법원의 보안 체계도 문제였지만, 문제를 더욱 키운 '늑장 대응'을 지적하지 않을 수 없습니다.
해킹 사실을 뻔히 알고도 자그마치 10개월을 방치했습니다.
비밀번호도 키보드 맨 윗줄 6글자를 한번도 바꾸지 않고 6년 내내 썼습니다.
법원행정처가 오늘 오후 5시쯤 홈페이지를 통해 개인정보 유출 사실을 알렸습니다.
유출 당사자 개별 고지가 원칙이지만, 방대한 양의 개인정보를 즉시 파악할 수 없어 유출 사실만을 먼저 밝힌다고 설명했습니다.
개인정보가 유출됐는데, 정작 누가 어떤 피해를 봤는지 알지 못한다는 겁니다.
당사자가 피해를 본 사실을 모르니, 법원 공지를 찾아보기도 사실상 불가능합니다.
법원이 북한의 악성코드 '라자도어'를 처음 발견한 건 지난해 2월입니다.
하지만 지난해 12월이 돼서야 경찰, 검찰, 국정원의 합동 수사가 시작됐습니다.
10개월 동안 법원이 해킹 사실을 숨겼다는 지적이 나옵니다.
법원행정처는 지난해 2월 악성코드 발견 직후, 수사의뢰 대신 내부 자체조사에 나섰습니다.
한 달이 지나서야 국내 보안업체 바이러스 분석 보고서를 요청해 받았습니다.
결국 북한의 해킹 정황을 확인한 뒤에야 국가정보원에 수사를 의뢰했습니다.
법원의 전산망 관리는 허술했습니다.
관리자 계정 비밀번호가 숫자와 알파벳 6자리로 단순했고, 6년 넘게 단 한 번도 바뀌지 않았습니다.
이 사실은 대법원장 인사청문회 때도 지적됐습니다.
대법원은 오늘 유사 사례가 발생하지 않도록 최선의 노력을 다하겠다면서도, 구체적인 피해 회복 방안은 제시하지 못했습니다.
Q1. 이번에 빠져나간 정보가 문서로 치면 650만 쪽 분량이라는데, 북한이 한 곳을 해킹해서 이렇게 많은 정보를 가져갈 수 있습니까?
네. 이번에 확인된 유출 규모는 1014기가 바이트,
일반적인 컴퓨터 문서 파일 기준으로 650만 페이지 분량에 달하는 양입니다.
우리나라 법원은 전국에 흩어져 있지만, 소송을 낼 때 제출하는 정보는 경기 성남시 분당구 소재 전산정보센터 한 곳으로 모입니다.
심각한 점은, '뭘 도둑맞았는지' 확인된 게 단 0.5%에 불과하고, '뭘 훔쳐갔는지' 파악조차 안 되는 자료가 99.5%에 달한다는 겁니다.
Q2. 우려가 큽니다. 그렇다면 이번에 유출된 정보는 어떤 것들이 있습니까?
네, 일단 극소수의 유출 정보만 내역이 확인된 상태인데요.
경찰은 모두 회생 절차에 관련된 문서라고 발표했습니다.
자세히 들여다 보면 민감 정보가 다수 들어가 있습니다.
개인회생을 하려면 내가 돈을 못 갚는 이유를 증명하는 문서들을 법원에 제출하잖아요.
자필 진술서부터, 계좌번호 등 금융정보도 있습니다.
아파서 입원을 하거나, 군 입대로 빚을 갚기 어려운 상황을 입증해야 할 경우에 제출한 병원 진단서나 병력 증명서까지 넘어갔습니다.
Q3. 상식적으로 잘 이해가 가지 않습니다. 법원이 그렇게 중요한 정보를 관리하고 있다면, 보안을 뚫기가 아주 어려워야 정상일 텐데요.
네, 안이한 보안의식, 허술한 관리가 피해를 키웠다는 지적이 나옵니다.
대법원 전산망 관리자 계정의 일부 비밀번호는 '123qwe' 처럼 단순한 배열로 돼 있었습니다.
일부 계정은 무려 6년이 넘도록 비밀번호를 바꾸지 않았고요.
또 작년 초에 해킹 피해를 확인하고도 작년 말 언론 보도가 나가기 전까지 무려 10개월여 간 정식 수사의뢰조차 하지 않았습니다.
Q4. 지금 누구의 어떤 정보가 유출됐는지도 정확히 모른다는 거잖아요.
네 맞습니다.
약 2시간 전에 법원이 홈페이지에 공개한 안내문을 보면 "유출된 자료에 상당한 양의 개인정보가 있는 것으로 추정되나, 구체적인 내역과 연락처 등을 전부 파악할 수 없다"고 공지했습니다.
한 마디로 누가 피해를 봤는지 모르겠다는 겁니다.
정보 유출 피해가 발생하면 해당 기관은 3개월 내에 피해자에게 알려야 합니다.
법원행정처가 처음 피해를 인지한 건 지난해 2월입니다.
이제서야 뒤늦게 피해 사실을 인터넷 홈페이지에 올린 겁니다.
Q5. 북한 해킹 그룹이 대체 어떤 의도로 이 자료들을 가져간 거고, 우리는 어떻게 대비해야 합니까?
구체적인 해킹 의도가 파악되진 않았습니다.
하지만 이번에 유출된 정보들만 활용해도 명의를 도용할 수 있습니다. 신용카드 복제나 휴대전화 개통도 가능할 겁니다.
보이스피싱을 비롯한 범죄 우려도 큽니다.
북한이 특정인의 문서를 범죄 조직에 팔아 넘겼다고 가정해보겠습니다.
내가 어떤 이유로 개인회생을 신청했고, 가족 이름이 누구고, 이런 것들을 범죄 조직이 알고 있다면 훨씬 더 정교한 범죄 설계가 가능할 겁니다.
그렇기에 출처가 불분명한 이메일, 문자, 전화 수신 시에 각별히 주의를 기울여 달라는 게 법원의 당부고요.
경찰도 각종 계정의 비밀번호를 주기적으로 변경해달라고 강조했습니다.
https://n.news.naver.com/article/449/0000274760
커뮤맨 작성
