고학수 개인정보보호위원회 위원장이 8일 오후 서울 종로구 정부서울청사에서 개최된 2025년 제1회 전체회의를 진행하고 있다. 개인정보위원회 제공

<이미지를 클릭하시면 크게 보실 수 있습니다>

허술한 보안 시스템으로 북한 소속으로 추정되는 해커 조직에 소송 관련 문서를 탈취당한 법원에 2억원이 넘는 과징금이 부과됐다.

개인정보보호위원회는 개인정보보호 법규를 위반한 법원행정처에 대해 총 2억700만원의 과징금과 600만원의 과태료를 부과하기로 의결했다고 9일 밝혔다. 또 관련 내용을 공표하고 개인정보처리시스템 운영체계 및 조직·인력, 관련 규정 등 보호체계 전반에 걸쳐 안전조치 실태를 점검, 개인정보 보호조치 수준 향상 방안을 마련하도록 개선을 권고했다.

해당 과징금은 개정 전 개인정보보호법을 적용받은 공공기관 중 역대 최대 규모다. 개정 후 2023년 9월부터 시행된 개인정보보호법을 기준으로 하면 해킹으로 회원 135만명의 개인정보를 유출 피해를 입은 한국사회복지협의회가 가장 많은 4억8300만원을 부과받았다.

개인정보위 조사 결과 법원행정처는 이용상 편의를 위해 내부망과 외부망 간 상호 접속이 가능하도록 포트(네트워크 통신 통로)를 개방·운영했다. 2021년 6월부터 2023년 1월까지 포트를 통해 침입한 해커에 의해 전자소송 서버에 저장된 소송 관련 문서 1014기가바이트(GB) 분량의 데이터가 유출됐다. 실제 침투 시점은 2021년 1월7일 이전이며 해킹 조직은 북한 소속 '라자루스'로 추정되는 것으로 알려졌다.

경찰이 해킹된 전체 분량 중 복원이 이뤄진 4.7GB의 파일을 분석한 결과 해당 데이터 내 주민등록번호를 포함한 1만7998명의 이름, 연락처, 주소 등이 확인됐다. 경찰은 지난해 12월 수사에 착수해 대법원 전산정보센터를 압수수색하는 등 조사한 결과 국내 서버 4대와 해외 서버 4대로 자료가 대량 유출된 것을 확인했다. 시일이 지나 대부분의 유출 자료는 서버에서 지워진 상태였던 것으로 파악됐다. 복원된 내용이 일부에 불과해 실제 피해는 더 클 것으로 예상된다.

법원행정처는 소송 관련 문서를 전자소송 서버에 저장·보관하면서 주민등록번호가 포함된 소송문서를 암호화하지 않았던 것으로도 파악됐다. 업무용 PC처럼 인터넷 환경을 가상화해 사용하는 인터넷가상화PC의 취급자와 인터넷가상화시스템 계정을 관리하는 인터넷AD서버 관리자 비밀번호를 유추하기 쉬운 초기 상태 그대로 사용하기도 했다. 내부망에 위치한 '인터넷가상화웹서버'에 백신 소프트웨어 등 보안프로그램을 설치하지 않고 운영하는 등 기본적인 안전조치도 미흡했던 것으로 나타났다.

법원행정처는 2023년 2월 악성파일을 탐지하고 침해사고 자체조사를 진행해 같은 해 4월 법원 전상망에서 개인정보 유출 정황을 인지했다. 하지만 같은 해 12월 개인정보 유출 신고를 하고 홈페이지에 관련 안내문을 게재한 사실도 확인됐다. 우편, 문자 전송 등 유출 통지는 지난해 6~8월에 이뤄졌다. 현행법에 따르면 개인정보처리자는 개인정보 유출 사실을 알게 된 후 72시간 이내에 개인정보위에 신고해야 한다.

개인정보위 관계자는 "대량의 개인정보를 처리하고 있는 공공기관들은 보안 프로그램 설치·운영이나 각종 운영체제 등에 대한 보안 업데이트 등 안전조치와 관련된 의무 사항을 반드시 이행해야 한다"고 말했다.

이정윤 기자 leejuyoo@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>