[일요시사 취재1팀] 최윤성 기자 = 북한 해커 집단에 의해 사법부 전산망이 해킹되면서 국민의 내밀한 소송서류가 유출된 것으로 밝혀졌다. 문제는 유출된 자료 상당수 이상이 무슨 내용인지 확인조차 안 되고 있다는 점이다. 이번 해킹 사건 같은 경우 정보 탈취가 가장 큰 목적으로 보인다. 이에 대법원의 늑장 대응이 피해를 키웠다는 비판이 나오고 있다.
북한 정찰총국 산하 해킹 조직인 '라자루스'가 법원 전산망에 침투해 2년여간 개인정보가 담긴 1014GB 규모의 자료를 빼낸 사실이 뒤늦게 확인됐다. 법원의 부실 대응 여파로 서버 자료 대부분이 삭제돼 대다수 피해자는 어떤 정보가 유출됐는지 알 수 없게 됐다.
날카로운 침투
문제는 유출된 자료의 99.5%가 무슨 내용인지 확인조차 안 된다는 것이다. 전체의 0.5% 정도만 피해 내역을 확인한 셈이다. 유출된 자료 가운데 내용이 구체적으로 확인된 건 4.7GB 분량의 파일 5171개다. 법원 전산망에는 일반 시민은 물론 국내외 기업과 수사기관, 정부 부처, 금융당국 등이 제출한 파일로 유출 시 악용될 우려가 있는 정보들이 모여 있다.
일부 확인된 자료에는 주민등록번호, 계좌번호가 나와 있는 채무증대 및 지급불능 경위서, 혼인관계증명서 같은 민감한 정보까지 포함된 것으로 알려졌다. 보이스피싱이나 신용카드 복제, 휴대전화 개통 등에 악용돼 2차 피해가 발생할 수 있어 위험성이 크다는 지적도 나온다.
국가수사본부(이하 국수본)는 법원 전산망을 해킹한 배후가 북한 해킹 조직인 라자루스라고 결론을 내렸다. 이번 범행에 쓰인 악성 프로그램의 유형이나 서버 임대료를 결제한 암호화폐, 악성 프로그램의 명령 제어 서버, IP 주소 등이 라자루스가 과거 사용한 수법과 일치하는 모습을 보였다.
라자루스는 지난 2007년 창설된 것으로 파악된다. 북한 대남 공작의 총사령부인 정찰총국과 연계된 해커 조직으로 ‘김수키’ ‘안다리엘’과 함께 북한의 3대 해킹 조직으로 불린다. 국가를 가리지 않고 공공 기관과 은행 등을 노리면서 기밀 정보를 훔치고 가상자산을 탈취해 수익을 얻고 있다.
라자루스는 지난 2014년 미국 영화제작사 소니 픽처스를 공격해 본격적으로 이름을 알리기 시작했다. 북한과 김정은을 풍자한 영화 <인터뷰>의 제작 계획을 발표한 소니 픽처스는 알려지지 않은 해커 집단으로부터 공격을 받아 간부들의 연봉, 기밀 이메일, 미개봉 영화 등이 온라인에 공개됐다.
당시 소니 픽처스를 공격한 해커 집단의 정체는 밝혀지지 않았지만 지난 2018년 미 법무부가 북한 해커 박진혁을 해당 범죄로 기소하면서 사실상 라자루스의 소행임이 밝혀졌다.
무슨 내용인지 확인조차 못해
유출 개인정보 2차 피해 우려
이후 2년 뒤에는 방글라데시 중앙은행을 공격했다. 라자루스는 방글라데시와 미국 뉴욕의 시차를 이용해 중앙은행의 휴무날인 금요일을 노렸다. 라자루스는 방글라데시 중앙은행을 사칭하면서 미 뉴욕 연방준비은행에 접근했다. 방글라데시 미국 달러 계좌에 들어 있는 보유액 전체인 10억달러 중 8100만달러를 훔치는 데 성공했다.
또 지난 2017년 워너크라이 랜섬웨어를 이용한 영국 국민보건서비스(NHS) 공격을 시작으로 가상자산 해킹을 본격화했다. NHS 산하 40여개 병원의 환자 기록에 암호화된 파일을 걸고 이를 푸는 대가로 암호화폐 비트코인을 지불하라는 식의 요구를 했다.
같은 해 NHS 공격을 기점으로 라자루스는 가상자산 거래소, 디파이(탈중앙화거래소), 플레이투언(P2E) 프로젝트 등을 가리지 않고 가상자산 탈취에 나서고 있다.
