북한 해킹조직 ‘라자루스’로 추정되는 집단이 국내 법원 전산망에 침투해 2년 넘게 개인정보 등이 포함된 총 1014GB(기가바이트) 규모의 자료를 빼낸 사실이 정부 합동 조사 결과 드러났다. 내용 확인이 가능했던 자료는 4.7GB 분량인 파일 50171개로 전체의 0.5%에 불과하다. 나머지 99.6%에 달하는 1009GB 유출분은 어떤 자료인지 파악조차 못 했다.
법원이 해킹 공격을 인지한 후 자체 조사에 나서면서 수사 타이밍이 늦어졌다는 지적이 나온다. 송사와 관련해 국민의 민감한 개인정보를 다루는 사법부의 보안관리 및 대응체계에 문제가 있다는 우려가 커지고 있다.
경찰청 국가수사본부(국수본)는 11일 지난해 말 불거진 법원 전산망 해킹·자료유출 사건을 국가정보원, 검찰과 합동 조사·수사한 결과를 공개했다.
수사 결과 법원 전산망에 대한 침입은 2021년 1월 7일 이전부터 2023년 2월 9일까지 이뤄진 것으로 파악됐다. 이 기간 총 114GB의 법원 자료가 8대의 서버(국내 4대·해외 4대)를 통해 법원 전산망 외부로 전송됐다.
수사당국은 이 중 1대의 국내 서버에 남아 있던 기록을 복원해 회생 사건 관련 파일 5171개(4.7GB)가 유출된 사실을 확인했다. 유출이 확인된 자료 5171개는 자필진술서, 채무증대 및 지급불능 경위서, 혼인관계증명서, 진단서 등이다. 여기에는 이름, 주민등록번호, 금융정보, 병력기록 등 개인정보가 다수 포함됐다.
4.7GB는 전체 유출 규모인 1009GB의 0.4%에 불과하다. 나머지 7개의 서버는 이미 자료 저장 기간이 만료돼 흔적을 찾을 수 없었던 것으로 전해졌다. 경찰은 2차 피해를 막기 위해 유출된 파일 5171개를 지난 8일 법원행정처에 제공하고 유출 피해자들에게 통지하도록 했다.
국수본 관계자는 “악성 프로그램 설치 날짜 중 가장 오래전으로 확인된 게 2021년 1월 7일”이라며 “공격자는 이 시점 이전부터 법원 전산망에 침입해 있었을 테지만, 당시 보안장비의 상세한 기록이 이미 삭제돼 최초 침입 시점과 원인은 밝힐 수 없었다”고 말했다.
수사당국은 이번 범행에 사용된 악성 프로그램 유형, 가상자산을 이용한 임대 서버 결제내역, IP 주소 등을 바탕으로 이번 사건을 북한 해킹조직의 소행으로 결론 내렸다.
국수본 측은 “기존 북한발로 규명된 해킹 사건과 비교·분석한 결과 (라자루스가 주로 사용하는) 라자도어 악성코드, 서버 해킹 기법 등이 대부분 일치하는 것을 확인했다”고 밝혔다.
이번 해킹 범행 주체로 특정된 라자루스는 2022년에는 국내 방산업체를 해킹해 개발팀 직원 컴퓨터 등 내부망의 중요 자료를 외부로 빼돌린 것으로 드러났다. 또 다른 북한 해커조직인 안다리엘과 김수키도 국내 방산업체 다수를 공격한 바 있다.
법원 내부망에서 백신이 악성코드를 감지해 차단한 시점은 지난해 2월 9일이다. 그러나 대법원이 자체적으로 대응하면서 경찰 수사가 늦어졌다. 경찰 수사는 언론 보도로 해킹 사건이 처음 알려진 뒤인 지난해 12월 5일에야 시작됐다.
그러는 사이 서버에 남아있던 유출 자료들이 지워졌다. 침입 시점 이후 한참 지나 수사가 시작되면서 해킹 경로나 목적을 확인하지 못했다.
국수본 관계자는 “유출된 자료 실체를 0.5%만 확인했기에 정확한 해킹 의도는 말씀드리기 어렵다”며 “악성코드가 침입한 시점의 관련 기록이 있어야 전산망의 취약점도 알 수 있다”고 설명했다.
법원의 개인정보 관리자에 대한 처벌 여부에 대해선 “개인정보보호법상 처벌 규정은 없고 과징금·과태료 등 행정처분만 있는 것으로 안다”며 “조사가 필요하다면 개인정보보호위원회에서 하고, 직무 유기 혐의가 있다면 법원에서 자체 판단해 수사기관에 수사 의뢰할 수 있을 것으로 보인다”고 덧붙였다.