북한 해커조직 ‘라자루스’의 해킹으로 재판 기록 자료가 유출된 사실이 드러나자 법원이 뒤늦게 대형 보안 업체에 재발 방지를 위한 점검을 맡기고 예방 컨설팅을 받았다. 보안 업체가 법원 서버와 PC를 조사해 작성한 보고서에는 북한의 해킹 시도가 조직적∙단계적으로 치밀하게 이뤄진 정황이 담겨 있었다.
본지가 31일 박지원 더불어민주당 의원실을 통해 입수한 SK쉴더스의 ‘대법원 침해사고 조사 최종 보고’에 따르면, 2021~2023년 북한 라자루스의 법원 전산망 해킹은 크게 네 단계에 걸쳐 진행된 것으로 추정된다. 첫 번째는 법원행정처 내부로의 ‘침투’다. 북한 해커들은 미국과 한국 아이피(IP) 11개를 활용해 법원 PC로 접근했다. 특정 웹사이트에 접속하면 악성 코드가 심어지는 이른바 ‘워터링 홀(watering hole)’ 수법과, 악성 코드가 첨부된 문서를 일반 문서로 위장해 ‘피싱 메일’로 담아 보내는 방식 등을 활용해 PC를 감염시켰을 가능성이 있다고 한다.
다만 북한이 최초로 침투한 단말기(端末機)나 시점 등은 확인되지 않는다고 SK쉴더스 측은 밝혔다. 앞서 경찰청 국가수사본부와 국가정보원, 검찰청의 합동 조사에서도 최초 침입 시점은 확인되지 않았다.
북한 해커들은 두 번째 단계로 법원 내부 서버에 ‘거점’을 만들었다. 해커들은 공격 명령과 제어를 가능하게 하는 ‘C2 서버’를 2021년 3월 이전 구축한 것으로 조사됐다. 이를 통해 각종 계정 및 네트워크 정보를 수집한 것으로 추정된다. 세 번째로, 해커들은 거점을 바탕으로 법원 내부 곳곳을 파고들어 악성코드를 심었다. 이들이 특정 지방법원 파일 서버에 백도어(해킹 프로그램)를 생성하거나, PC에 악성코드를 심은 흔적이 확인됐다.
마지막으로 북한 해커들은 이렇게 장악한 법원 전산망과 PC를 통해 2년 넘게 각종 자료를 빼돌렸다. 내부 서버에서 외부망 PC로 최소 369기가바이트(GB)의 데이터가 유출된 사실이 확인됐다. 또 서버나 업무용 PC에서 약 53.5GB 파일을 직접 다운로드한 것으로 나타났다. SK쉴더스는 “C2 서버와의 통신 기간과 악성 행위의 타임라인에 비춰봤을 때, 이전 시점에도 침해가 있었을 것으로 판단된다”고 밝혔다. 경찰이 지난 5월 발표한 총 해킹 피해 규모는 1014GB였다.
SK쉴더스는 해킹 재발 방지를 위해 단기적으로는 법원이 사용하는 패스워드 복잡도를 높이고, 행위 기반 탐지(EDR) 설루션을 도입하는 등의 조치를 취해야 한다고 권고했다. 또 법원 서버의 방화벽 정책을 강화하고 최신 윈도우 운영체제(OS)로 업그레이드해야 한다고 제안했다.
이번 법원 전산망 조사는 올해 2월 중순부터 약 한 달간 진행됐다. 올해 5월 나온 정부 합동 조사 결과와는 별도로 법원이 자체적인 차원에서 진행한 것으로 알려졌다. 법원행정처 관계자는 “점검 이후 중요 서버의 경우 특정 IP만 접근할 수 있게 조치하고 서버 패스워드를 변경하는 등 암호 정책을 강화하고 있다”면서 “정보 보안 투자 차원에서 EDR 설루션 도입 등을 검토하고 있다”고 말했다.
박지원 의원은 “대통령실을 비롯한 여러 정부 부서에서 해킹∙도청 의혹이 불거진 상황에서 북한에 의한 법원 전산망 해킹은 예견된 참사였다”며 “소 잃고 외양간 고치는 심정으로라도 철저히 정부의 보안 시스템과 의식을 점검해야 할 것”이라고 지적했다.