노컷뉴스·스마트이미지 제공북한 해커 조직 '라자루스(Lazarus)'로부터 해킹 피해를 입었다는 의혹을 반 년 넘게 숨겼던 사법부가 연이어 석연찮은 해명을 내놓으며 의혹을 키우고 있다. 민감한 개인정보와 재판기록 등이 담긴 대법원 전산망이 해킹당하는 초유의 일이 벌어졌는데도 관리 책임 인정이나 설명 없이 의혹을 부인하고 사안을 무마하는 데 급급하다는 비판이 나온다.
6일 법조계에 따르면 대법원 법원행정처는 지난 4일 기자단에 배포한 공식 입장문에서 '(해킹 주체가) 라자루스라고 단정할 수 없다'고 밝힌 배경에 대해 "이번 공격이 라자루스 그룹의 국내 인증서 소프트웨어 취약점과 워터홀 공격에 의한 침해가 아닌 것으로 확인했다는 보안전문업체 분석을 근거로 했다"고 밝혔다.
행정처의 이런 해명은 '눈 가리고 아웅' 격이다. CBS노컷뉴스 취재를 종합하면 해당 보안업체는 해킹이 라자루스 소행이라는 것을 부인하지 않았다. 다만 조사 결과 최근 라자루스가 사용하는 '워터링홀' 수법은 아닌 것으로 파악됐다고 밝힌 것으로 전해졌다.
해당 업체는 4월까지 보안점검을 수행한 뒤 대법원에 제출한 분석결과 보고서에서 외려 "(사법부 해킹 방식은) 라자루스가 2018~2019년 가상화폐 거래소를 공격할 때 활용한 수법"이라고 지적했다고 한다.
지난 4월 경찰청 안보수사국이 밝힌 라자루스 해킹 수사 결과를 보면 국내 소프트웨어 취약점을 노리는 워터링홀 수법은 라자루스가 작년부터 주로 활용한 신종 해킹 수법이다. 법원 전산망은 라자루스 그룹이 4~5년 전에나 활용하던 고전 수법에 뚫린 셈이다.
업체는 사법부 전산망을 해킹한 조직이 활용한 여러 종류의 안티포렌식 흔적도 "라자루스가 즐겨 쓰는 방식"이라는 견해도 보고서에 담았다. 행정처가 보안업체 보고서 속 여러 내용 중 라자루스 소행으로 의심한다는 부분을 의도적으로 도려내 사안을 축소하려고 한 것 아니냐는 비판이 제기될 수 있는 대목이다.
법원행정처 전산정보관리국 사이버안전과 명의의 대외비 보고서의 제목은 '라자루스 악성코드 분석 보고'이다. 자료사진
앞서 CBS노컷뉴스는 올해 4월 대법원이 국내 유명 보안업체와 함께 진행한 보안점검 대외비 보고서를 입수해 보도했다. 해당 보고서 제목은 '라자루스 악성코드 분석 보고'다. 행정처가 작성한 총 11쪽 분량의 보고서에는 2021년 3월 최초 악성코드 생성 시점부터 자료 유출과 후속 조치가 이뤄진 지난 2월까지 상황이 시간순으로 정리돼 있다. 이 보고서에는 335기가바이트(GB)의 데이터가 유출됐다는 사실이 적시돼 있고 '라자루스'라는 표현도 13회 나온다.
"서울중앙지법 임시서버에서 라자루스 악성코드가 탐지돼 보안업체에 분석을 의뢰했다"는 행정처 주장 역시 사실이 아닌 것으로 밝혀졌다. 라자루스 악성코드는 올해 2월 국내 굴지의 유명 보안업체의 백신 프로그램 예약검사에서 처음 탐지됐다. 이후 악성코드 감염 원인 파악을 위해 해당 업체가 대법원 측에 세부 포렌식 분석을 먼저 제안했다는 것이다.
행정처는 지난달 30일 CBS노컷뉴스 보도로 라자루스 해킹 피해 사실이 처음 공개된 직후에도 "라자루스 소행으로 단정할 수 없고 소송서류 등 유출 여부를 확인할 수 없다"고 입장을 밝혔다. '라자루스'를 특정한 대외비 보고서의 존재를 밝힌 지난 4일 보도에는 "제3의 공격자가 라자루스의 기법을 활용해 악성행위를 할 수 있다. 공격방식이 유사하다는 이유로 북한 라자루스라고 단정할 수 없다"고 기존 입장을 유지했다.
법조계에선 '별일 아니'라는 법원의 계속된 해명과는 달리 이번 라자루스 해킹 사태가 심각한 문제라고 지적한다. 실제 악성코드 감염 사실이 확인됐고 북한의 해킹 그룹인 라자루스 소행으로 의심할 흔적이 다수 발견됐다. 300GB가 넘는 전자정보가 대량으로 빠져나갔지만 행정처는 '무엇이 유출됐는지 특정할 수 없어 확인된 피해 사실은 없다'는 말만 되풀이하고 있다.
행정처 관계자는 최초 의혹 제기 후 나흘이 지나서야 "향후 유출이 의심되는 파일의 규모와 내역 등을 (국가정보원 등) 관계 기관과의 협의를 통해 추가 조사할 예정"이라고 했다.