개인정보보호위원회는 대법원 법원행정처에 과징금 2억700만원, 과태료 600만원을 부과하고, 담당자 징계를 권고하기로 의결했다고 9일 밝혔다. 북한 정찰총국 산하 조직 ‘라자루스’로 추정되는 집단의 해킹으로 최소 1만7998명의 개인정보가 사법부 전산망에서 유출되는 과정에서 법원행정처가 개인정보보호법을 위반했다고 본 것이다.
개인정보위 조사에 따르면 법원행정처는 업무 편의를 위해 법원 내부망과 일반 인터넷을 사용할 수 있는 외부망 간 상호 접속이 가능하도록 포트(네트워크 통신 통로)를 개방했다. 해커는 이 포트를 통해 내부망에 침투한 뒤, 적어도 2021년 1월 7일부터 2023년 2월 9일까지 서버에 저장된 자필 진술서, 혼인관계증명서 등 1014기가바이트(GB) 분량의 데이터를 탈취한 것으로 나타났다.
법원행정처가 전자소송 서버에 저장한 소송 문서를 암호화하지 않은 사실도 확인됐다. 내부망에 백신 소프트웨어 등 보안 프로그램을 설치하지 않고 운영하는 등 기본적인 안전 조치도 미흡했다.
앞서 이 사건과 관련된 경찰 수사가 이뤄졌는데, 경찰은 탈취된 1014GB 분량의 데이터 중 약 0.46% 정도인 4.7GB만 복원해 확인했다. 나머지는 자료 저장 기간이 만료돼 흔적을 찾을 수 없었다. 이는 법원행정처의 늑장 대처 때문이다. 법원행정처는 2023년 4월 개인정보 유출 정황을 인지했지만 12월에야 개인정보 유출 신고를 하고 홈페이지에 유출 관련 안내문을 게시했다. 경찰 수사도 그제서야 시작됐다.
경찰은 복원 데이터를 분석한 결과, 소송 관련 문서 1만89개와 1만7998명의 개인정보(이름·주민등록번호·연락처·주소 등)가 포함된 것을 확인했다. 개인정보위는 실제 개인정보 유출 건수는 확인된 규모의 200배 이상일 수 있다고 보고 있다.
김용헌 기자 yong@kmib.co.kr