서울 서초동 법원종합청사. 연합뉴스 북한 정찰총국 산하 해커 조직으로 알려진 '라자루스(Lazarus)'는 최소 2021년 3월 18일 이전에 대법원 가상화웹서버에 침투해 2년 가까이 은밀히 활동하며 최소 335.14GB(기가바이트)의 전산정보를 탈취했다.
북한 라자루스 소행으로 추정되는 대법원 전산망 해킹. 이 간단한 사실관계를 두고 대법원 법원행정처는 사태를 은폐·축소하는 데 급급한 모습을 보이고 있다. 대법원이 작성한 '대외비' 보고서를 중심으로 법원행정처의 해명이 왜 거짓말 투성이인지 살펴본다.
6일 CBS노컷뉴스 취재를 종합하면 대법원은 지난달 30일 반 년 넘게 숨기고 있던 사법부 전산망 해킹 사태가 CBS 보도로 뒤늦게 공개된 뒤 "데이터 흐름이 있었음은 확인하였으나, 라자루스로 단정할 수 없다"고 해명했다.
그러면서
①라자루스 사법부 전산망 침투,
②서울중앙지법 서버도 포함,
③최대 수백기가바이트 빼가 부분을 수정해 달라고 CBS에 요청했다.
지난달 30일 CBS의 최초 보도 이후 대법원 법원행정처 전산정보관리국이 배포한 'CBS 기사 관련 수정 요청' 문건 중 일부 발췌. 법원행정처 제공대법원 법원행정처는 "인터넷 가상화는 내부시스템과 분리된 인터넷 사용을 위한 시스템으로 인터넷을 사용하기 때문에 외부 사이트와 다량의 통신이 있을 수 있다"며 "데이터의 세부사항 특정이 불가하여, 소송서류 등 유출여부를 확인할 수 없다"고 설명했다.
요약하면 다량의 통신으로 데이터가 빠져나간 것은 사실이지만 내용은 확인할 수 없다는 의미가 된다. 즉 대법원 서버가 해킹을 당해 자료를 탈취당한 것은 맞지만 북한의 소행으로 단정할 수 없고 어떤 자료가 얼마나 유출됐는지도 확인할 수 없다는 것이다.
사과는 없었다. 전자소송 확대 추세로 대법원 전산망에는 판결문 등 사건기록은 물론, 소송 당사자들이 제출한 소장·준비서면·답변서 등 각종 소송서류 등 민감 정보가 전자정보 형태로 대거 저장돼 있다. 행정처 주장대로 북한의 소행이 아니더라도 무더기로 자료가 유출된 것은 사실인데 사과는 없었다.
CBS노컷뉴스는 이달 4일 대법원 전산정보관리국 사이버안전과 명의의 '대외비' 보고서를 단독으로 입수해 내용을 전했다. 총 11쪽 분량의 문건 제목은 '라자루스 악성코드 분석 신고'였다. 보고서에는 '라자루스'라는 표현이 13번이나 담겼다.
이 보고서에 따르면 앞서 행정처가 수정을 요청한 '
②서울중앙지법 서버도 포함', '
③최대 수백기가바이트 빼가' 부분은 CBS 기사가 맞고, 행정처 수정 요청이 틀린 것으로 확인됐다.
해킹 조직은 지난해 12월 13일부터 올해 1월 17일까지 다섯 차례에 걸쳐 335.14GB의 전자정보를 외부로 빼돌렸다. 서울중앙지법 스캔서버에서 인터넷 가상PC로 일차적으로 자료가 전송된 뒤 다시 외부의 2개 IP(인터넷주소)로 빠져나가는 수법이었다.
행정처의 거짓말은 이뿐만이 아니다. 행정처는 지난 1일 CBS 취재진이 전달한 해킹 피해 관련 질의에 사흘이 지난 4일 오후 A4용지 두 쪽 분량의 설명을 보내왔다. 행정처는 이 설명에서도 "라자루스 소행으로 특정할 수 없고, 공격 주체를 확인할 수 없다"는 입장을 유지했다.
대법원 법원행정처가 CBS의 해킹 취재 관련 추가 질의에 4일 보내온 답변 중 일부. 법원행정처 제공행정처는 그 근거로 "라자루스가 자주 사용하는 공격기법은 이미 외부에 공개돼 제3의 공격자가 해당 기법을 활용하여 악성행위를 할 수 있으므로 공격방식이 유사하다는 이유로 북한의 라자루스로 단정할 수 없다"고 했다.
또 오후에 전체 기자단에 배포한 입장을 통해 "
④보안전문업체 분석보고서의 내용 중 '라자루스 그룹의 국내 인증서 소프트웨어의 취약점과 워터홀 공격에 의한 침해는 아닌 것으로 확인한 결과'를 근거로 했다"고 덧붙였다.
이어 "서울중앙지법 임시서버에서 라자도어 악성코드가 탐지되어
⑤보안분석업체에 분석 의뢰했다"며 "(CBS가 보도한) 문건을 작성하는 과정에서 위와 같이 라자도어 악성코드가 탐지되었음을 감안하여 라자루스라고 표현한 것"이라고 강조했다.
이 해명 중
⑤보안분석업체에 분석 의뢰 부분은 명백한 거짓이다. 대법원의 대외비 보고서를 보면 지난 2월 4일 0시 1분 서울중앙지법스캔서버의 백신예약검사로 라자루스 백도어 악성파일이 탐지됐다. 악성코드의 이름은 'Trojan/Win.Lazardoor.C5370056'으로 며칠 전인 같은해 1월 3일 업데이트된 파일이었다.
