北의 법원 해킹과 사이버안보法 부재[포럼]

유동열 자유민주연구원 원장

법원 전산망이 2년 넘게 북한 해커의 놀이터로 전락한 사실이 밝혀져 충격이 크다. 지난 13일 경찰청과 국가정보원 등의 합동 조사 및 수사 결과 발표에 따르면, 지난 2021년 1월 이전부터 2023년 2월 9일까지 2년 넘게 법원 전산망이 해킹을 당해 무려 1.014TB(A4용지 약 26억 쪽 분량)의 정보자료가 유출됐다고 한다. 특히, 전체 해킹 자료 중 유출 내용이 파악된 것은 0.5%(파일 5171개)에 불과하다. 여기에는 주민등록번호, 은행 거래 내역 등 수만 명의 개인 정보도 포함돼 있다고 한다.

대법원은 2023년 2월 9일 해킹 사실을 처음 발견하고도 즉각 관계 당국에 신고하지 않았다. 대신 국내 유명 보안 전문 업체에 의뢰해 지난해 4월 피해 개황을 파악했으나 공개하지 않았다. 그해 11월 30일 모 언론사에서 해킹 의혹을 단독 보도하자 일주일 뒤인 12월 7일에야 개인정보보호위원회에 관련 사실을 신고했다. 12월 13일에는 국정원에 침해사고 조사와 보안대책 강화 협조를 요청한 것으로 알려져 있다. 해킹 사실이 포착된 지 10개월 뒤이다.

개인정보보호법 제34조에 따르면 모든 개인정보 처리자는 개인정보 분실·도난·유출 사실을 알게 됐을 때 지체없이 해당 정보주체(개인정보보호위)에 통지, 신고해야 한다. 대법원이 법절차에 따라 초기부터 신속히 대응했더라면 피해 규모도 줄이고 유출된 자료가 무엇인지 확인해 2차 피해를 막을 수 있었을 것이다. 그러나 해킹 사실을 포착한 지 10개월 동안, 그것도 언론 보도가 나오고서야 신고한 것은 법 준수에 앞장서야 할 대법원이 스스로 법을 위배한 것이란 비판에서 자유로울 수 없다.

사법부가 독립된 헌법기관으로서 전산 보안 시스템을 자체적으로 운영하다 보니 안하무인 격의 대응 등 많은 문제점이 노출되고 있다. 법원 전산망 관리자 계정의 접근 비밀번호가 6년 넘게 ‘123qwe’였다는 것은 담당자의 보안의식이 매우 안이함을 보여준다.

북한의 해킹 등 사이버 공격은 어제오늘의 일이 아니다. 한국에 대한 사이버 공격이 하루 평균 156만 건이 넘는다. 2009년 7월 7일 사이버대란 이후 매년 대형 해킹 사건이 발생할 때마다 대책을 내놓고 있으나 여전히 해커들은 날뛴다. 2016년 국방부 통합데이터센터 해킹 사건의 경우 군사 2급기밀 226건, 3급기밀 42건, 대외비 27건 등 모두 235GB 분량의 정보가 유출되는 대형 안보사건이 발생했으나 책임졌다는 사람이 없다. 2021년 한국원자력연구원(KAERI)과 한국항공우주산업(KAI) 등 방산업체 해킹, 최근 7년간 3000억 원 상당의 가상화폐가 탈취돼도 쉬쉬할 뿐 보안 관계자나 지휘 책임자가 형사처벌을 받은 사실이 거의 없다. 이러니 해킹 사건이 터져도 잠시만 버티면 된다는 안이한 인식이 팽배해 있다.

당국은 대법원의 전산관리 소홀 책임을 묻고 해킹 사건의 은폐 기도를 철저히 수사해 행정·사법적 책임을 물어야 할 것이다. 또한, 대법원 등 헌법기관뿐만 아니라 국가기간망과 공공망에 대해 예외 없이 전면 점검해 근원적인 사이버 보안 대책을 마련해야 한다. 특히, 역대 국회에서 계속 미루고 있는 ‘국가사이버안보 기본법’(가칭)을 조속히 제정해 날로 정교해지는 북한 및 초국가적 사이버 공격에 대응해야 한다.

유동열 자유민주연구원 원장