지난해 11월 사법부가 북한의 한 해커 그룹에게 해킹을 당했다는 언론 보도가 전해졌습니다. 놀라운 건 사법부는 해킹 사실을 보도 시점보다 10개월 앞서 알고 알고 있었다는 건데요. 사법부는 그동안 해킹을 당한 사실을 외부에 알리지 않고 자체 대응해온 것으로 알려졌습니다. 해킹 사건이 세상에 알려진 후 경찰청, 국가정보원, 검찰청 등이 나서 합동 조사가 시작되는데요. 그 수사 결과가 최근 공개됐습니다.
◇2년에 걸쳐 정보 빼돌린 北 해커들
지난 11일 경찰청 국가수사본부는 작년 말 불거진 법원 전산망 해킹 사건에 대한 합동 수사 결과를 발표했습니다. 경찰청 국가수사본부는 범행에 이용된 악성 프로그램, 가상자산을 이용한 서버 결제내역, IP 주소 등의 증거를 종합해 이번 사법부 해킹이 북한의 해커조직인 ‘라자루스’에 의한 것으로 결론지었습니다.
국수본에 따르면 북한 해커그룹은 2021년 6월부터 작년 1월까지 약 2년에 걸쳐 법원 행정처 전산망에 악성코드를 심어 1014GB 분량의 자료를 외부로 빼돌렸습니다. 빼돌려진 정보는 A4 용지 약 26억2100만 장에 달하는 엄청난 분량인데요. 유출된 자료 5171개는 자필진술서, 채무증대 및 지급불능 경위서, 혼인관계증명서, 진단서 등으로 드러났습니다. 이름, 주민등록번호, 금융정보, 병력기록 등 민감한 개인정보가 기재된 문서들입니다.
문제는 유출 사실이 확인된 자료가 전체 유출 분량의 0.5%에 불과하다는 점입니다. 경찰 수사는 언론 보도로 해킹 사건이 처음 알려진 이후인 지나내 12월 5일에서야 시작됐습니다. 수사가 늦어지는 사이 서버에 남아있던 유출 자료들이 저장 기간 만료로 삭제됐는데요. 이 때문에 어떤 자료가 유출됐는지 그 전모를 확인하기조차 어려워진 겁니다.
해킹 경로나 목적도 침입 시점 이후 한참이 지나서야 수사가 시작돼 확인하지 못했습니다. 국수본 관계자는 “악성 프로그램 설치 날짜 중 가장 오래전으로 확인된 게 2021년 1월 7일”이라며 “공격자는 이 시점 이전부터 법원 전산망에 침입해 있었을 테지만 당시 보안장비의 상세한 기록이 이미 삭제돼 최초 침입 시점과 원인은 밝힐 수 없었다”고 설명했습니다.
나머지 유출 자료 중에는 산업·방위 기술이나 성폭력 피해자의 신상 등이 담겨 있는 것으로 나타났는데요. 경찰은 2차 피해를 막기 위해 개인정보 유출이 확인된 피해자에게 해당 사실을 알리기로 했습니다.
법원행정처는 별도 예산과 인력을 투입해 추가 피해를 막고 유출 내역을 계속해서 확인할 방침입니다. 법원행정처 관계자는 “추후 개별 문건들을 분석해 구체적인 개인정보 유출 항목을 확인하겠다”고 전했습니다. 또 국수본 관계자는 “국내외 유관기관들과 협력해 해킹조직의 행동자금을 추적하는 등 국가 안보를 위협하는 사이버 테러에 적극 대응할 예정”이라고 전했습니다.
대법원은 추가 피해 우려도 알렸습니다. 대법원은 출처가 불분명한 이메일과 문자, 전화를 받을 때 각별히 주의해달라고 강조했습니다. 대법원 법원행정처는 홈페이지에 ‘사법부 전산망 침해에 의한 개인정보 유출 추가 안내’ 글을 게시했습니다. 이에 “유출된 개인정보를 이용한 명의도용, 보이스피싱, 스팸메일 전송 등 혹시 모를 2차 피해 방지를 위하여 주의해야 한다”고 전했습니다.
◇초유의 사법부 해킹, 어떻게 가능했을까?
사법부는 비밀번호를 허술하게 관리하는 등 보안이 소홀했던 것으로 파악됐습니다. 경찰과 국회에 따르면 전산망 일부 계정의 비밀번호는 ‘P@ssw0rd’, ‘123qwe’ 등 쉽게 뚫릴 수 있는 문자열로 구성됐는데요. 또 6년간 한 번도 비밀번호를 바꾸지 않은 계정도 있는 것으로 조사됐습니다. 보안 전문가들은 이와 관련, 법원의 보안의식이 매우 낮았다고 지적했습니다.
또 사법부는 해킹 정황을 파악하고서도 10개월간 수사를 요청하지 않았습니다. 포렌식 인력과 장비가 없는 법원행정처는 국가정보원에 해킹을 당한 사실을 알리곤 민간회사인 안랩에 악성코드 분석을 의뢰했습니다. 이 과정에서 경찰에 수사를 요청하진 않았습니다.
사법부는 경찰에 해킹 피해 사실을 알리지 않은 데 대해 예민한 자료가 많아 독립적으로 보안을 관리하기 때문이라고 해명했는데요. 그러나 사상 초유의 전산망 해킹에 제대로 대응하지 못했다는 비판을 피해가긴 어려워 보입니다. 특히 사법부가 자체 보안 시스템을 운영하고 있는 만큼 보다 철저한 관리와 높은 수준의 보안 의식이 필요했다는 지적이 줄을 잇고 있습니다.
법원행정처 관계자는 이에 대해 “법원 전산망엔 민감한 개인정보가 많은 만큼 외부기관 개입 조사에는 신중하게 접근할 수밖에 없었다”고 설명했습니다.
