법원행정처가 북한 해커 조직인 라자루스에 의해 주민등록번호와 혼인관계증명서 등 민감한 개인정보를 대규모로 유출당한 사실이 드러났다.

개인정보보호위원회는 개인정보 보호법을 위반한 법원행정처에 대해 과징금 2억700만원과 과태료 600만원을 부과했다고 9일 밝혔다.

개인정보위에 따르면 법원행정처는 내·외부망 간 접속을 허용하는 포트를 개방·운영해 해커가 전자소송 서버에 쉽게 접근할 수 있는 환경을 조성했다.

이로 인해 주민등록번호를 비롯한 생년월일·나이·연락처·주소·성별 등 국민 1만8000명의 개인정보가 유출됐다.

특히 유출된 데이터는 1014GB 분량으로 이를 A4용지로 환산하면 26억장에 달하는 방대한 규모다.

유출된 파일에는 △자필 진술서 △혼인관계증명서 △진단서 △채무증대와 지급불능 경위서 등 민감한 소송 관련 문서가 포함돼 있었다. 경찰 조사 결과 일부 데이터는 복구가 불가능한 상태인 것으로 확인됐다.

유출된 자료 가운데 주민등록번호나 채무자료는 대포통장 개설과 같은 금융범죄에 악용될 가능성이 있다. 혼인관계증명서나 진단서에는 가족관계 정보가 포함돼 보이스 피싱 범죄로 이어질 위험도 있다.

조사 결과 법원행정처는 주민등록번호가 포함된 소송문서를 암호화하지 않았으며 서버 계정의 초기 비밀번호를 그대로 사용하는 등 기본적인 안전조치조차 미비했던 것으로 드러났다.

법원행정처는 2023년 4월에 개인정보 유출 정황을 인지하고도 신고를 8개월 이상 지연했으며, 유출 관련 공지를 홈페이지에 게시한 것은 같은 해 12월이었다.

경찰 조사에 따르면 이번 사건을 주도한 해커는 북한의 라자루스 그룹으로 밝혀졌다. 이들은 2021년 1월부터 2023년 2월까지 2년간 국내외 8대 서버를 통해 해킹한 자료를 지속적으로 전송한 것으로 확인됐다.

개인정보위 관계자는 "공공기관은 보안 프로그램 설치와 운영, 보안 업데이트를 철저히 이행해야 한다"며 "외부의 불법 접근 시도에 대해 상시 모니터링 또한 강화해야 한다"고 강조했다.