해 2월이 돼서야 악성코드가 침투한 사실을 알아채고 자체 차단했지만 수사기관에 따로 신고는 하지 않았다.

지난해 11월 말 해킹 사실이 보도된 후에야 수사기관이 수사에 착수했지만, 시간이 지나 자동 삭제된 자료가 많아 최초 침입 원인이 뭔지 단서를 찾을 수 없었다고 한다.

법원은 해킹을 인지한 지 1년여가 지난 지난 3월에야 "북한과 관련된 것으로 추정되는 공격 주체가 사법부 전산망에 침입했다"며 "국민 여러분께 큰 심려를 끼쳐드린 점에 대해 깊은 사과의 말씀을 드린다"고 밝혔다.

경찰청 관계자는 '법원 전산 시스템의 취약점이 무엇이었냐'는 취재진 질문에 "어떻게 침입했는지를 알아야 취약점을 알 수 있는데 딱히 이것이 취약점이라고 할 만한 건 파악할 수 없었다"고 전했다.

[서울=뉴시스]

[서울=뉴시스]

방대한 국민 개인정보 유출…추가 피해 우려

경찰청 관계자는 라자루스의 해킹 목적에 대해 "유출된 1014GB 중 저희가 찾은 건 0.5% 정도에 불과하다"며 "타깃을 파악할 만한 수치가 나오지 않아 의도는 저희가 판단하기 어렵다"고 밝혔다.

북한은 해킹으로 얻은 개인정보를 판매해 불법 수익을 얻는 것으로 알려져 있다. 이에 유출된 개인정보를 통한 보이스피싱이나 스미싱 등 추가 피해가 우려되는 상황이다.

이번에 유출이 확인된 문서에는 주민등록번호와 계좌번호뿐만 아니라 금융정보와 진단서, 병력기록 등까지 포함돼 있다.

법원의 개인정보 보호책임자가 해킹 피해를 신고하지 않은 것과 관련해 형사 처벌은 어려운 전망이다.

경찰청 관계자는 "개인정보보호법상 신고를 하지 않은 데 따른 형사처벌 규정은 없다"며 "고의범에 대한 처벌 규정은 있었지만 지난해 하반기 개정되면서 이마저 없어졌고, 과실범에 대한 처벌 규정은 아예 없다"고 설명했다.

다만 해킹 사실을 인지하고도 피해자들에게 통보하지 않았다면 문제 소지가 있다. 개인정보보호위원회는 신고 절차의 적법성과 유출 규모 등에 대한 조사에 착수했다.

개인정보보호법에 따르면 모든 개인정보처리자는 개인정보 유출 사실을 알게 된 후 72시간 이내에 개인정보위에 신고해야 한다.

개인정보위원회는 법원의 사후 조치에 문제가 없었는지도 조사해 행정처분 여부를 결정한다는 방침이다.

경찰의 수사 발표 직후 대법원 윤리감사관실도 자체 진상조사를 시작한 것으로 전해진다.

[서울=뉴시스] 조수정 기자 = 신임 경찰청 국가수사본부장에 임명됐던 정순신 변호사가 자녀의 학교 폭력 논란으로 임기 시작 하루 전 사의를 표명했다. 또 대통령실은 임명을 취소했다. 사진은 26일 서울 서대문구 경찰청 국가수사본부. 2023.02.26. chocrystal@newsis.com

[서울=뉴시스] 조수정 기자 = 신임 경찰청 국가수사본부장에 임명됐던 정순신 변호사가 자녀의 학교 폭력 논란으로 임기 시작 하루 전 사의를 표명했다. 또 대통령실은 임명을 취소했다. 사진은 26일 서울 서대문구 경찰청 국가수사본부. 2023.02.26. chocrystal@newsis.com

'독립된 헌법기관' 안일한 보안의식이 부른 참사

법원 전산망 관리자 계정 비밀번호가 6년 넘게 '123qwe'였다는 점이 알려지면서 법원의 안일한 보안의식에 대한 지적이 이어지고 있다.

사법부가 독립된 헌법기관으로서 행정부와는 별도의 전산 관리시스템을 사용한 점이 해킹에 취약했던 원인으로 꼽힌다.

경찰청 관계자는 "법원은 행정부가 아니므로 이른바 '자주국방'을 해야 하는 입장"이라고 전했다.

또 내·외부망이 분리돼 있어 외부 침입이 어려울 것으로 판단해 자체 보안에 소홀했다는 분석이 나온다.

법원행정처는 재발 방지를 위해 인터넷 사용을 엄격하게 통제하고 보안 전문인력과 장비를 확충한다는 계획이다. 아울러 한국인터넷진흥원(KISA) 등 외부 보안기관과 협업도 강화한다는 입장을 내놨다.

☞공감언론 뉴시스 nam@newsis.com

Copyright © 뉴시스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
뉴시스에서 직접 확인하세요. 해당 언론사로 이동합니다.