[단독]법원, 26억장 분량 정보 北에 털려… 내용 파악된건 0.5%뿐

北 정찰총국 산하 ‘라자루스’ 해킹

아마존 등 해외서버로 자료 빼돌려

채무 등 개인 민감정보 다수 유출

북한 정찰총국 산하 해킹 조직 ‘라자루스’가 법원 전산망에서 빼간 개인정보 등 자료가 A4용지 26억 장에 해당하는 1TB(테라바이트)가 넘는 것으로 드러났다. 유출 자료 중 0.5%만 내용을 파악했는데, 금융정보와 의료 진단서 등 민감 정보가 다수 포함돼 있었다. 파악되지 않은 나머지 99.5%에 산업기술이나 탈북민의 개인정보 등이 포함됐을 가능성도 있어 대규모 피해가 우려된다.

12일 경찰청 국가수사본부는 라자루스가 2021년 6월부터 지난해 1월까지 법원행정처 전산망에 악성코드를 심어 외부로 빼돌린 자료가 총 1014GB(기가바이트)로 확인됐다고 밝혔다. 이는 A4 용지(2000자 기준) 약 26억2100만 장에 해당하는 분량이다. 초반엔 빼돌린 자료들은 국내 서버 4대를 거쳐 전송했지만, 나중에는 미국 아마존이 운영하는 클라우드 서버 등 해외 서버 4개로 직접 전송한 것으로 드러났다.

경찰이 그중 0.5%에 해당하는 4.7GB의 내용을 파악한 결과 주민등록번호와 진단서, 자필 진술서, 채무 자료, 혼인관계증명서 등 개인정보가 포함된 개인회생 관련 자료 등 5171개의 문서가 유출된 것으로 확인됐다. 올 3월 대법원은 자료 유출을 사과하며 “개인정보가 담긴 PDF 파일도 26건 유출됐다”고 했는데, 그 규모가 최소 200배 넘게 늘어난 셈이다.

문제는 유출 자료 중 복원되지 않은 약 1009GB는 무슨 내용인지 확인도 어렵다는 점이다. 법원행정처가 지난해 2월 악성 프로그램을 탐지하고도 같은 해 12월에야 경찰과 국가정보원 등에 조사를 맡기는 바람에 유출 기록 등이 기간 만료로 삭제된 탓이다. 특허법원이 보관하는 산업·방산기술이나 형사소송에 증거로 제출된 성폭력 피해자의 신상 등이 유출됐을 가능성도 배제할 수 없는 셈이다. 경찰은 2차 피해를 막기 위해 이달 9일 유출이 확인된 파일 5171건을 법원행정처에 제공하고 피해자에게 통지하도록 권고했다.

해킹된 법원 자료에 대출-금융정보… “보이스피싱 타깃 위험”


北에 뚫린 법원 전산망
악성코드 탐지 10개월뒤 수사 의뢰
기록 지워져 자료내용 파악 안돼… 혼인관계 증명서-진단서 등 포함
“대포통장-대포폰 개설 등 속수무책… 탈북민 정보 유출땐 北보복 우려도”


‘자필 진술서, 채무증대 및 지급불능 경위서, 혼인관계증명서, 진단서 등.’

북한 정찰총국 산하 해킹조직 ‘라자루스’가 19개월간 법원행정처 전산망에서 빼돌린 자료 가운데 약 0.5%를 복원한 결과 이 같은 자료들이 포함된 것으로 나타났다. 이 자체로도 많은 민감정보를 담고 있어서 전화금융사기(보이스피싱)나 대포통장 개설 등에 악용될 우려가 크다. 그런데 유출된 나머지 99.5%는 앞으로도 복원이 어려워 2차 피해 예방까지 어려운 상태다. 시일이 지나면서 전송 기록이 거의 다 지워졌기 때문이다. 법원이 2년 넘게 악성 프로그램 감염을 눈치채지 못하다가 수사 의뢰까지 미루면서 피해를 키웠다는 지적이 나온다.

