초유의 사법부 해킹 사태
‘라자루스’ 국내외 서버 8대로 탈취
소송서류 약 100만개 유출 추정
개인회생 관련 등 민감 자료 포함
12일 경찰청 국가수사본부에 따르면 경찰·국가정보원·검찰이 지난해 12월부터 합동수사를 진행한 결과 ‘라자루스’로 추정되는 북한 해킹 조직이 2021년 1월 7일 이전부터 악성코드가 처음으로 탐지된 지난해 2월 9일까지 법원 전산망에 침입한 것으로 조사됐다. 이 기간 유출된 자료만 총 1014GB에 달한다. 일반적인 컴퓨터 문서 파일이라고 가정했을 때 파일 100만개에 상당하는 분량이며 대략 650만쪽에 달하는 것으로 알려졌다.
유출된 자료는 8대(국내 4대, 해외 4대) 서버를 거쳐 외부로 유출된 것으로 파악됐다. 해커는 2021년 6월부터 11월까지는 해킹 등으로 국내 영세업체 서버를 장악해 672GB 규모의 자료를 우회시키는 방법으로 빼돌렸다. 2022년 4월부터 지난해 1월까지는 가상자산(암호화폐)으로 해외 서버 4대를 임대해 썼다. 국수본은 “발각되지 않고 안정적으로 자료를 탈취하기 위해 서버를 임대한 것으로 보인다”고 밝혔다.
수사당국은 이 중 2021년에 쓰인 국내 서버 1대에서 기록을 복원해 회생 사건 관련 파일 5171개(4.7GB)가 유출된 사실을 확인했다. 여기에는 개인회생에 필요한 이름, 주민등록번호, 금융정보, 병력 기록 등이 담긴 자필진술서, 채무증대 및 지급불능 경위서, 혼인관계증명서, 진단서 등이 다수 포함됐다.
경찰은 추가 피해를 막기 위해 지난 8일 법원행정처에 유출된 자료 중 0.5%인 파일 5171개를 전달했다. 법원은 개인정보가 유출된 피해자들에게 통지하기 위해 자료를 분석 중이다. 다만 나머지 7대 서버는 이미 자료 저장 기간이 만료된 탓에 탈취된 자료의 99.5%가 구체적으로 무엇이었는지 확인되지 않았다. 이 때문에 보안장비에서도 기록이 삭제돼 해커가 처음으로 법원 전산망에 침투한 시점과 경로도 확인하기 어렵다는 게 경찰의 설명이다.
대법원은 앞서 지난해 11월 언론보도로 해킹 사실이 알려지자 개인정보보호위원회에 신고했고 지난해 12월부터 정부 합동 조사가 시작됐다. 내부망에서 백신이 악성코드를 감지해 차단한 시점은 지난해 2월이지만 대법원이 자체 대응에 먼저 나서며 수사가 늦어졌다. 그사이 그나마 서버에 남아 있던 유출 자료와 침입 흔적도 삭제됐다. 해커가 파고든 법원 전산망의 취약점을 점검해 보완하는 데도 차질을 빚을 전망이다.
수사당국은 법원 전산망을 해킹한 배후가 북한 해킹 조직인 ‘라자루스’라고 결론을 내렸다. 라자루스는 북한 정찰총국 소속으로 ‘김수키’, ‘안다리엘’과 함께 북한 3대 해킹 조직으로 불린다. 이번 범행에 쓰인 악성 프로그램의 유형이나 서버 임대료를 결제한 암호화폐, 인터넷 프로토콜(IP) 주소 등이 라자루스가 과거 사용한 수법과 일치하는 모습을 보였다.
국수본 관계자는 “유출된 개인정보를 이용한 명의 도용, 보이스피싱, 스팸메일 전송 등 2차 피해를 방지하기 위해 출처가 불분명한 이메일이나 문자메시지, 전화가 올 때 주의하고 각종 계정 비밀번호를 주기적으로 바꿔 달라”고 당부하면서 “국내외 관계기관과 협력해 해킹 조직의 행동자금인 가상자산도 추적해 나가겠다”고 밝혔다.
2024-05-13 1면
Copyright ⓒ 서울신문. All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지