북한 해킹으로 개인정보 대량 유출… 법원행정처, 역대 최대 과징금 부과

[이코노믹데일리] 법원행정처가 북한 해커 조직의 사이버 공격으로 인해 대규모 개인정보 유출 사고를 겪고 개인정보보호법 위반으로 역대 공공기관 중 최고액의 과징금을 부과받게 되었다.

개인정보보호위원회는 지난 8일 전체회의를 통해 법원행정처에 2억 700만 원의 과징금과 600만 원의 과태료를 부과하기로 의결했다고 9일 발표했다.

경찰과 정보 당국의 조사에 따르면 이번 해킹은 북한 정찰총국 산하 해커 조직인 ‘라자루스’의 소행으로 밝혀졌다. 라자루스는 약 2년 동안(2021년 1월 7일 ~ 2023년 2월 9일) 법원 전산망을 해킹하여 1014GB에 달하는 법원 자료를 외부 서버로 빼돌린 것으로 드러났다.

개인정보위의 조사 결과 법원행정처는 이용 편의를 위해 내부망과 외부망 간의 접속을 가능하게 하는 포트를 개방하여 운영한 것으로 확인되었다. 이러한 운영 방식은 해커의 침입 경로를 제공하는 결과를 초래했다. 

해커는 개방된 포트를 통해 내부망의 전자소송 서버에 침입하여 저장된 데이터를 유출했다. 유출된 데이터에는 자필 진술서, 혼인관계증명서, 진단서 등 민감한 개인정보가 포함된 소송 관련 문서들이 다수 포함되어 있었다.

경찰 수사 결과 복구된 4.7GB의 데이터를 분석한 결과 1만 7998명의 주민등록번호를 포함한 개인정보가 확인되었다. 이는 유출된 전체 데이터의 극히 일부분에 불과하여 실제 유출 규모는 훨씬 더 클 것으로 추정된다. 
  강대현 개인정보위 조사총괄과장은 “0.46%만 복원이 가능했는데 평균적으로 하면 250배 정도 이상의 유출이 있었을 가능성도 배제할 수 없다”고 고 언급하며 실제 피해 규모가 훨씬 클 수 있다는 점을 지적했다.

법원행정처는 소송 관련 문서를 전자소송 서버에 저장하면서 주민등록번호가 포함된 문서를 암호화하지 않았으며 인터넷AD서버 및 인터넷가상화PC 취급자 계정의 비밀번호를 초기 비밀번호 그대로 사용하는 등 기본적인 보안 조치조차 제대로 이행하지 않은 것으로 드러났다. 또한 2023년 2월 악성 파일 탐지 및 침해 사고 자체 조사를 통해 개인정보 유출 정황을 인지했음에도 불구하고 같은 해 12월에야 개인정보 유출 신고 및 홈페이지 안내문 게시를 하는 등 늑장 대응을 보였다.

이번 과징금 부과는 개인정보보호법 개정 이전에 발생한 사건에 대한 것으로 개정 전 법률을 적용한 공공기관 사례 중 가장 높은 금액이다. 

강 과장은 “개정법을 적용한 지난 9월 한국사회복지협의회에 부과한 과징금 4억 8000만 원이 최대”라면서도 “법원행정처는 개정 전 사건이기에 구법을 적용해서는 법원행정처가 가장 높은 과징금을 부과받게 된다”고 설명했다.

이번 사건은 공공기관의 허술한 개인정보 관리 실태를 여실히 드러내는 사례로 향후 유사 사고 방지를 위한 철저한 보안 강화 대책 마련이 시급하다는 지적이다.