북한 해킹그룹 '라자루스'의 해킹 공격을 받아 1만7000여명의 개인정보를 유출한 법원행정처가 약 2억원의 과징금을 물게 됐다.
개인정보보호위원회는 지난 8일 2025년 제1회 전체회의를 열고, 개인정보보호 법규를 위반한 법원행정처에 대해 총 2억700만원의 과징금과 600만원의 과태료를 부과하고 개선 권고하기로 의결했다.
이번 처분은 경찰청 국가수사본부가 지난해 5월 발표한 북한 라자루스의 법원 전산망 해킹사고 후속조치다. 개인정보위는 법원의 개인정보보호법 위반 행위를 확인했다.
먼저 법원행정처는 이용상 편의를 위해 내부망-외부망 간 상호 접속이 가능하도록 포트를 개방·운영했다. 북한 해커는 포트를 통해 내부망에 침입했으며 전자소송 서버(스토리지)에 저장된 다량의 소송 관련 문서 등 1014기가바이트(GB) 데이터를 빼갔다. 법원행정처가 망분리 운영만 잘했어도 해커의 내부망 침입을 막을 수 있었다는 얘기다.
유출이 확인된 개인정보(이름, 주민등록번호, 생년월일, 연락처, 주소, 나이, 성별 등)는 1만7998건이다. 경찰 수사 결과 복원이 이뤄진 4.7GB의 파일을 분석한 결과로, 전체 유출 규모의 약 0.46%에 불과해 실제 개인정보 유출 규모는 더 클 것으로 추정된다.
법원행정처는 소송 관련 문서를 전자소송 서버에 저장·보관하면서 주민등록번호가 포함된 소송문서를 암호화하지 않은 것으로 확인됐다. 또 인터넷AD서버 관리자 계정과 인터넷가상화PC 취급자 계정의 비밀번호를 유추하기 쉬운 초기 비밀번호 그대로 사용했으며, 내부망에 위치한 '인터넷가상화웹서버'에 백신 소프트웨어 등 보안프로그램을 설치하지 않고 운영한 것으로 조사됐다.
이번 처분과 관련해 소송 자료 등 민감한 개인정보가 해커 손에 들어갔음에도 민간 기업과 비교하면 제재가 솜방망이에 그친다는 지적이 나온다. 개인정보보호법에서 매출액이 없거나 매출액을 산정하기 힘든 공공기관 등에 부과하는 과징금을 최대 4억원으로 제한한 탓이다.
강대현 개인정보위 조사총괄과장은 “이번 처분은 2023년 9월 개정 이전의 개인정보보호법으로 제재를 받은 공공기관 중 최대 과징금”이라며 “공공기관에 대해선 징계 조치 등 기타 행정적 제재 사항 등을 계속 강화하고 모니터링을 확대하고 있다”고 말했다.
한편, 2023년 9월 개정된 개인정보보호법은 공공기관에 대해 최대 과징금을 20억원으로 상향했으며, 개인정보 유출 사실을 알게 된 후 72시간 이내 개인정보위에 신고하도록 하고 있다.
조재학 기자 2jh@etnews.com
