개보위, 법 개정 전 공공기관 최대 과징금
북한 해커 개방 운영된 포트 통해 침입
주민번호 포함된 문서 암호화도 안 해
유출 인지하고도 8개월 지나 신고
강대현 개인정보보호위원회 조사총괄과장이 9일 서울 종로구 정부서울청사에서 열린 제1회 전체회의 뒤 법원행정처에 대한 처분 결과를 설명하고 있다. 연합뉴스
약 1만8,000명의 개인정보가 포함된 소송 관련 문서를 유출한 법원행정처가 2억 원이 넘는 과징금 처분을 받았다. 2023년 9월 개인정보보호법 개정 이전 공공기관에 대한 제재 중 가장 많은 과징금이다.
개인정보보호위원회(개보위)는 9일 서울 종로구 정부서울청사에서 열린 전체회의 뒤 개인정보보호 법규를 위반한 법원행정처에 2억700만 원의 과징금과 600만 원의 과태료를 부과했다고 밝혔다. 법 개정 전 기준으로는 공공기관 최대 과징금이고, 개정 이후를 포함하면 135만 명의 개인정보를 유출해 지난해 9월 4억8,000만 원이 부과된 한국사회복지협의회 다음이다.
개보위 조사 결과 법원행정처는 편의를 위해 내부망·외부망 간 상호접속이 가능하도록 포트(네트워크 통신 통로)를 개방해 운영했는데, 북한 해킹 조직 '라자루스'는 이 포트를 통해 침입한 것으로 드러났다. 라자루스는 2021년 1월부터 2023년 2월까지 약 2년간 내부망 전자소송 서버에 저장된 자필 진술서, 혼인관계증명서, 진단서 등 약 1테라바이트(TB) 용량의 소송 관련 문서를 빼냈다.
이 가운데 지난해 5월 경찰 수사로 복원된 데이터는 0.4% 수준인 4.7기가바이트(GB)에 불과했는데, 해당 데이터에서 1만7,998명의 개인정보가 확인됐다. 주민등록번호 약 2,010명, 이름 1만5,000명, 생년월일 2,300명, 연락처 2,000명, 주소 4,200명 등 731종의 개인정보가 포함됐다. 강대현 개보위 조사총괄과장은 이를 감안해 "250배 이상의 유출이 있었을 가능성도 배제할 수 없다"고 말했다.
법원행정처가 개인정보 관리를 소홀히 한 과실도 드러났다. 소송 관련 문서를 전자소송 서버에 저장·보관하면서 주민등록번호가 포함된 문서를 암호화하지 않았고, 내부망의 '인터넷가상화웹서버'에 보안 프로그램도 설치하지 않았다. 또한 인터넷AD(가상화 시스템 계정) 서버 관리자 계정과 인터넷가상화PC(업무용 PC에서 인터넷 환경만 가상화로 전환해 사용하는 방식) 취급자 계정의 비밀번호도 유추하기 쉬운 초기 비밀번호를 바꾸지 않고 그대로 사용했다.
2023년 2월 악성파일을 탐지하고 자체 조사를 통해 같은 해 4월 법원 전산망에서 개인정보가 유출된 정황을 인지했지만, 한참 뒤인 12월 유출 신고를 하고 홈페이지에 관련 안내문을 게시한 사실도 확인됐다. 개보위는 법원 자체적으로 관련 사항을 확인하고 책임자에 대한 징계 조치를 검토하도록 권고했다.
개보위는 "대량의 개인정보를 처리하고 있는 공공기관은 보안 프로그램 설치·운영이나 각종 운영체제 등에 대한 보안 업데이트 등 안전을 위한 의무 사항을 반드시 이행해야 하고, 외부의 불법 접근 시도에 대해서도 상시 감시하는 등 각별한 주의가 필요하다"고 당부했다.
기사 URL이 복사되었습니다.
댓글0