법원 전산망 비번 ‘123qwe’ 6년간 그대로… “보안의식 매우 낮아”

서버 9000개 보안 인력 9명 불과
‘늑장’ 수사의뢰 등 총체적 부실대응

북한 해킹조직 ‘라자루스’가 국내 법원 전산망을 해킹해 1TB(테라바이트)가 넘는 문서를 빼내는 과정에서 사법부의 허술한 보안시스템과 총체적 부실 대응이 여실히 드러났다는 지적이 나온다. 사법부는 해킹 정황을 파악하고서도 10개월간 수사를 요청하지 않았고, 비밀번호를 허술하게 관리하는 등 보안의식도 부족했던 것으로 나타났다.

12일 동아일보 취재를 종합하면 2021년 1월 7일 이전부터 해킹 정황이 있었지만, 법원행정처가 이를 처음으로 탐지한 것은 김명수 전 대법원장 시절인 지난해 2월이었다. 사상 초유의 전산망 해킹이 이뤄졌음에도 사법행정을 총괄하는 법원행정처가 2년 넘게 인지조차 못했던 것이다.

포렌식 인력과 장비가 없는 법원행정처는 국가정보원에 이를 알린 뒤 민간회사인 ‘안랩’에 악성코드 분석을 의뢰하고 비밀번호 교체 등을 진행했지만, 경찰에 수사를 요청하진 않았다. 특히 지난해 3월 국가정보원이 북한의 해킹 정황을 통보했음에도 법원행정처는 지난해 12월에야 경찰에 수사를 의뢰했다. 법원행정처 관계자는 “법원 전산망엔 민감한 개인정보가 많은 만큼 외부기관 개입 조사에는 신중하게 접근할 수밖에 없었다”고 해명했다.

법원 관계자들은 비밀번호 관리 등 보안의식도 허술했던 것으로 파악됐다. 경찰과 국회에 따르면 전산망 일부 계정의 비밀번호는 ‘123qwe’ 등 쉽게 뚫릴 수 있는 문자열로 구성됐고, 이마저도 6년간 한 번도 바꾸지 않은 것으로 조사됐다. ‘123qwe’의 경우 키보드 왼쪽 상단에 연속적으로 배열된 문자열이라 기억하긴 쉽지만, 손쉽게 입력할 수 있는 탓에 해킹엔 취약할 수밖에 없는 비밀번호다. 법원의 보안의식이 매우 낮았다는 점을 극명히 보여주는 사례라고 전문가들은 지적했다. 9000개가 넘는 서버와 법원 50여 곳 전산망의 보안을 담당하는 인력도 9명에 불과했고, 예산 역시 32억 원만 편성했던 것으로 드러났다.

법원행정처는 경찰로부터 수사 결과를 통보받아 개인정보보호위원회에 신고했고, 경찰청으로부터 유출 파일을 전달받아 개인정보를 분류하고 있다. 법원행정처 관계자는 “별도로 예산과 인력을 투입해 최대한 신속하게 (개인정보가 유출된 국민에게) 개별적으로 통지하겠다”고 밝혔다.


장은지 기자 jej@donga.com