국내 법원의 내부 전산망에서 2년 이상 1000기가바이트(GB)가 넘는 규모의 자료가 북한의 손에 넘어갔다는 정부 합동 조사·수사 결과가 11일 공개됐다. 사법부 전산망이 뚫린 사상 초유의 사건이지만, 북한의 침입 시점 이후 한참이 지나서야 수사가 시작돼 해킹 경로나 목적, 정확한 피해 규모 등은 오리무중 상태다.

 

이날 경찰청 국가수사본부(국수본)는 북한 해킹조직 ‘라자루스’로 추정되는 집단이 2021년 1월7일부터 2023년 2월9일까지 법원 전산망에 침입해 자료를 빼냈다고 밝혔다.

 

국수본은 북한이 훨씬 오래전부터 법원 전산망에 침입했을 가능성을 제기했다.

 

국수본 관계자는 “악성 프로그램 설치 날짜 중 가장 오래전으로 확인된 게 2021년 1월7일”이라며 “공격자는 이 시점 이전부터 법원 전산망에 침입해 있었을 테지만 당시 보안장비의 상세한 기록이 이미 삭제돼 최초 침입 시점과 원인은 밝힐 수 없었다”고 말했다.

 

북한이 어떤 자료를 빼냈는지도 4.7GB, 전체의 0.5%밖에 확인되지 않았다. 실질적인 피해 규모는 사실상 추산이 불가능하다는 뜻이다.

 

수사당국은 법원 자료가 8대의 서버(국내 4대·해외 4대)를 통해 법원 전산망 외부로 전송된 것을 확인했는데, 이 중 1대의 국내 서버에 남아 있던 기록만 복원할 수 있었다. 나머지 7대 서버는 자료 저장 기간이 만료돼 흔적이 남아 있지 않았다.

 

유출이 확인된 자료 5171개는 자필진술서, 채무증대 및 지급불능 경위서, 혼인관계증명서, 진단서 등으로 주민등록번호, 금융정보 등 민감한 개인정보가 다수 포함됐다.

 

수사당국은 범행에 사용된 악성 프로그램 유형 등을 분석한 결과 북한 해킹조직인 라자루스의 기법과 대부분 일치하는 것을 확인하고 이들 소행으로 결론을 내렸다.

 

수사당국은 해킹 경로나 목적, 피해 규모 등을 확인할 수 없다는 입장이다.

 

법원 내부망에서 백신이 악성코드를 감지해 차단한 시점은 지난해 2월9일이지만, 대법원이 자체 대응하면서 경찰 수사는 언론 보도로 해킹 사건이 처음 알려진 지난해 12월5일에서야 시작됐다. 그 사이 서버에 남아 있던 유출 자료들이 지워졌다.

 

일각에선 대법원의 부실한 대응이 이같은 오리무중 상황에 일조했다는 비판이 제기된다.

 

대법원은 지난해 2월 악성코드를 탐지해 차단했지만 자체 포렌식 능력은 없어 실제 정보가 유출됐는지조차 알 수 없었던 것으로 전해졌다. 북한 소행이 의심된다는 외부 보안업체 분석 결과에 따라 국가정보원에 기술 지원을 요청했지만, 비슷한 시가 선거관리위원회 해킹 사고 등이 터지면서 국정원 지원을 받는 데도 한계가 있었던 것으로 알려졌다.

 

다만 대법원은 해킹당한 사실을 대외적으로 알리거나 신고하는 등 후속 절차를 밟지 않은 채 시간을 흘려보냈다. 뒤늦게 언론 보도로 유출 사실이 알려지자 대법원은 개인정보보호위원회에 신고했고, 국정원과 공식 조사에 착수했다.

 

사법부 전산망이 해킹된 것은 이번이 처음이다. 사법부가 독립된 헌법 기관이어서 별도의 전산 관리·보안 체계를 사용하는 것이 되레 취약점으로 작용했다는 지적이 나온다.

 

법조계 일각에선 해당 수사는 종결됐지만 법원의 이른바 ‘은폐 의혹’에 대한 수사가 전개될 것으로 내다봤다. 

 

시민단체 자유대한호국단은 법원행정처가 유출 사실을 고의로 숨겼다며 김상환 전 법원행정처장(대법관)과 전산 담당자들을 허위공문서 작성 및 행사 등 혐의로 지난해 12월 고발한 바 있다.