뉴스 > 국방·군사
北 법원전산망 해킹… 외부망 ‘임시보관자료’만 털었다
2년간 1014GB 빼가… 어떤 자료인지 실질적 피해 확인 못 해
서버 8대 중 1대만 복원… 7대는 저장기간 끝나 흔적 안 남아
전문가 “핵심정보는 내부망 보관해 안전… 예방에 힘써야”
장혜원 기자 기자페이지 + 입력 2024-05-12 17:32:03
▲ 북한 해킹조직 '라자루스'로 추정되는 집단이 국내 사법부 전산망에 침투한 사건 관련, 최소 5171개의 문서가 외부로 유출된 사실이 12일 정부합동수사결과 밝혀졌다. 디자인=장혜원 기자
 
북한 정찰총국 산하 해커 조직으로 알려진 라자루스(Lazarus)’ 추정 집단이 국내 법원 전산망에 침투해 2년 넘게 개인정보 등이 포함된 총 1014GB(기가바이트) 규모 자료를 빼낸 사실이 정부 합동 조사 결과 12일 밝혀졌다. 법원 전산망은 해킹에 대비해 철저한 망분리 업무정책을 이어왔으며 핵심 자료의 경우 망 연계 기술보안 정책을 유지해 온 만큼 외부 서버에서 기술이 삭제됐더라도 법원 전산망에는 그대로 남아 있을 것이라는 전문가 분석이 나왔다.
 
이날 이진 사이버안보연구소장은 본지와 통화에서 탈취 가능성이 있는 서버에 해당 정보를 담았는지 등에 따라 책임 여부를 따지고, 악성코드가 장시간 탐지되지 않은 경위를 확인하는 등 예방에 초점을 맞추어 같은 범행이 이루어지지 않게끔 하는 게 더 중요하다고 밝혔다.
 
망 분리(Network Separation)’ 기술을 소개한 이 소장은 “100% 안전한 정보는 사이버상에 있을 수 없고, 이 때문에 공공기관에서는 핵심정보는 내부망에 보관하고 있기 때문에 안전하다고 설명했다. 이 소장에 따르면 공공기관에서 상당 부분 망 분리정보화가 이루어지며 핵심 정보는 해커로부터 안전한 내부망에 보관되어 있다. 이번 사건으로 빠져나간 정보도 외부 서버에 임시 저장된 것이 삭제된 것으로 외부 서버와 법원 전산망은 별개의 것이다.
 
앞서 전자소송 확대 추세로 법원은 2010년 초·중반부터 카드사와 통신사의 개인정보 유출 사태에 따른 재판 관련 전산 자료 보호를 위해 내부망 서버 구축을 지속해서 이어왔다. 전산정보센터 등에 따르면 2014년 서울중앙지법 외 6개 법원을 시작으로 법원 업무망과 인터넷에 대한 망분리 정책을 추진해 왔다. 외부 악의적인 해킹을 방지하는 등 보안성을 확보를 위해 노력해 왔다.
 
이 소장은 이번에 빠져나간 정보는 대법원 내부망이 아닌, ‘외부망에 임시 보관 돼 있던 것으로 이것이 북한 해킹그룹이 운영하는 복수의 임대 서버의 공격을 받아 탈취된 것으로 분석했다. ‘기술 탈취의 정도보다 책임 소재 부분에 더 집중을 하자고 주장한 이 소장은 법원 외부망 정보들이 북한이 심은 악성코드를 제대로 읽지 못해 백신의 취약점이 나타났으며 백신의 업데이트가 제대로 이루어졌는지, 악성코드를 왜 못 읽었는지 등에 따라 책임 여부를 따지고, ‘예방에 초점을 맞춰야 할 것이라고 밝혔다.
 
