北해커조직에 2년간 뻥뚫린 법원 전산망

라자루스, 1014GB 자료 해킹
소송 등 민감한 정보 다수 유출
개인정보委 "성역없이 조사"

북한 해킹 조직 '라자루스'로 추정되는 집단이 국내 법원 전산망에 침투해 2년 넘게 1014GB 규모의 자료를 빼낸 사실이 드러났다. 정부 개인정보보호위원회는 법원이 관련법을 위반했는지에 대해 "성역 없이 조사하겠다"고 의지를 밝혔다.

지난 11일 경찰청 국가수사본부는 법원 전산망 해킹·자료 유출 사건을 국가정보원·검찰과 합동 조사·수사한 결과를 공개했다. 북한 해킹 조직은 2021년 1월 7일 이전부터 2023년 2월 9일까지 약 2년간 1014GB 규모의 법원 자료를 서버 8대(국내 4대·해외 4대)를 통해 유출했다. 유출된 자료 5만171개는 자필진술서, 채무증대·지급불능 경위서, 혼인관계증명서, 진단서 등이다. 여기에는 이름, 주민등록번호, 금융정보, 병력기록 등 민감한 개인정보 다수가 포함된 것으로 조사됐다.

국수본 관계자는 "설치된 악성 프로그램 중 가장 오래된 건 날짜가 2021년 1월 7일인데, 공격자가 이전부터 법원 전산망에 침입해 있었을 것"이라며 "당시 보안장비의 상세한 기록은 삭제돼 최초 침입 시점과 원인을 밝힐 수 없다"고 설명했다. 유출 내용이 구체적으로 확인된 자료는 4.7GB 분량으로, 전체의 0.5%에 불과하다. 당국은 국내 서버 1대에 남아 있던 기록을 복원했고 나머지 7대는 저장 기간이 만료돼 유출된 구체적 내용을 파악할 수 없는 것으로 나타났다.

법원 전산망이 사상 처음 해킹되고 북한의 소행으로 밝혀진 것에 대해 고학수 개인정보보호위원회 위원장은 12일 매일경제와의 전화 통화에서 "개인정보가 날로 중요해지는 만큼 성역 없이 법을 적용해 위반 사례가 있는지 들여다보겠다"고 말했다. 유출된 자료가 범죄에 활용된 것이 확인되면 법원이 관련법에 따라 피소될 가능성도 높다.

법원에는 개인은 물론 기업과 정부 부처·기관이 제출한 자료가 모여 있다. 이처럼 소송과 관련해 극히 예민한 정보가 집중돼 있지만 기관의 독립성이 중요해 국정원·경찰 등 외부 기관의 도움을 받기 어려운 구조다. 이런 점이 해킹에 취약점으로 작용했다는 지적도 나온다.

법원행정처는 지난 8일 경찰 수사 결과를 통보받고 즉시 개인정보위에 신고했다. 또 대법원 홈페이지에 유출 사실을 게시하는 한편, 개별 문건을 분석해 확인된 피해자에게는 따로 통지하기로 했다. 법원행정처 관계자는 "대량 정보 유출 사례이므로 법원행정처 차원에서 별도로 예산과 인력을 투입해 진행할 예정"이라며 "지속적으로 유출 내역을 확인해 조치하겠다"고 밝혔다.

[이지안 기자 / 이동인 기자]