北 해킹조직에 뚫린 법원 전산망…“종합대책 세워야”

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

북한 해킹조직이 법원 전산망에 침투해 최소 1테라바이트(TB)가 넘는 자료를 빼간 것으로 드러나면서 7·7 디도스 사태에 준하는 종합대책을 마련해야 한다는 목소리가 높아지고 있다.

경찰청 국가수사본부(국수본)는 국가정보원·검찰과 합동으로 지난해 말 불거진 '법원 전산망 해킹 사건'을 수사한 결과, 1014기가바이트(GB)에 달하는 자료가 북한 해킹조직 라자루스에 의해 유출됐다고 최근 발표했다.

수사 결과에 따르면, 해커조직의 침입은 2021년 1월 7일 이전부터 2023년 2월 9일까지 이뤄졌다. 유출 사실이 확인된 자료는 개인회생 관련 문서파일 5171개(4.7GB)로, 전체 유출 자료의 0.5%에 불과하다. 해당 문서파일은 자필진술서, 채무증대 및 지급불능 경위서, 혼인관계증명서, 진단서 등이다. 여기엔 이름, 주민등록번호, 금융정보, 병력기록 등 개인정보가 다수 포함됐다.

법원의 늦장 대응이 도마 위에 오르고 있다. 법원행정처는 지난해 2월 사법부 전산망 공격 사태를 인지하고도 수사당국에 신고하지 않고 자체 보안조치를 취했다. 지난해 11월 말 언론보도로 해킹 사실이 알려지자 12월 초 경찰청·국정원·검찰청 합동조사가 시작됐다.

정보보호산업계는 법원을 비롯한 공공부문의 안일한 정보보호 인식도 문제점으로 꼽았다.

익명을 요구한 정보보호기업 대표는 “최소한의 기본적인 투자만으로 충분하다는 낮은 인식 수준이 문제”라면서 “법원이 기술력을 갖추고 있지 못하기 때문에 제3의 기관이나 민간의 도움을 받아 재발방지책을 세워야 한다”고 말했다.

정부·공공기관 정보보호담당관 제도를 강화해야 한다는 목소리도 나온다. 정보보호정책관은 공공기관 내에서 민간의 최고정보보호책임자(CISO)·개인정보보호책임자(CPO)와 유사한 역할을 담당한다.

조영철 한국정보보호산업협회(KISIA) 회장은 “정부·공공기관 정보보호담당관 역할을 강화할 필요가 있다”면서 “전문성을 갖춘 정보보호담당관을 선임해 조직 내 정보보호 관리를 책임질 수 있도록 해야 한다”고 말했다.

전문가들은 또 지난 2009년 7·7 디도스 사태에 맞먹을 만큼 심각한 사안으로, 종합대책을 강구해야 한다고 지적한다.

염흥열 순천향대 정보보호학과 명예교수는 “국민의 민감정보를 포함한 국가가 운영하는 정보 자산이 보안 사고로 인해 유출된 것은 매우 심각한 상황”이라면서 “7·7 디도스 사태 이후 '국가 사이버위기 종합대책'을 수립했듯이 종합적인 대책을 마련해야 한다”고 말했다.

조재학 기자 2jh@etnews.com