법원 전산망 해킹 사건 총정리...충격 사건의 전말(+국정원 사법부)
북한 해킹조직 ‘라자루스’로 추정되는 집단이 국내 법원 전산망에 침입해 약 2년에 걸쳐 개인정보 등이 포함된 법원 자료 1014GB를 빼낸 사실이 정부 합동조사 결과 드러나며 충격을 주고 있습니다.
법원 전산망 해킹 사건의 충격 전말...
해당 사건은 김명수 대법원장과 김상환 법원행정처장이 재임한 2021년부터 2023년까지 북한 정찰총국 소속 해커 조직 라자루스가 대한민국 법원 전산망을 해킹해 내부 자료를 대규모로 장기간 탈취한 최악의 사건입니다.
2024년 5월 11일 경찰청 국가수사본부는 지난해 말 불거진 법원 전산망 해킹·자료유출 사건을 국가정보원, 검찰과 합동 조사·수사한 결과를 공개했습니다. 수사 결과 법원 전산망에 대한 침입은 2021년 1월 7일 이전부터 2023년 2월 9일까지 이뤄진 것으로 파악됐습니다. 이 기간에 총 1014GB의 법원 자료가 8대의 서버(국내 4대·해외 4대)를 통해 법원 전산망 외부로 전송됐습니다.
수사당국은 이 중 1대의 국내 서버에 남아 있던 기록을 복원해 회생 사건 관련 파일 5171개(4.7GB)가 유출된 사실을 확인했습니다. 나머지 7개의 서버는 이미 자료 저장 기간이 만료돼 흔적을 찾을 수 없었던 것으로 전해졌습니다.
국수본 관계자는 "악성 프로그램 설치 날짜 중 가장 오래전으로 확인된 게 2021년 1월 7일"이라며 "공격자는 이 시점 이전부터 법원 전산망에 침입해 있었을 테지만 당시 보안장비의 상세한 기록이 이미 삭제돼 최초 침입 시점과 원인은 밝힐 수 없었다"고 말했습니다. 이어 "공격자의 악성 프로그램이 백신에 탐지돼 발각된 작년 2월 9일까지 2년여간 범행이 계속됐다"고 덧붙였습니다.
유출이 확인된 자료 5171개는 자필진술서, 채무증대 및 지급불능 경위서, 혼인관계증명서, 진단서 등입니다. 여기에는 이름, 주민등록번호, 금융정보, 병력기록 등 개인정보가 다수 포함됐습니다. 경찰은 2차 피해를 막기 위해 유출된 파일 5171개를 지난 8일 법원행정처에 제공하고 유출 피해자들에게 통지하도록 했습니다.
국수본은 "유출 자료를 받아본 법원에서 개인정보 여부를 판단해 피해자 수를 산정하게 될 것"이라고 했지만, 확인된 자료가 외부로 빠져나간 전체 자료의 0.5%에 그쳐 실질적인 피해 규모를 추산하기는 어려울 것으로 보입니다.
범행수법 북 해커조직 ‘라자루스’와 동일
수사당국은 이번 범행에 사용된 악성 프로그램 유형, 가상자산을 이용한 임대서버 결제내역, IP 주소 등을 바탕으로 이번 사건을 북한 해킹조직 '라자루스'의 소행으로 결론 내렸습니다. 국수본은 "기존 북한발로 규명된 해킹 사건과 비교분석한 결과 (라자루스가 주로 사용하는) 라자도어 악성코드, 서버 해킹 기법 등이 대부분 일치하는 것을 확인했다"고 밝혔습니다.
법원 내부망에서 백신이 악성코드를 감지해 차단한 시점은 2023년 2월 9일이지만 대법원이 자체 대응하면서 경찰 수사는 언론 보도로 해킹 사건이 처음 알려진 뒤인 2023년 12월 5일에야 시작됐습니다. 그러는 사이 서버에 남아있던 유출 자료들이 지워졌습니다. 침입 시점 이후 한참이 지나서야 수사가 시작돼 해킹 경로나 목적을 확인하지 못했습니다.
국수본 관계자는 "유출된 자료 실체를 0.5%만 확인했기에 정확한 해킹 의도는 말씀드리기 어렵다"며 "악성코드가 침입한 시점의 관련 기록이 있어야 전산망의 취약점도 알 수 있다"고 설명했습니다.
법원의 개인정보 관리자에 대한 처벌 여부에 대해선 "개인정보보호법상 처벌 규정은 없고 과징금·과태료 등 행정처분만 있는 것으로 안다"며 "조사가 필요하다면 개인정보보호위원회에서 하고, 직무유기 혐의가 있다면 법원에서 자체 판단해 수사기관에 수사 의뢰할 수 있을 것으로 보인다"고 덧붙였습니다.
법원의 별도 전산관리가 취약점으로 작용
이 사건은 대한민국 사법부의 늑장 대응과 허술한 보안체계가 문제점으로 지목되었습니다.