공공 분야를 대상으로 한 해킹 시도가 늘고 있는데요. 지난해 공공기관을 대상으로 한 해킹 시도는 하루 평균 162만여 건으로 전년 대비 36% 증가한 것으로 나타났습니다. 특히 북한과 중국 해킹조직에 의한 공격이 전체의 90%에 달한 것으로 파악됐습니다. 국가정보원은 “북한의 공격 건수가 80%로 가장 많았고 중국은 5%였다”고 전했습니다.
그러나 현행법상 국정원은 민간사업자가 거부할 경우 직접 조사할 방법이 없습니다. 국가사이버안전관리규정이 법률로 돼 있지 않아 대응에 한계가 있는 건데요. 김병기 더불어민주당 의원은 “국제 해커 조직의 위협에 대해 국정원을 중심으로 정부와 공공기관, 민간이 협력해 국가 차원에서 능동적으로 대처할 수 있는 체계가 필요하다”고 말했습니다.
이에 사이버 안보 컨트롤타워를 만들자는 목소리가 커지고 있습니다. 국가 차원의 통합적인 사이버 안보 대응체계를 마련하자는 건데요. 우리나라 사이버 안보 대응체계는 △공공 부문은 국정원 △국방 부문은 국방부 △민간 부문은 과학기술정보통신부 등으로 나눠져 있습니다. 여러 기관이 사이버 안보 업무를 나눠서 하다 보니 효율적인 대처가 어렵다는 아쉬움이 있습니다.
박춘식 아주대 사이버보안학과 교수는 “지난 16대 국회부터 사이버 안보 기본법 관련 입법 논의가 이뤄졌는데 여야와 부처 간 주도권 다툼에 매 국회마다 계류 중이었기 때문에 초당적 접근이 필요하다”고 말했습니다.
임종인 대통령실 사이버특별보좌관도 “선진국은 주로 정보·보안기관을 중심으로 초국가적 사이버 안보 위협에 대응하고 있다”며 “미국은 국토안보부, 영국은 정보통신본부, 호주는 신호정보국, 캐나다는 통신보안국 등이 사이버 안보 컨트롤타워 역할을 하고 있다”고 전했습니다.
현재 21대 국회에는 관련 법안 3개가 올라와 있는데요. 조태용 국가정보원 원장이 국민의힘 의원 시절인 2020년 6월 발의한 ‘사이버안보기본법’과 김병기 더불어민주당 의원이 2021년 11월 낸 ‘국가사이버안보법’, 윤영찬 민주당 의원이 2021년 12월 내놓은 ‘사이버보안기본법’ 등입니다.
세 법안의 공통점은 사이버안보 강화를 위해 대응체계를 구축한다는 내용인데요. 다만 컨트롤타워나 실무 주도권을 어느 기관에 둘지에 대해서는 의견이 갈립니다.
김병기 의원안은 국정원에 사이버안보위원회를, 윤영찬 의원안은 과학기술정보통신부에 공공·민간을 포괄하는 사이버보안본부를 설치하도록 했습니다. 조태용안은 대통령을 의장으로 하는 국가사이버안보정책조정회의와 국정원 소속 사이버안보센터를 운영하는 게 골자입니다.
국회 일정상 이 3개 법안의 국회 본회의 통과는 어려워 보이는데요. 곧 시작될 22대 국회에서 관련 논의를 어떻게 이어갈지 지켜봐야 할 것 같습니다.
해외 사이버안보 대응체계는 어떻게 구성돼 있을까요?
미국은 사이버 안보를 국가 안보 전략의 핵심 중 하나로 정하고 있습니다. 이를 위해 미국은 국가 차원의 통합적 사이버 안보 실무 및 조정 기구를 설치해 운영 중인데요. 2001년 9·11 테러 발생 이후 ‘국토안보법'(Homeland Security Act) 제정을 통해 신설된 행정 부처인 국토안보부(DHS)에 권한과 책임을 부여했습니다.
일본은 내각에 조정 기구를 설치했습니다. 지난 2014년 사이버보안기본법을 제정하고 컨트롤타워 역할을 하는 사이버 보안 조직 체계를 법률로 규정했습니다.
독일은 1991년 제정된 연방정보기술보안청의 설치에 관한 법률(BSI-Errichtungsgesetz)에 근거해 국가 차원에서 사이버 보안을 총괄·지원하는 기관으로 연방 내무부 소속의 연방정보기술보안청(BSI)을 설치한 바 있습니다.
국가정보원법
제4조(직무) ① 국정원은 다음 각 호의 직무를 수행한다.
4. 다음 각 목의 기관 대상 사이버공격 및 위협에 대한 예방 및 대응
가. 중앙행정기관(대통령 소속기관과 국무총리 소속기관을 포함한다) 및 그 소속기관과 국가인권위원회, 고위공직자범죄수사처 및 「행정기관 소속 위원회의 설치ㆍ운영에 관한 법률」에 따른 위원회
나. 지방자치단체와 그 소속기관
다. 그 밖에 대통령령으로 정하는 공공기관
글: 법률N미디어 인턴 김예진
감수: 법률N미디어 엄성원 에디터
- 미국은 다시 ‘개미 반란’ 조짐…우리 증시 공매도 상황은?
- ‘리셀러 과세’ 시작한 정부…일반 중고거래도 세금 낸다?
- 운전자 바꿔치기에 술타기까지…김호중법 만들어질까?
- 교통사고 났는데 일단 ‘찰칵’…쓰러진 상대방 사진부터 찍은 운전자
- “불혹도 한참 지났는데”…49세 남성이 ‘청년’ 소리 듣게 된 이유는?
