북한 정찰총국 산하 해킹 조직 ‘라자루스’가 법원 전산망에서 빼간 개인정보 등 자료가 A4용지 26억 장에 해당하는 1TB(테라바이트)가 넘는 것으로 드러났다. 유출 자료 중 0.5%만 내용을 파악했는데, 금융정보와 의료 진단서 등 민감 정보가 다수 포함돼 있었다. 파악되지 않은 나머지 99.5%에 산업기술이나 탈북민의 개인정보 등이 포함됐을 가능성도 있어 대규모 피해가 우려된다.

문제는 유출 자료 중 복원되지 않은 약 1009GB는 무슨 내용인지 확인도 어렵다는 점이다. 법원행정처가 지난해 2월 악성 프로그램을 탐지하고도 같은 해 12월에야 경찰과 국가정보원 등에 조사를 맡기는 바람에 유출 기록 등이 기간 만료로 삭제된 탓이다. 특허법원이 보관하는 산업·방산기술이나 형사소송에 증거로 제출된 성폭력 피해자의 신상 등이 유출됐을 가능성도 배제할 수 없는 셈이다. 경찰은 2차 피해를 막기 위해 이달 9일 유출이 확인된 파일 5171건을 법원행정처에 제공하고 피해자에게 통지하도록 권고했다. 

‘자필 진술서, 채무증대 및 지급불능 경위서, 혼인관계증명서, 진단서 등.’

경찰청 국가수사본부에 따르면 라자루스가 법원행정처 전산망에 침입해 악성코드를 심은 건 2021년 1월 17일 이전이다. 시일이 많이 지나 보안장비의 상세한 기록이 삭제된 탓에 악성코드를 정확히 언제, 어떻게 심었는지는 밝힐 수 없었다.

법원은 지난해 2월 9일 악성 프로그램을 탐지하고 라자루스의 접속을 차단했지만, 지난해 12월에야 경찰 등에 수사를 의뢰했다. 경찰이 아마존 등 해외 서버 운영 업체와 국내 서버 업체에 어떤 자료가 오갔는지 확인을 요청했을 땐 이미 기록이 지워진 상태였다. 한 보안업체 관계자는 “법원이 더 일찍 악성코드를 탐지했거나, 탐지하고 나서 바로 수사 의뢰만 했어도 더 많은 자료를 복원할 수 있었을 것”이라고 말했다. 

경찰이 복원한 유출 자료는 4.7GB로, 전부 개인회생과 관련된 문서였다. 전문가들은 확인된 자료만으로도 심각한 금융사기 등 피해가 우려된다고 지적했다. 유출된 자료에 포함된 주민등록번호와 계좌 정보 등을 조합하면 대포통장이나 대포폰 등을 개설할 수 있기 때문이다. 김용현 동국대 북한학과 교수는 “중국이나 동남아시아의 보이스피싱 조직에 구체적인 채무 정보가 넘어가면 범죄의 먹잇감이 되고, 피해자는 속수무책으로 당할 수 있다”고 했다.

전문가들은 정부 기관의 취약한 전산망 보안 수준이 드러난 것이라고 입을 모았다. 김승주 고려대 정보보호대학원 교수는 “민간에서는 정보 보호를 총괄하고 책임지는 최고정보보호책임자(CISO)를 임원급으로 두고 확실한 책임과 권한을 준다”면서 “정부나 공공기관에는 CISO를 두지 않아 정보 보호에 소홀할 수 있다”고 지적했다.