사법부 전산망 해킹 경위. 개인정보위원회 제공

<이미지를 클릭하시면 크게 보실 수 있습니다>

사법부 전산망을 해킹당해 최소 1만8000명의 개인정보를 유출한 법원행정처가 과징금 2억여원을 물게 됐다. 개인정보보호법 개정 전 기준으로 공공기관 역대 최대 과징금이다.

개인정보보호위원회는 지난 8일 전체회의를 열고 개인정보보호법을 위반한 법원행정처에 과징금 2억700만원과 과태료 600만원을 부과하고, 개인정보 보호조치 개선권고를 의결했다고 9일 밝혔다.

지난해 3월 법원행정처는 북한 해킹조직 ‘라자루스’ 추정 집단에 의한 해킹 공격으로 사법부 전산망에서 내부 데이터가 외부로 유출된 사실을 뒤늦게 사과하고 대책 마련에 나섰다. 개인정보위는 관련 후속 조치로 개인정보 유출 조사에 착수했다.

조사 결과 법원행정처는 이용상 편의를 위해 내부망과 외부망이 서로 접속 가능하도록 네트워크 통신 통로인 ‘포트’를 개방해 운영한 사실이 드러났다. 이 틈을 노려 침입한 해커는 내부망 전자소송 서버에 저장된 자필 진술서와 혼인관계증명서, 진단서 등 다양한 소송 관련 문서가 포함된 1014기가바이트(GB) 분량의 데이터를 뽑아냈다.

이 중 경찰 수사에서 복원된 4.7GB의 파일을 분석한 결과 해당 데이터에서 주민등록번호를 포함한 1만7998명의 개인정보가 확인됐다. 복원된 데이터 규모가 전체 유출량의 250분의 1 수준이라 실제 개인정보 유출 건수는 확인된 규모보다 훨씬 클 가능성도 배제할 수 없다고 개인정보위는 설명했다.

법원행정처는 기본적인 안전조치가 미흡했던 것으로 드러났다. 소송 관련 문서를 PDF 파일로 변환해 서버에 보관하면서 주민등록번호가 포함된 소송 문서를 암호화하지 않았다. 내·외부망 관리 계정의 비밀번호를 유추하기 쉬운 초기 비밀번호를 그대로 사용했으며, 내부망 웹서버에 백신 소프트웨어 등 보안프로그램을 설치하지 않고 운영하기도 했다.

법원행정처는 2023년 4월 개인정보 유출 정황을 인지했지만, 약 8개월 뒤에야 이 사실을 신고하고 홈페이지에 관련 안내문을 게시한 사실도 확인됐다.

강대현 개인정보위 조사총괄과장은 브리핑에서 “(개인정보 보호 조치가 강화된) 개정 이후 관련법을 적용했다면 이보다 더 많은 과징금이 부과됐을 것”이라며 “유출 경위나 위반하게 된 목적 등을 봤을 때 중과실로 판단했다”고 말했다.

배문규 기자 sobbell@kyunghyang.com

▶ 매일 라이브 경향티비, 재밌고 효과빠른 시사 소화제!
▶ 계엄, 시작과 끝은? 윤석열 ‘내란 사건’ 일지 완벽 정리

©경향신문(www.khan.co.kr), 무단전재 및 재배포 금지