같은해 2월 9일에는 대법원 인터넷 가상PC 4대에서 차례로 서로 다른 라자루스 백도어 악성파일이 탐지됐다. 이 역시 하루 전인 2월 8일 백신이 업데이트되며 자동으로 탐지된 결과였다.
CBS노컷뉴스 취재를 종합하면 국내 유명 보안전문업체는 자사 백신검사를 통해 대법원 내외부망의 시스템 일부에서 문제의 악성코드가 탐지되기 시작하자 대법원 측에 감염 원인 파악을 위해 포렌식 분석을 제안했고, 4월까지 보안 점검을 벌인 것으로 파악됐다.
행정처가 설명한 대로 대법원이 악성코드를 탐지한 뒤 먼저
⑤보안분석업체에 분석을 의뢰한 것이 아니라 유명 백신의 악성코드 목록이 업데이트되고 나서 백신검사로 악성코드를 탐지한 보안업체가 대법원에 포렌식 분석을 제안한 것이다.
행정처의 해명 중에서
②서울중앙지법 서버도 포함,
③최대 수백기가바이트 빼가,
⑤보안분석업체에 분석 의뢰 부분은 거짓으로 드러났다. 이번 해킹 사태의 핵심 의혹인
①라자루스 사법부 전산망 침투 해명 역시 말장난에 가깝다.
해커 조직은 최대한 흔적을 남기지 않는다. 이번에도 사법부는 무슨 파일을 빼앗겼는지 아직도 모른다. 대신 코드는 남는다. 보안업체들은 이 코드를 역으로 분석해 누구의 소행인지 추적한다. 특정 조직이 자주 활용하는 코드가 발견되면 이를 그 조직의 소행으로 추정한다.
유명 백신업체는 라자루스 그룹의 악성코드를 'Trojan/Win.Lazardoor' 파일로 이름짓고, 지난해 12월부터 여러 차례 업데이트를 진행했다. 이 백신검사를 통해 사법부 전산망에 2년 전부터 침투해 있던 악성코드가 뒤늦게 탐지된 것이다.
특히 보안업계 전문가에 따르면 이번에 사법부 해킹에 활용된 'C2(Command & Control)' 서버 해킹은 내부망과 외부망이 분리된 시스템을 제어하는 것으로, 라자루스 그룹이 2018년과 2019년에 가상화폐 거래소 공격 등에 활용한 고전적인 수법이다.
한국인터넷진흥원 김동욱 선임연구원은 지난 9월 한 정보보호 콘퍼런스에서 "라자루스 그룹은 과거부터 웹 통신 기반의 명령 및 제어 인프라를 유지해 왔다. 그들은 망분리된 기업의 내부망에 침투할 때 웹 기반 C2 서버를 구축하는 경향이 있으며, 이를 통해 감염된 시스템들을 제어한다"고 말했다.
이번 사법부 해킹 사태 역시 인터넷 가상PC(웹서비스 악성코드 유포, 이메일 피싱 등) 권한 탈취 → 가상화웹서버 C2기능 탑재 → 내부 PC, 서버로 악성파일 전송 방법이 활용된 것으로 보인다.
행정처는
④라자루스 그룹의 국내 인증서 소프트웨어의 취약점과 워터홀 공격에 의한 침해는 아닌 것으로 확인한 결과를 라자루스 소행으로 볼 수 없다는 근거로 들었지만 사법부 전산망은 이 수법이 국내에 유행한 지난해 4월보다 훨씬 이전인 2021년 3월부터 이미 침해된 상태였다.
대법원의 보고서를 보면 사법부 전산망은 최소 2021년 3월 18일(최초 공격은 이전으로 추정된다) 공격을 받았고, 공격자는 그해 6월까지 서버와 스크립트 여러 곳에 접근했다. 심지어 명령어 실행으로 정보수집도 가능한 상태였다.
정확한 침투 경로는 확인할 수 없지만 이미 전산망을 지배하고 있던 해커 조직으로선 그 이후에 새롭게 고안해 낸 '인증서 소프트웨어 취약점' 공격 방식을 활용할 필요도 없었던 셈이다.
라자루스로 추정되는 해커 조직은 지난해 4월까지는 잠잠했다. 물론 아직도 드러나지 않은 자료 탈취 사례가 더 있을 수 있지만 더 이상의 추적은 불가했다. 그러다 12월부터 활동을 재개해 올해 1월까지 5차례에 걸쳐 335GB의 자료를 빼냈다.
유명 보안업체가 라자루스 악성코드에 대한 백신 파일을 업데이트하지 않았다면 사법부 전산망은 여전히 라자루스 추정 해커 조직에 의해 침투된 상태였을 것이 명백하다. 어떤 자료가 얼마나 더 탈취당했을지 가늠하기조차 힘들다.
해킹 피해는 숨긴다고 가려지지 않는다. 북한이 '우리가 했다'고 인정하지 않는 한 북한 소행으로 '단정'할 수는 없다. 설령 북한 라자루스 소행이 아닌 것으로 최종 확인된다고 해서 문제가 없어지지는 않는다.
가령 북한이 아니라면 범죄조직이 민감한 소송서류를 빼내 당사자를 협박해 돈을 뜯어내는 데 써먹었을 수 있다. 대기업이 다른 기업의 기밀을 훔치기 위해 사법부 전산망을 털었을 수도 있다. 지금 이 순간에도 대법원 전산망에서 빠져 나간 최소 335GB의 자료가 어떤 식으로 활용되고 있는지 아무도 모른다.
지금 필요한 것은 철저한 조사와 이에 따른 재발방지 대책 마련이다. 행정처는 4일 오후에야 "향후 유출이 의심되는 파일의 규모, 내역 등은 관계기관과의 협의를 통해 추가 조사할 예정"이라고 밝혔다.