● 北, ‘아마존 직송’으로 자료 빼내

경찰청 국가수사본부에 따르면 라자루스가 법원행정처 전산망에 침입해 악성코드를 심은 건 2021년 1월 17일 이전이다. 시일이 많이 지나 보안장비의 상세한 기록이 삭제된 탓에 악성코드를 정확히 언제, 어떻게 심었는지는 밝힐 수 없었다.

라자루스는 2021년 6월 29일부터 법원 밖에 있는 국내 서버 4개로 자료를 빼내기 시작했다. 3개는 일반 기업이 운영하는 서버였는데, 이들도 라자루스가 심은 악성 프로그램에 당했다. 나머지 1개는 북한 측이 직접 빌린 서버였다. 같은 해 11월 9일까지 4개월여간 이렇게 빼돌린 자료가 672GB였다.

2022년 4월 19일부턴 라자루스의 수법이 더 과감해졌다. 국내 서버가 아닌 미국 아마존웹서비스(AWS)의 클라우드 서버 등 해외로 곧장 자료를 빼내기 시작한 것. 라자루스는 한국 사법부가 1년 넘게 악성 프로그램을 감지해 내지 못하자 대응이 허술하다는 걸 확신하고 방식을 바꾼 것으로 보인다. 이렇게 342GB가 추가로 유출됐다.

법원은 지난해 2월 9일 악성 프로그램을 탐지하고 라자루스의 접속을 차단했지만, 지난해 12월에야 경찰 등에 수사를 의뢰했다. 경찰이 아마존 등 해외 서버 운영 업체와 국내 서버 업체에 어떤 자료가 오갔는지 확인을 요청했을 땐 이미 기록이 지워진 상태였다. 한 보안업체 관계자는 “법원이 더 일찍 악성코드를 탐지했거나, 탐지하고 나서 바로 수사 의뢰만 했어도 더 많은 자료를 복원할 수 있었을 것”이라고 말했다.

● “유출 자료, 중국이나 심부름 업체에 팔리면 큰 피해”

경찰이 복원한 유출 자료는 4.7GB로, 전부 개인회생과 관련된 문서였다. 전문가들은 확인된 자료만으로도 심각한 금융사기 등 피해가 우려된다고 지적했다. 유출된 자료에 포함된 주민등록번호와 계좌 정보 등을 조합하면 대포통장이나 대포폰 등을 개설할 수 있기 때문이다. 김용현 동국대 북한학과 교수는 “중국이나 동남아시아의 보이스피싱 조직에 구체적인 채무 정보가 넘어가면 범죄의 먹잇감이 되고, 피해자는 속수무책으로 당할 수 있다”고 했다.

더 큰 문제는 복원에 실패한 나머지 약 1009GB에 무슨 파일이 들어있는지 앞으로도 확인이 어렵다는 점이다. 법원행정처 전산망은 전국 법원의 자료를 전부 포괄하므로, 특허 소송에 증거로 제출된 첨단기술의 설계서나 계약서, 방산 업체의 내부 자료도 북한의 손에 들어갔을 가능성이 있다. 피해자에 대한 2차 가해를 예방하기 위해 재판을 비공개로 진행하는 성폭력이나 가정폭력 사건의 경우 문제가 더 심각하다. 피해자의 신상이 심부름센터 등에 팔리면 보복범죄에 악용될 수 있다. 탈북민의 탈북 전 실명 등 개인정보는 북한 측의 직접 보복에 악용될 우려까지 있다.

전문가들은 정부 기관의 취약한 전산망 보안 수준이 드러난 것이라고 입을 모았다. 김승주 고려대 정보보호대학원 교수는 “민간에서는 정보 보호를 총괄하고 책임지는 최고정보보호책임자(CISO)를 임원급으로 두고 확실한 책임과 권한을 준다”면서 “정부나 공공기관에는 CISO를 두지 않아 정보 보호에 소홀할 수 있다”고 지적했다.

이상환 기자 payback@donga.com
장은지 기자 jej@donga.com
임재혁 기자 heok@donga.com

ⓒ 동아일보 & donga.com, 무단 전재 및 재배포 금지