[김주하의 '그런데'] 숨길 걸 숨겨야지

대법원은 지난 2월 초, 북한의 해커조직인 라자루스가 2년 전인 2021년 3월, 전산망에 악성파일을 침투시킨 걸 알아챘습니다.

두 달 뒤에는 국내 유명 보안업체를 동원해 보안점검을 벌였고, 법원행정처 전산정보관리국 사이버안전과 명의의 대외비 보고서도 만들었습니다.

이 보고서에는 '라자루스'라는 범행 주체는 물론 총 335GB의 데이터가 유출됐다는 내용이 담겼습니다.

최초 악성코드 감염부터 상황을 142개 순번을 달아 기록했고, 보고서 제목도 아예 '라자루스 악성코드 분석 보고'라고 했는데 법원은 이를 숨겼습니다.

언론 취재가 시작됐는데도 아닌 보살 했죠. 이유가 있었습니다. 해킹을 당했다고는 하나, 기본적으로 자신들 잘못이 너무 컸거든요.

대법원 전산망 관리자들이 6년 넘게 쓴 비밀번호는 패스워드라는 영어단어에서 알파벳 오(O)를 아라비아 숫자 0으로 살짝 바꾼 게 다였고, 또 다른 비밀번호는 컴퓨터 자판에서 제일 위쪽 상단을 순서대로 누르면 나오는 아주 쉬운 조합이었습니다.

대법원은 "북한의 라자루스 소행이라 단정할 수 없다"는 입장인데, 그럼, 자신들이, 자신들 이름으로 만든 보고서를 부정하는 거죠?

확실치 않다면서도 타 기관의 조사는 또 마다합니다. "민감한 데이터가 공개될까, 헌법기관의 독립성 차원에서 신중히 처리해야 한다"며 국정원 등의 도움을 거부했거든요. 북한 해킹단체엔 고스란히 넘겨준 데이터를 우리 국정원은 봐선 안 된다고요?

지난 2016년, 인터파크는 개인정보 유출로 방통위로부터 45억 원에 달하는 과징금을 부과받았고, 올해 삼성전자는 같은 이유로 개인정보보호위원회로부터 8억 7천558만 원의 과징금과 천400만 원의 과태료를 부과받았습니다.

사법부 전산망은 국가안보와 직결되는 정보자산인 만큼 절대 이보다 타격이 작지 않을 텐데, 조사도 받지 않겠다고요?

마침 어제는 북한 해킹조직 '안다리엘'이 지난해 중반부터 방산업체와 제약사, 연구소 등 14곳의 서버를 털어 레이저 대공무기 기술 등을 빼갔다는 경찰청의 발표가 있었습니다.

피해 사실조차 몰랐고, 일부는 알고도 신뢰 하락을 이유로 신고하지 않았다는데, 그러고 보면 자기들 전산망을 북한 해커들의 놀이터로 만들어주는 데는 민관이 따로 없는 거죠.

민관협력, 너무 잘되고 있는 거 아닙니까.

김주하의 그런데, 오늘은 '숨길 걸 숨겨야지'였습니다.