고학수 개인정보보호위원회 위원장이 8일 서울 종로구 정부서울청사에서 열린 제1차 개인정보위 전체회의에서 의사봉을 두드리고 있다./뉴스1

<이미지를 클릭하시면 크게 보실 수 있습니다>

주민등록번호와 혼인관계증명서 등 최소 1만8000명에 달하는 국민의 개인정보를 북한에 유출한 법원행정처가 과징금 2억여원을 물게 됐다. 개인정보보호법 개정 전 기준으로 공공기관 역대 최대 액수다.

분석된 유출 규모가 전체 유출 데이터의 0.4%대에 불과해, 실제 유출된 개인정보는 이보다 수백 배 많을 것이라는 분석도 나온다.

개인정보보호위원회는 전날 ‘제1회 전체회의’를 열고, 개인정보보호법을 위반한 법원행정처에 이 같은 규모의 과징금과 시정명령 처분을 의결했다고 9일 밝혔다.

개인정보위 조사 결과 법원행정처는 이용상 편의를 위해 내부망과 외부망 간에 상호 접속이 가능하도록 네트워크 통신 통로인 ‘포트’를 개방해 운영한 사실이 드러났다.

이 틈을 노려 침입한 해커는 내부망 전자소송 서버에 저장된 자필 진술서와 혼인관계증명서, 진단서 등 다량의 문서가 포함된 1014 기가바이트(GB) 분량의 데이터를 유출했다.

경찰 등에 따르면, 북한 정찰총국 산하 해커그룹으로 알려진 ‘라자루스’는 법원 전산망을 해킹해 최소 2021년 1월 7일부터 2023년 2월 9일까지 약 2년간 1014GB 용량의 법원 자료를 국내 서버 4대와 해외 서버 4대 등 외부로 전송했다.

경찰 수사에서 복원된 4.7GB의 파일을 분석한 결과, 해당 데이터에서는 주민등록번호를 포함한 1만7998명의 개인정보가 확인됐다. 구체적으로 주민등록번호 2010명, 이름 1만5000명, 생년월일 2300명, 연락처 2000명, 소송 관련 문서 1만89개 등이다.

복원된 규모가 전체 유출량의 0.46%에 불과하다는 점을 감안한다면, 실제 개인정보 유출 건수는 확인된 규모보다 250배 이상 클 가능성도 배제할 수는 없다고 개인정보위는 설명했다.

법원행정처는 소송 관련 문서를 전자소송 서버에 보관하면서 주민등록번호가 포함된 소송문서를 암호화하지 않았던 것으로 드러났다.

인터넷AD(가상화 시스템 계정)서버 관리자 계정과 인터넷가상화PC 취급자 계정의 비밀번호를 유추하기 쉬운 초기 비밀번호를 그대로 사용했다.

내부망에 있는 ‘인터넷가상화웹서버’에 백신 소프트웨어 등 보안프로그램을 설치하지 않고 운영하는 등 기본적인 안전조치가 미흡했던 점도 지적됐다.

이밖에 법원행정처는 2023년 4월 개인정보 유출 정황을 인지했지만, 약 8개월이 지난 같은 해 12월에서야 이 사실을 신고하고 홈페이지에 관련 안내문을 게시했다.

이에 개인정보위는 법원행정처에 과징금 2억700만원과 과태료 600만원을 부과하고 관련 내용을 공표하기로 했다.

법원행정처에 부과된 과징금은 2023년 9월 개인정보보호법이 개정되기 전 기준으로 공공기관 과징금 가운데 가장 많은 액수다.

개정 이후를 포함하면 공공기관 최다 과징금은 135만명의 개인정보를 유출한 한국사회복지협의회에 작년 9월 부과된 4억8000만원이다.

윤예원 기자(yewona@chosunbiz.com)

<저작권자 ⓒ ChosunBiz.com, 무단전재 및 재배포 금지>