▲ 2021년 1월 7일 이전부터 법원 전산망에 침입이 확인된 법원 행정처 공격 탈취에 대한 당시 보안 장비의 상세한 기록은 이미 삭제됐다. 이에 최초 침입 시점과 원인은 밝혀지지 않았다. 경찰청 제공
 
관련해 전날 정부 합동 조사·수사 결과가 공개됐는데 경찰청 국가수사본부(국수본)은 북한 해킹조직 라자루스로 추정되는 집단이 202117일부터 202329일까지 법원 전산망에 침입해 자료를 빼냈다고 밝혔다. 경찰청·국가정보원·검찰청은 이번 범행 사용 악성 프로그램, 서버 결제내역(가상자산)IP 주소 등을 기존 북한발로 규명된 해킹 사건과 종합적으로 비교·분석했다. 그 결과 특정한 패턴을 분석해 라자루스의 소행으로 확인했다.
 
수사 결과 북한이 어떤 자료를 빼냈는지도 4.7GB, 전체의 0.5%밖에 확인되지 않은 상황이다. 실질적 피해 규모는 사실상 추정이 불가능한 상황이다. 수사당국은 법원 자료가 8대의 서버(국내 4·해외 4)를 통해 법원 전산망 외부로 전송된 것을 확인했는데, 이 중 1대의 국내 서버에 남아 있던 기록만 복원할 수 있었다. 나머지 7대 서버는 자료 저장 기간이 만료돼 흔적이 남아 있지 않았으며 유출이 확인된 자료 5171개이다. 자필진술서·채무증대 및 지급불능 경위서·혼인관계증명서·진단서 등으로 주민등록번호·금융정보 등 민감한 개인정보가 다수 포함된 것으로 전해졌다.
 
국수본 관계자는 악성 프로그램 설치 날짜 중 가장 오래전으로 확인된 게 202117이라며 공격자는 이 시점 이전부터 법원 전산망에 침입해 있었을 테지만 당시 보안장비의 상세한 기록이 이미 삭제돼 최초 침입 시점과 원인은 밝힐 수 없었다고 밝혔다. 다량의 통신으로 데이터가 빠져나간 것은 사실이지만 내용은 확인할 수 없다는 의미로 해석됐다.
 
▲ 해커들은 악성 프로그램이 백신에 탐지돼 발각될 때까지 2년간에 걸쳐 국내 서버 4대와 해외 서버 4대로 모두 1014GB 분량의 자료를 전송했다. 유출이 확인된 자료 4.7GB는 모두 법원의 개인회생과 관련된 문서 5171개로 개인정보가 포함된 자필진술서 등이다. 경찰청 제공.
 
앞서 법원 내부망에서 백신이 악성코드를 감지해 차단한 시점은 지난해 29일로 대법원이 자체 대응했으나 자체 포렌식 능력은 없어 실제 정보가 유출됐는지조차 알 수 없었던 것으로 전해졌다. 경찰 수사는 언론 보도로 해킹 사건이 처음 알려진 지난해 125일에서야 시작됐다. 이를 두고 일각에서는 법원행정처는 외부 해킹 피해를 파악하고도 1년 가까이 해당 사실을 숨겨왔다며 은폐’ 의혹을 제기하기도 했다.
 
이 소장은 악성코드가 처음 발견됐을 시점은 내부망 악성코드공격이 감지된 지난해 초로 내부망의 경우 망이 분리가 돼 있고 이의 연계를 위한 모든 정보의 출입 기록을 공증할 만큼 안전하다면서도 수사당국이 수사한 삭제된 유출 정보 또한 임시서버에 삭제된 것으로 법원의 자체 정보 관리에 있어서 출입 기록을 모두 남겨 놓았을 것이라고 제언했다.
이 기사에 대해 어떻게 생각하시나요?
추천해요
0
좋아요
0
감동이에요
0
화나요
0
슬퍼요
0
오늘자 스카이데일리
주요 섹션 기사
주소 : 서울특별시 중구 새문안로 26 청양빌딩 7층 | 전화 : 02-522-6595~6 | 팩스 : 02-522-6597
인터넷신문 등록번호 : 서울시 아01703, 등록일 : 2011년 7월 18일, 발행·편집인: 조정진, 편집국장: 고동석
copyrightⓒ2011, All rights reserved. Contact : skyedaily@skyedaily.com | 청소년보호책임자 : 박선옥