법원 전산망에 깔린 백신 프로그램이 2년 후에나 악성코드를 탐지해낸 것을 두고 법원 보안 체계가 허술한 게 아니냐는 지적도 있습니다. 이에 대해 국수본 관계자는 "일반적으로 해커는 백신에 걸리지 않는다는 사실을 확인한 후 악성코드를 유포하기에 백신 자체의 성능 미비를 지적하긴 어렵다"며 "백신 프로그램이 업데이트되면서 감지한 것으로 봐야 한다"고 말했습니다.
법원 전산망에는 일반 시민은 물론 국내외 기업과 검찰·국가정보원 등 수사기관, 대통령실과 정부 부처, 금융당국 등 각종 기관에서 제출한 수많은 자료가 모여있습니다. 유출될 경우 국내외에서 악용될 수 있는 우려가 있는 정보가 대규모로 몰려 있는 셈입니다. 대법원은 작년 2월 악성코드를 탐지해 차단했음에도 자체 포렌식 능력은 없어 실제 정보가 유출됐는지조차 알 수 없었던 것으로 전해졌습니다.
다만 북한 소행으로 의심된다는 외부 보안업체 분석 결과가 있어 국가정보원에 기술 지원을 요청했습니다. 그러나 비슷한 시기 선거관리위원회 해킹 사고 등이 터지면서 국정원의 지원을 받는 데도 한계가 있었던 것으로 알려졌습니다. 대법원은 구체적인 유출 사실을 특정하지 못한 상황에서 대외적으로 알리거나 신고하는 등 후속 절차를 밟지도 않은 채 시간을 흘려보냈습니다.
이후 작년 11월 언론 보도로 유출 사실이 알려지면서 대법원은 뒤늦게 개인정보보호위원회에 신고하고 국정원과 공식 조사에 들어갔습니다. 법원행정처 관계자는 "자체적인 포렌식 능력이나 장비가 있으면 보다 신속하게 업무 처리를 하고 대처했을 텐데 그게 안 됐다"고 해명했습니다.
2년 해킹당해 탈탈 털린 법원, 사이버 컨트롤타워 시급
사법부 전산망이 해킹된 것은 이번이 처음입니다. 사법부가 독립된 헌법 기관이어서 별도의 전산 관리 및 보안 체계를 사용하는 것이 되레 취약점으로 작용했다는 지적이 나옵니다.
워낙 예민한 정보가 모여있는 데다 기관 특성상 독립성이 중요해 국정원·경찰 등 외부 기관의 도움을 받기 어려운 구조인데, 정작 자체 정보보호 시스템은 허술하게 방치했다가 해킹에 노출됐다는 것입니다.
추가로 해당 악성코드가 탐지된 시점은 2023년 2월 4일이지만 사법부가 수사당국에 이를 알리지 않고 은폐하다가 무려 1년 가까이 지나서야 뒤늦게 수사가 시작되면서 피해를 키웠습니다.
해킹당한 대법원 전산망 관리자 계정의 비밀번호는 'P@ssw0rd', '123qwe', 'oracle99' 등 짧고 쉬운 문자열로 구성되어 있었고, 일부 계정은 6년에서 7년이 넘도록 비밀번호를 한 번도 바꾸지 않은 것으로 확인되었습니다.
유출 경위를 파악하기 위한 수사는 일단 종결됐지만 이른바 ‘은폐 의혹’에 대한 수사가 전개될 가능성은 남아있습니다. 시민단체 자유대한호국단은 법원행정처가 유출 사실을 고의로 숨겼다며 김상환 전 법원행정처장(대법관)과 전산 담당자들을 허위공문서 작성 및 행사 등 혐의로 작년 12월 고발했습니다. 이 사건은 현재 서울중앙지검에 계류 중입니다.
해당 사건이 최악으로 불리는 이유로 북한이 탈취한 사법부 자료에는 민감한 개인정보 내역이 포함되어 있어 향후 보이스피싱과 같은 사유재산 탈취 범죄에 악용될 우려가 있습니다. 남북한간에 심각한 전쟁 위기가 발발할시, 이번에 라자루스를 통해 흘러 들어간 막대한 양의 남한측 개인 정보가 어떻게 활용될지 심히 우려스럽습니다.
특히 초저출산 초고령화의 영향으로 사이버 수사 인력이 감소하고 있는 추세입니다. 이 같은 상황에서 터진 최악의 개인정보 유출 사태로 사이버 수사 인원들이 받게 될 압력과 부담이 매우 커지게 되었습니다. 이는 국가정보원도 마찬가지입니다.
해당 소식을 접한 누리꾼들은 "해킹을 당하는 한국. 도대체 해킹이나 당하고 관련자들 즉시 징벌해야 하지 않나요? 최고의 기술 한국이 이 무슨 창피?" ,"해킹당한지 조회 어디서 하나요? ","책임자 구속해라" 등의 반응이 이어지고 있습니다.