노컷뉴스·스마트이미지 제공경찰이 북한 해커 조직 '라자루스(Lazarus)'가 사법부 전산망을 해킹했다는 의혹과 관련해 약 한 달에 걸친 압수수색을 마치고 본격적인 분석에 돌입했다. 경찰은 압수물 분석을 통해 해커 조직이 침입한 최초 지점, 경로 등을 규명하는 작업에 집중할 것으로 알려졌다.
25일 CBS노컷뉴스 취재를 종합하면 경찰청 사이버테러대응과는 지난달 13일부터 경기 성남시 분당구에 있는 대법원 전산정보센터에 대해 진행한 압수수색을 이달 중순에 마무리 짓고 철수했다. 특히 경찰은 전산 서버 등에 담긴 '로그기록'을 중심으로 압수수색을 진행한 것으로 파악됐다.
로그기록에는 시스템에 접근한 사용자의 활동 기록 등이 담긴 것으로 알려졌다. 이 때문에 경찰 수사는 확보한 압수물 분석을 통해 해커 조직 등의 최초 침입 지점, 이동 경유지, 데이터 탈취 경로 등을 파악하는데 초점이 맞춰질 것이라는 관측이 나온다.
국가정보원이 디지털포렌식 작업 등을 통해 서버를 복구, 유출된 자료를 확인했다면 경찰은 통신 기록을 통해 전반적인 침입 경로를 규명하는데 수사 방점을 둔 것이다.
법원행정처는 국정원 등 보안 전문기관과 합동으로 조사한 결과 북한 해커 조직이 사법부 전산망을 침투한 사실을 파악했다. 추가로 확인된 유출 피해 규모도 애초 알려진 335기가바이트(GB)보다 많은 약 600GB에 이르는 것으로 알려졌다.
또한 최초 알려진 서울중앙지방법원 스캔서버 외에 인터넷 가상화시스템 계정을 관리하는 AD(Active Directory)서버와 가상화웹서버, 가상PC 등이 피해를 본 것을 확인했다.
인터넷 가상화시스템은 사법부 내부시스템과 분리된 인터넷 사용을 위한 시스템이다. 국정원은 인터넷 가상화시스템의 계정을 관리하는 AD 서버가 장악되면서 가상화시스템을 사용하는 직원들의 계정이 노출됐고, 이를 통해 사법부 전산 내부망으로까지 침투한 것을 파악한 것으로 알려졌다.
특히 내부망 침투로 네트워크와 데이터베이스(DB·Data Base) 관리자의 PC 침입도 확인한 것으로 전해졌다. 이들 외에 추가 피해 가능성도 있다. 실제로 동료 직원의 컴퓨터 계정을 해킹했다는 의혹으로 한 법원공무원이 징계를 받기도 했다.
최근 헤럴드경제 보도에 따르면 행정처 소속 전산직 공무원 A씨는 2023년 2월부터 4월까지 30여 차례에 걸쳐 동료 직원 B씨의 인터넷 가상PC에 무단으로 접속했다는 등의 비위 혐의로 정직 3개월의 징계 처분을 받았다.
당시 징계위는 B씨 PC에 찍힌 아이피(IP) 및 맥(Mac) 주소가 A씨의 업무용 PC와 일치하고, A씨가 본인 PC의 메신저에 로그인 한 시간과 B씨 PC에 접속된 시간이 비슷하다는 점을 징계 이유로 들었다.
혐의를 부인하는 A씨는 징계 조사 당시에 외부의 해킹 가능성을 주장한 것으로 알려졌다.
보안 전문가 사이에서는 인터넷 가상화시스템 계정을 관리하는 AD서버가 장악돼 내부망 침투가 이뤄진 상황에서 내부 직원의 개인 PC도 경유지로 활용됐을 가능성이 있다는 의견이 나온다.
정보보호 전문가인 구태언 변호사는 "AD서버가 장악되면 AD서버 산하에 있는 각 PC의 관리 권한을 모두 취득할 수 있다"며 "내부망을 침투한 이후 특정한 PC를 장악해 다른 PC로 징검다리 삼아 넘어갈 수 있다"고 설명했다.
그러면서 "(징계) 당사자가 부인하는 점을 고려할 때 해당 공무원의 PC가 경유지 PC로 이용됐을 가능성도 있다"고 덧붙였다.
다만 행정처는 이와 관련해 "윤리감사관실에서 해당 내용을 조사하는 것으로 알고 있다"며 "조사 결과를 지켜보겠다"고 답했다.
한편 구 변호사는 "행정처가 공격 주체는 고도의 해킹 기법으로 법원 가상PC와 서버의 취약점을 찾아내 내부 전산망으로 침입한 것으로 추정된다고 발표했지만, 취약점이 무엇인지에 대한 내용이 없다"면서 "행정처와 같은 제품을 사용하는 우리나라 모든 고객사가 해킹 위험에 노출된 것으로 취약점이 뭔지 파악해 경보나 예보를 통해 (위험을) 알려야 한다"고 강조했다.