北 법원전산망 해킹… 외부망 ‘임시보관자료’만 털었다

이 시간 주요기사

뉴스 > 국방·군사

2년간 1014GB 빼가… 어떤 자료인지 실질적 피해 확인 못 해
서버 8대 중 1대만 복원… 7대는 저장기간 끝나 흔적 안 남아
전문가 “핵심정보는 내부망 보관해 안전… 예방에 힘써야”

장혜원 기자 기자페이지 + 입력 2024-05-12 17:32:03

▲ 북한 해킹조직 '라자루스'로 추정되는 집단이 국내 사법부 전산망에 침투한 사건 관련, 최소 5171개의 문서가 외부로 유출된 사실이 12일 정부합동수사결과 밝혀졌다. 디자인=장혜원 기자

북한 정찰총국 산하 해커 조직으로 알려진 ‘라자루스(Lazarus)’ 추정 집단이 국내 법원 전산망에 침투해 2년 넘게 개인정보 등이 포함된 총 1014GB(기가바이트) 규모 자료를 빼낸 사실이 정부 합동 조사 결과 12일 밝혀졌다. 법원 전산망은 ‘해킹에 대비’해 철저한 망분리 업무정책을 이어왔으며 핵심 자료의 경우 ‘망 연계 기술’ 보안 정책을 유지해 온 만큼 외부 서버에서 기술이 삭제됐더라도 법원 전산망에는 그대로 남아 있을 것이라는 전문가 분석이 나왔다.

이날 이진 사이버안보연구소장은 본지와 통화에서 탈취 가능성이 있는 서버에 해당 정보를 담았는지 등에 따라 책임 여부를 따지고, 악성코드가 장시간 탐지되지 않은 경위를 확인하는 등 ‘예방’에 초점을 맞추어 같은 범행이 이루어지지 않게끔 하는 게 더 중요하다고 밝혔다.

‘망 분리(Network Separation)’ 기술을 소개한 이 소장은 “100% 안전한 정보는 사이버상에 있을 수 없고, 이 때문에 공공기관에서는 핵심정보는 내부망에 보관하고 있기 때문에 안전하다”고 설명했다. 이 소장에 따르면 공공기관에서 상당 부분 ‘망 분리’ 정보화가 이루어지며 핵심 정보는 해커로부터 안전한 내부망에 보관되어 있다. 이번 사건으로 빠져나간 정보도 ‘외부 서버’에 임시 저장된 것이 삭제된 것으로 ‘외부 서버’와 법원 전산망은 별개의 것이다.

앞서 전자소송 확대 추세로 법원은 2010년 초·중반부터 카드사와 통신사의 개인정보 유출 사태에 따른 재판 관련 전산 자료 보호를 위해 ‘내부망 서버 구축’을 지속해서 이어왔다. 전산정보센터 등에 따르면 2014년 서울중앙지법 외 6개 법원을 시작으로 법원 업무망과 인터넷에 대한 망분리 정책을 추진해 왔다. 외부 악의적인 해킹을 방지하는 등 보안성을 확보를 위해 노력해 왔다.

이 소장은 “이번에 빠져나간 정보는 대법원 내부망이 아닌, ‘외부망’에 임시 보관 돼 있던 것으로 이것이 북한 해킹그룹이 운영하는 복수의 임대 서버의 공격을 받아 탈취된 것”으로 분석했다. ‘기술 탈취의 정도’보다 ‘책임 소재 부분’에 더 집중을 하자고 주장한 이 소장은 “법원 외부망 정보들이 북한이 심은 악성코드를 제대로 읽지 못해 백신의 취약점이 나타났으며 ‘백신’의 업데이트가 제대로 이루어졌는지, 악성코드를 왜 못 읽었는지 등에 따라 책임 여부를 따지고, ‘예방’에 초점을 맞춰야 할 것”이라고 밝혔다.

