북한 해커 조직 ‘라자루스’가 국내 법원 전산망을 2년 넘게 해킹해 1014GB 규모의 자료를 빼낸 사실이 정부 합동 조사로 12일 드러났다. 유출 내용이 확인된 건 전체 피해의 약 0.5%(5171개)로 주로 법원 재판 관련 자료다. 주민등록등본, 혼인 관계 증명서, 진단서 등 개인 정보가 포함됐다. 나머지 99.5%는 기록이 삭제돼 어떤 내용을 북한이 해킹해 갔는지 확인할 수 없다고 한다. 법원의 재판 기록이 북한 해킹으로 유출된 건 이번이 처음이다.
경찰청 국가수사본부와 국가정보원, 검찰청은 이날 작년에 드러난 법원 전산망 악성 코드 감염이 북한 해커 조직 라자루스 소행으로 판단된다고 밝혔다. 라자루스는 북한의 대남(對南) 공작을 총괄하는 정찰총국 산하에 있다.
이번 해킹은 지난 2021년 1월부터 2023년 2월까지 최소 2년간 계속됐다. 해킹된 자료 중 내용 확인이 가능했던 파일 5171개는 우리 국민 1000여 명이 법원에 제출한 개인 회생 신청서와 첨부 서류 등으로 알려졌다. 개인 회생은 경제적 어려움을 겪는 채무자를 법원이 구제해주는 제도다. 개인 회생을 신청할 땐 기본 개인 정보는 물론 등기부 등본, 소득 증명서, 진단서 등을 제출해야 한다. 채권자 목록과 정보도 담긴다. 신청서 한 건당 최소 십수 명의 개인 정보가 들어 있다. 법조계에서는 “내용이 확인된 0.5%의 자료에만 수만 명의 개인 정보가 담겼을 것”이라는 얘기가 나왔다.
라자루스는 국내외 서버 8곳을 해킹 통로로 활용했다. 이 중 3곳은 해킹으로, 5곳은 차명으로 임차하는 수법을 썼다. 임차료는 가상 화폐로 지급해 서버 운영자는 임차인이 북한 해킹 조직임을 알지 못했다고 한다. 수사 당국은 이 중 한 대의 국내 서버에 남아 있던 기록을 복원해 회생 사건 관련 파일 5171개(4.7GB)가 유출된 사실을 확인했다. 나머지 서버 7대는 이미 자료 저장 기간이 만료돼 어떤 내용의 자료가 유출됐는지 찾을 수 없었다고 한다.
경찰이 밝혀낸 라자루스의 최초 해킹 시점은 2021년 1월 7일이다. 경찰 관계자는 “가장 오래전에 설치된 악성 프로그램은 2021년 1월 7일”이라며 “공격자는 이 시점 이전부터 법원 전산망에 침입해 있었을 테지만 당시 보안 장비의 상세한 기록이 이미 삭제돼 최초 침입 시점과 원인은 밝힐 수 없었다”고 했다. 북한의 법원 전산망 해킹이 얼마나 오래전부터 이뤄진 것인지 모른다는 뜻이다. 경찰 관계자는 “유출된 자료 실체를 0.5%만 확인했기에 정확한 해킹 의도조차 알기 어렵다”며 “악성 코드가 침입한 시점의 관련 기록이 있어야 전산망의 취약점도 알 수 있는데 법원 신고가 늦어져 조사가 빨리 이뤄지지 못한 점이 아쉽다”고 했다.
해킹당한 법원 서버에는 판결문 등 법원이 작성한 문서뿐 아니라 재판 당사자들이 제출한 소장, 답변서, 준비 서면 등도 저장돼 있었다. 특히 라자루스가 빼낸 자료에는 주민등록번호, 은행 거래 내역, 병력 기록 등 개인 정보가 상당량 포함됐다고 한다. 다만, 부동산·법인 등기 자료가 담긴 전산망은 이번 해킹 피해를 받지 않았다고 대법원은 밝혔다. 임종인 고려대 정보보호대학원 교수는 “러시아 해커들이 미국 법무부 등을 많이 해킹하는데 재판 등 개인 정보 기록을 빼내 협박하고 기밀을 빼내려는 의도”라며 “이번 사법부 해킹 역시 국가 안보와 밀접할 가능성이 있는 만큼 철저한 진상 조사가 필요하다”라고 했다.
유출된 개인 정보를 활용한 보이스피싱, 스미싱 등 2차 피해도 우려된다. 한 경찰 관계자는 “북한의 해킹으로 인한 2차 피해가 이미 이뤄지고 있을 수도 있다”고 했다. 경찰은 피해를 막기 위해 유출된 파일 5171개를 지난 8일 대법원 법원행정처에 제공하고 유출 피해자들에게 통지하도록 했다. 법원행정처는 11일 홈페이지에 개인 정보가 유출됐다는 내용의 안내문을 올리면서 “명의 도용, 보이스피싱 등 혹시 모를 2차 피해 방지를 위해 주의를 기울여 달라”고 밝혔다. 하지만 확인된 유출 문서가 개인 회생과 관련돼, 피해자 특정에 어려움이 있다고 한다. 피해 당사자에게 개인 정보 유출 사실을 직접 통지하기까진 시간이 걸릴 전망이다.
법원에서 해킹 신고를 접수한 개인정보보호위원회는 조사에 나섰다. 위원회는 관련 법에 따라 법원의 전산망 운용이 부실했는지를 파악할 예정이다. 라자루스는 법원의 허술한 전산망 관리를 노리고 해킹을 한 것으로 추정된다. 대법원 전산망 관리자 계정 일부 비밀번호가 수년째 ‘123qwe’와 같은 단순 배열이었다고 한다. 위원회는 또 법원의 사후 조치에 문제가 없었는지도 조사해 과태료나 과징금 부과 등 행정처분 여부를 결정할 계획이다.