지난달에는 라자루스 등 북한 해킹 부대가 국내 방산업체 기술을 탈취하기 위해 전방위로 공격한 정황이 경찰에 포착되기도 했다. 우리 정부는 라자루스를 지난해 2월 사이버 분야 대북 독자제재 대상으로 지정한 바 있다.
지난 11일 법원행정처는 ‘사법부 전산망 침해에 의한 개인정보 유출 추가 안내’라는 공지를 올리고 “유출된 법원 자료에는 상당한 양의 개인정보가 있는 것으로 추정되나 구체적인 개인정보 내역과 연락처 등을 즉시 전부 파악할 수 없다”고 밝혔다.
국수본에 따르면 라자루스가 법원행정처 전산망에 침입해 악성코드를 심은 건 지난 2021년 1월17일 이전이다.
시일이 많이 지나 보안장비의 상세한 기록이 삭제된 탓에 악성코드를 정확히 언제, 어떻게 심었는지는 밝힐 수 없었다.
라자루스는 지난 2021년 6월29일부터 법원 밖에 있는 국내 서버 4개로 자료를 빼내기 시작했다. 3개는 일반 기업이 운영하는 서버였는데 이들도 라자루스가 심은 악성 프로그램에 당했다. 나머지 1개는 북한 측이 직접 빌린 서버였다. 같은 해 11월 9일까지 4개월여간 이렇게 빼돌린 자료가 672GB였다.
사이버 분야 대북 독자제재 지정
“이제야?”늑장 대응 미흡한 대처
지난 2022년 4월19일부턴 라자루스의 수법이 더 과감해졌다. 국내 서버가 아닌 미국 아마존이 운영하는 클라우드 서버 등 해외 서버 4개로 자료를 빼내기 시작했다. 라자루스는 사법부가 1년 넘게 악성 프로그램을 감지해 내지 못하자 대응이 허술하다는 걸 확신하고 방식을 바꾼 것으로 보인다. 이렇게 342GB가 추가로 유출됐다.
이 기간에 총 1014GB의 법원 자료가 8대의 서버(국내 4대·해외 4대)를 통해 법원 전산망 외부로 전송됐다. 이번 사태로 대법원의 늑장 대응이 피해를 키웠다는 비판이 나오고 있다. 대법원은 지난해 2월 악성코드를 탐지해 차단했음에도 자체 포렌식 능력이 없어 실제 정보가 유출됐는지조차 알 수 없었던 것으로 전해졌다.
다만 북한 소행으로 의심된다는 외부 보안업체 분석 결과가 있어 국가정보원(이하 국정원)에 기술 지원을 요청했다. 그러나 비슷한 시기 선거관리위원회 해킹 사고 등이 터지면서 국정원의 지원을 받는 데도 한계가 있었던 것으로 알려졌다.
대법원은 구체적인 유출 사실을 특정하지 못한 상황서 대외적으로 알리거나 신고하는 등 후속 절차를 밟지도 않은 채 시간을 흘려보냈다.
이후 지난해 11월 언론 보도로 유출 사실이 알려지면서 대법원은 뒤늦게 개인정보보호위원회에 신고하고 국정원과 공식 조사에 들어갔다. 좀 더 일찍 수사가 이뤄졌다면 더 많은 유출 자료 파악이 가능했을 것이란 지적이 제기되고 있다.
또 해킹당한 전산망 관리자의 계정 비밀번호가 허술하다는 점을 지적했다. ‘P@sswOrd’ ‘123qwe’ 등 짧고 쉬운 문자 배열로 구성돼있었고 6년간 한번도 바꾸지 않은 것으로 조사됐다.
무너진 모래성
법원행정처는 “유출된 개인정보를 이용한 명의도용, 보이스피싱, 스팸메일 전송 등 혹시 모를 2차 피해 방지를 위해 출처가 불분명한 이메일, 문자, 전화 수신 시 각별히 주의를 기울여 달라”며 “지속적으로 전산망 취약점 제거와 보안 강화에 만전을 기해 유사한 사례가 발생하지 않도록 최선의 노력을 다하겠다”고 부연했다.
추후 개별 문건들을 분석해 구체적인 개인정보 유출 항목이 확인되면 법령에 따른 통지, 게시 등의 조치를 신속히 할 예정이라고 대법원은 전했다.
<yuncastle@ilyosisa.co.kr>