▲ 2021년 1월 7일 이전부터 법원 전산망에 침입이 확인된 법원 행정처 공격 탈취에 대한 당시 보안 장비의 상세한 기록은 이미 삭제됐다. 이에 최초 침입 시점과 원인은 밝혀지지 않았다. 경찰청 제공

관련해 전날 정부 합동 조사·수사 결과가 공개됐는데 경찰청 국가수사본부(국수본)은 북한 해킹조직 ‘라자루스’로 추정되는 집단이 2021년 1월7일부터 2023년 2월9일까지 법원 전산망에 침입해 자료를 빼냈다고 밝혔다. 경찰청·국가정보원·검찰청은 이번 범행 사용 악성 프로그램, 서버 결제내역(가상자산)과 IP 주소 등을 기존 북한발로 규명된 해킹 사건과 종합적으로 비교·분석했다. 그 결과 특정한 패턴을 분석해 ‘라자루스’의 소행으로 확인했다.

수사 결과 북한이 어떤 자료를 빼냈는지도 4.7GB, 전체의 0.5%밖에 확인되지 않은 상황이다. 실질적 피해 규모는 사실상 추정이 불가능한 상황이다. 수사당국은 법원 자료가 8대의 서버(국내 4대·해외 4대)를 통해 법원 전산망 외부로 전송된 것을 확인했는데, 이 중 1대의 국내 서버에 남아 있던 기록만 복원할 수 있었다. 나머지 7대 서버는 자료 저장 기간이 만료돼 흔적이 남아 있지 않았으며 유출이 확인된 자료 5171개이다. 자필진술서·채무증대 및 지급불능 경위서·혼인관계증명서·진단서 등으로 주민등록번호·금융정보 등 민감한 개인정보가 다수 포함된 것으로 전해졌다.

국수본 관계자는 “악성 프로그램 설치 날짜 중 가장 오래전으로 확인된 게 2021년 1월7일”이라며 “공격자는 이 시점 이전부터 법원 전산망에 침입해 있었을 테지만 당시 보안장비의 상세한 기록이 이미 삭제돼 최초 침입 시점과 원인은 밝힐 수 없었다”고 밝혔다. 다량의 통신으로 데이터가 빠져나간 것은 사실이지만 내용은 확인할 수 없다는 의미로 해석됐다.

▲ 해커들은 악성 프로그램이 백신에 탐지돼 발각될 때까지 2년간에 걸쳐 국내 서버 4대와 해외 서버 4대로 모두 1014GB 분량의 자료를 전송했다. 유출이 확인된 자료 4.7GB는 모두 법원의 개인회생과 관련된 문서 5171개로 개인정보가 포함된 자필진술서 등이다. 경찰청 제공.

앞서 법원 내부망에서 백신이 악성코드를 감지해 차단한 시점은 지난해 2월9일로 대법원이 자체 대응했으나 자체 포렌식 능력은 없어 실제 정보가 유출됐는지조차 알 수 없었던 것으로 전해졌다. 경찰 수사는 언론 보도로 해킹 사건이 처음 알려진 지난해 12월5일에서야 시작됐다. 이를 두고 일각에서는 법원행정처는 외부 해킹 피해를 파악하고도 1년 가까이 해당 사실을 숨겨왔다며 ‘은폐’ 의혹을 제기하기도 했다.

이 소장은 “악성코드가 처음 발견됐을 시점은 내부망 ‘악성코드’ 공격이 감지된 지난해 초로 내부망의 경우 망이 분리가 돼 있고 이의 연계를 위한 모든 정보의 출입 기록을 공증할 만큼 안전하다”면서도 “수사당국이 수사한 삭제된 유출 정보 또한 임시서버에 삭제된 것으로 법원의 자체 정보 관리에 있어서 출입 기록을 모두 남겨 놓았을 것”이라고 제언했다.

장혜원 기자 hyjang@skyedaily.com 기자페이지 +