[단독]法-檢-警, 해킹에 또 뚫렸다… 경찰 내부망 캡처해 공개도

해커 “우선 40명 올리고 추후 공개”

고위 법관-경찰 등 계정, 비번 올려

“北이 남한보다 낫다” 北소행 암시도

전문가 “공기관 해킹대응 입법 시급”

경찰이 법원과 검찰청, 경찰청 소속 직원 수십 명의 내부망 계정 및 비밀번호로 추정되는 정보가 온라인에 공개된 사건에 대해 내사에 착수한 것으로 19일 확인됐다. 개인정보 유출 피해자 명단에는 최근 대법관 후보 55명에 들어갔던 고위 법관도 포함돼 있는 것으로 파악됐다. 해당 정보를 온라인에 공개한 인물은 자신을 ‘워페어(Warfare·전쟁)’라는 이름으로 소개하며 해킹을 통해 이 같은 정보를 얻었다고 주장했다. 그는 “기억하라, 북한이 남한보다 낫다”는 글도 남겨 이번 해킹이 북한의 소행일 가능성을 암시했다. 하지만 해당 인물은 과거 북한 선전매체 ‘우리민족끼리’ 계정을 해킹한 적도 있어 중국 등 다른 국가 해커의 범행일 가능성도 배제할 수 없다.

● 해커 “북한이 남한보다 낫다”

19일 동아일보 취재를 종합하면 워페어는 올 3월 24일경 해커들이 주로 이용하는 사이트에 “경찰청·검찰청·법원 관련 신선한 정보를 입수했다”며 경찰관 23명, 법관 등 법원 관계자 8명, 수사관 등 검찰 관계자 8명 등 총 39명의 신상정보를 올렸다. 현재까지 정보가 유출된 검사는 없는 것으로 파악됐다. 해커는 명단을 공개하며 “재미로 약 40명만 공개하고 96명의 명단은 나중에 공개하겠다”고 했다.

공개된 명단에 포함된 법원, 검찰, 경찰 관계자 전원에게 연락해 확인해 보니 모두 실존하는 인물이었고, 이들 중 절반 이상이 취재에 응해 “실제 사용했던 계정과 비밀번호가 맞다”고 답했다. 해킹 피해를 당한 이들은 수도권 고법 부장판사나 지방경찰청 대테러 부서 소속 경감 등 지역과 소속이 제각각이었고, 연령대 역시 1940∼1990년생으로 범위가 넓었다. 정보가 공개된 한 경찰관은 “아직도 같은 비밀번호를 사용하고 있다”며 “피해 사실을 몰랐는데 너무 당황스럽다”고 했다.

워페어는 ‘해킹에 성공했다는 증거’라며 각종 자료를 공개했다. 올 2월 28, 29일경 서울경찰청이 작성한 ‘2024 상반기 물리력 대응훈련 일정’ 등 파일 목록이 담긴 경찰 내부망 캡처 화면, 경찰 전용 메신저 설치 파일을 제시했다. 한 지방법원 직원의 계정으로 들어가 ‘받은메일함’을 캡처한 화면을 올리기도 했다. 워페어는 4월 삼성그룹 계열사 등 직원 49명과 현대그룹 계열사 등 직원 18명의 계정과 비밀번호로 추정되는 정보를 추가로 공개했다. 뒤이어 국내 주요 법원 판사, 직원들의 e메일 주소 357건도 공개했다.

해커가 작성한 게시글은 19일 오후 현재 조회 수가 700여 건에 달했고 “나머지 명단을 모두 보내 달라”는 익명의 외국어 댓글 등이 달려 있는 점에 비춰 볼 때 추가로 확산됐을 가능성도 배제하기 어려운 상황이다. 경찰청 사이버테러수사대 관계자는 “지난달 중순경 입건 전 조사에 착수했다”고 했다.

● 올해만 공공기관 50곳 정보 유출… 역대 최다

북한 정찰총국 산하 해킹조직 ‘라자루스’의 사법부 전산망 해킹에 이어 또다시 정부 주요 기관의 개인정보 유출 사태가 발생하자 민감한 정보를 다량으로 취급하는 기관의 정보보호 역량을 강화해야 한다는 지적이 나온다.

18일 더불어민주당 양부남 의원이 개인정보보호위원회로부터 제출받은 자료에 따르면 올 1∼5월 개인정보 유출과 관련해 신고한 공공기관은 50곳으로 집계됐다. 개인정보가 유출된 공공기관은 2019년 8곳에서 2023년 41곳으로 매년 늘었는데 올해는 이미 역대 최고치를 넘어섰다.

이처럼 해킹 공격은 민관군을 가리지 않고 전방위적으로 이뤄지고 있다. 개인정보위는 북한의 해킹 공격으로 1TB(테라바이트) 분량의 정보가 유출된 사건에 대해 지난해 말부터 조사를 진행 중이다. 지난달 국방부 고위 공무원과 장성 등 100여 명의 개인 e메일이 해킹당한 사건 역시 북한 정찰총국 산하 해킹조직 중 한 곳의 소행일 것으로 분석됐다.

임종인 고려대 정보보호대학원 석좌교수는 “법원과 같은 헌법기관은 사실상 자율적으로 대응해야 하는 상황에 놓여 있다 보니 정부기관들이 개별적으로 해킹에 대응하는 것은 불가능하다”며 “기관별 독립성을 훼손하지 않으면서 서로 안보협력이 가능하게끔 국회에서 관련 입법이 시급한 상황”이라고 말했다. 앞서 국회와 법원, 선거관리위원회 등 주요 정부기관의 정보보호 책임과 권한을 강화한 ‘사이버안보 기본법안’은 지난 21대 국회에서 발의됐지만 결국 본회의 문턱을 넘지 못한 채 임기 만료로 폐기됐다.

주현우 기자 woojoo@donga.com
송유근 기자 big@donga.com
이수연 기자 lotus@donga.com

ⓒ 동아일보 & donga.com, 무단 전재 및 재배포 금지