법원행정처 전산정보관리국 사이버안전과 명의의 대외비 보고서의 제목은 '라자루스 악성코드 분석 보고'이다. 자료사진북한 정찰총국 산하 해커 조직으로 알려진 '라자루스(Lazarus)'가 우리 사법부 전산망을 해킹해 대량의 전자정보를 탈취한 사실을 대법원이 반 년 넘게 숨긴 것으로 드러난 가운데 5일부터 이틀 동안 이어지는 조희대 대법원장 후보자 인사청문회에서도 해킹 사태가 주요 의제로 다뤄질 것으로 보인다.
라자루스 악성코드에 침해된 대법원 전산망 관리자 계정의 일부 비밀번호가 'P@ssw0rd', '123qwe' 등 추측이 쉬운 문자열로 구성돼 있는 데다 일부 계정은 길게는 6년 넘게 비밀번호를 바꾸지 않아 외부 공격에 더 취약할 수밖에 없었던 것으로 파악됐다.
2월에 공격 '인지'…"北해커 단정할 수 없다"는 말만 되풀이
5일 CBS노컷뉴스가 단독으로 입수한 대법원 법원행정처 전산정보관리국 사이버안전과 명의의 대외비 보고서를 보면 대법원이 'Trojan/Win.Lazardoor'라는 이름의 라자루스 백도어 악성파일을 처음 탐지한 것은 올해 2월 4일이다.
대법원은 두 달 뒤인 같은해 4월까지 국내 유명 보안업체의 도움을 받아 보안 점검을 벌인 뒤 총 11쪽 분량의 내부 보고서를 작성했다. 2021년 3월 최초 악성코드 생성 시점부터 자료 유출과 이후 후속 조치가 이뤄진 올해 2월까지 상황을 시간순으로 142개의 순번을 달아 정리하고 마지막에는 대응방안을 담았다.
이 보고서에는 '라자루스'라는 범행 주체 외에도 335GB(기가바이트)의 데이터가 유출됐다는 등 피해 내용이 적시돼 있다. 특히 보고서 제목부터 '라자루스 악성코드 분석 보고'이며 '라자루스'라는 표현은 보고서에 총 13번 나온다.
이같은 사정을 종합하면 사법부는 최초 탐지 시점으로부터는 10개월, 분석 보고를 받은 뒤로부터는 반년이 넘도록 북한 라자루스의 소행으로 추정되는 해킹 피해 사실을 외부에 알리지 않고 숨겨온 셈이다.
더구나 대법원은 해킹 공격에 대한 전반적인 사실을 인지하고도 검찰이나 경찰, 국가정보원 등에 수사를 의뢰하지 않았다. 사안을 은폐·축소하려고 했던 것이 아니냐는 지적이 뒤따를 수밖에 없는 부분이다.
대법원은 지난달 30일 CBS노컷뉴스 보도로 해킹 피해 사실이 처음 공개되자 "라자루스로 단정할 수 없고, 소송서류 등 유출 여부를 확인할 수 없다"는 입장을 보였다. '라자루스'를 특정한 대외비 보고서가 있다는 3일 보도에도 "제3의 공격자가 해당 기법을 활용해 악성행위를 할 수 있으므로 공격방식이 유사하다는 이유로 북한의 라자루스라고 단정할 수 없다"고 해명했다.
법원행정처는 또 "구체적인 피해가 확인되지 않은 상황에서 외부에 대한 수사의뢰는 시스템의 내부 구조나 민감한 데이터의 공개를 전제로 하는 것으로 헌법기관의 독립성 보장 차원에서 신중을 기할 수 밖에 없다"고 설명했다. 다만 "국정원 등 타 기관에서 협의요청이 있을 경우 협의할지 여부를 검토할 예정"이라고 덧붙였다.
이에 대해 전문가들은 각종 소송서류와 재판기록은 물론, 등기부 등 민감 정보를 상당수 보유한 사법부의 전산망은 국가 안보와 직결될 수 있는 핵심 정보자산이라며 법원행정처의 대처가 미흡하다고 지적했다.
임종인 고려대 정보보호대학원 교수는 "러시아 해커들도 미국 법무부나 검사를 많이 해킹하는데 재판이나 사적인 사건 기록을 빼내서 악용하고 협박하려는 의도"라며 "(사법부 해킹은) 국가 안보랑 관련된 거니까 가능성이 단 몇 퍼센트만 있어도 철저하게 조사해야 한다"고 말했다.
그러면서 "선거관리위원회나 법원행정처나 똑같다. 헌법기관이라는 이유로, 또 조직 이기주의로 무책임하게 구는 모습"이라며 "선관위도 별 수 없이 버티다가 국정원을 끌어들인 것처럼 법원행정처도 나라 일이니까 국정원이나 한국인터넷진흥원 등과 협력해야 한다"고 강조했다.
6년 넘게 P@ssw0rd 사용…청문회 주요 의제로
북한 라자루스 소행으로 추정되는 해킹 피해 발생을 반 년 넘게 숨기고, 뒤늦게 공개된 뒤에도 사건 축소 무마에 급급한 사법부는 평소에는 안일한 보안 관리로 외부 해킹 공격에 취약할 수밖에 없었다.
라자루스 악성코드에 침해된 대법원 전산망 관리자 계정의 비밀번호는 'P@ssw0rd', '123qwe', 'oracle99' 등 속칭 깨기 쉬운 문자열로 구성돼 있었다. 특히 일부 계정은 2016년 8월부터 6년 넘게 'P@ssw0rd' 비밀번호를 바꾸지 않은 것으로 확인됐다.
보통의 웹사이트처럼 영문 대소문자와 특수문자 등을 섞어 구성하게 하는 '비밀번호 복잡도'나 주기적으로 비밀번호를 바꾸도록 설정하지 않은 탓에 쉬운 비밀번호를 길게는 7년 가까이 변경하지 않았고, 해커들의 먹잇감이 된 것으로 보인다.
법원행정처는 보안 점검을 거쳐 해킹 피해 사실을 상세히 보고받은 지난 4월에야 기존 비밀번호를 일괄 변경하고, 계정 비밀번호의 최대 사용 기간을 설정하는 등의 조치를 취했다.
애초부터 안일했던 전산망 계정 관리에 이어 해킹 공격 이후에도 사건을 축소·은폐하려는 시도만 답습한 사법부 행태는 5일부터 이틀 간 열리는 조희대 대법원장 후보자 인사청문회에서도 의제로 다뤄질 것으로 전망된다.