연합뉴스·스마트이미지 제공국가정보원이 대법원 인터넷 가상화시스템의 계정을 관리하는 'AD(Active Directory) 서버'를 북한 해커조직이 장악해 사법부 내부망에 침투한 사실을 파악한 것으로 알려졌다.
인터넷 가상화시스템은 사법부 내부시스템과 분리된 인터넷 사용을 위한 시스템이다. 국정원은 최근 현장조사를 통해 북한 해커조직 '라자루스(Lazarus)'가 해당 AD 서버 관리자 계정을 해킹했고, 이를 통해 직원들의 계정까지 침투한 것으로 보고 있다.
4일 CBS노컷뉴스 취재를 종합하면 국정원은 지난달 23일 경기도 성남시 분당에 위치한 대법원 전산정보센터에서 현장조사를 마치고 철수했다. 국정원은 이런 현장조사 주요 내용을 법원 담당자들에게도 구두로 전달한 것으로 전해졌다.
앞서 법원행정처는 외부 해킹 피해를 파악하고도 1년 가까이 해당 사실을 숨겨왔다. 또한 CBS노컷뉴스가 지난해 보도를 통해 북한의 사법부 해킹 의혹을 제기했음에도 "북한 소행이라고 단정할 수 없다"는 말만 반복했다.
하지만 국정원이 북한의 소행이라고 1차적 판단을 내린 것이다. 국정원은 인터넷 가상화시스템의 계정을 관리하는 AD 서버가 장악되면서 가상화 시스템을 사용하는 직원들의 계정이 노출됐고, 이를 통해 사법부 전산 내부망으로까지 침투한 것으로 파악한 것으로 알려졌다.
라자루스가 직원들의 계정까지 해킹한 것으로 파악되면서 앞서 해킹이 확인된 서울중앙지법 스캔서버 외에 다른 여러 서버에도 접근해 자료를 탈취했을 가능성마저 나오고 있다.
해킹 의혹이 불거진 이후 취약한 비밀번호 관리도 드러났다. 일부 관리자 계정의 비밀번호는 'P@ssw0rd'로 확인됐다. 특히 6년 넘게 비밀번호를 바꾸지 않은 경우도 있었다.(관련기사 : [단독]'北해킹' 반년 넘게 숨긴 법원…털린 비밀번호는 '123qwe') 안일한 보안 의식이 화를 키운 셈이다.
현재까지 해킹 피해로 최소 335GB(기가바이트) 용량의 데이터가 빠져나간 것으로 파악됐지만, 피해 규모는 더 커질 가능성도 있다. 더욱 문제는 해킹으로 어떤 자료가 빠져나갔는지 구체적인 파악이 이뤄지지 않았다는 점이다. 판결문과 같은 소송 서류는 물론 개인정보와 기업 관련 기밀 등이 포함됐을 가능성도 높다.
수사기관도 구체적인 피해 규모와 대상 등을 파악 중이다. 현재 서울동부지검 사이버범죄수사부와 경찰청 사이버테러대응과가 합동수사를 벌이고 있다.
한편 사법부 전산망에는 2021년 3월 악성코드가 최초 생성됐는데, 이때부터 공격이 시작된 것으로 보인다. 법원행정처는 2023년 2월 피해를 인지했고, 4월에는 국내 유명 보안업체에 의뢰해 라자루스 악성코드의 침투와 자료 유출 경위, 해킹 피해 내역 등을 파악했다.
하지만 법원행정처는 개인은 물론 기업들의 민감한 정보가 유출됐을 가능성이 높은 상황임에도 이를 반년 넘게 외부에 알리지 않았고, 지난해 11월 CBS노컷뉴스 첫 보도 이후에도 "북한 소행으로 단정할 수 없다"는 석연찮은 해명을 내놓았다. 조희대 대법원장은 취임 직후 "빠르게 대응하겠다"라고 말했다.