법원 전산망에 북한 해킹조직이 침투해 2년 넘게 개인정보와 소송서류 등 1000기가바이트(GB) 규모의 자료를 빼낸 사실이 정부 합동조사 결과 드러났다. A4용지 26억 장에 해당하는 자료라고 한다. 11일 경찰청 국가수사본부는 지난해 말 불거진 법원 전산망 해킹·자료유출 사건이 북한 해킹조직 ‘라자루스’에 의한 것이라고 밝혔다. 범행은 2021년 1월 7일 이전부터 2023년 2월 9일까지 이뤄졌으며, 자료 유출 규모는 총 1014GB에 이른다. 사법부 전산망이 해킹된 것은 이번이 처음이다.
법원 전산망에는 일반 시민은 물론 국내외 기업과 국가 기관에서 제출한 수많은 자료가 모여 있다. 북한이 빼낸 개인 정보가 각종 범죄에 악용될 수 있는 것은 물론이고, 유출된 주요 기관의 자료는 국가 안보를 위협할 수 있다. 더구나 정부 수사에도 불구하고 범행의 목적·경로, 피해 규모, 유출 자료 내용이 정확하게 파악되지 않아 우려가 더 크다. 국수본에 따르면 현재까지 유출 자료 중 구체적인 내용 확인이 가능했던 것은 전체의 0.5%에 불과하다고 한다. 민간기업에서 개인 정보가 유출돼도 큰일인데, 공공기관에서 북한의 대규모 해킹에 무방비로 당했다니 당국이 제대로 된 안보·보안 의식이 있었는지 되묻지 않을 수 없다. 북한의 무력 도발 위협이 날로 거세지는 상황에 대해 비상한 인식을 하고나 있었는지, 도대체 정보기술(IT) 강국이라는 나라의 사법부에서 일어날 일인지 반문하지 않을 수 없다.
개인정보보호위원회는 관리 소홀로 221만여명의 개인 정보를 유출한 ‘골프존’에 지난 8일 75억여 원의 과징금을 부과했다. 기업의 개인정보 보호 책임성을 더 강화하는 추세에 따른 것이다. 그러나 공공기관의 정보 관리에 대한 법적 책임이나 유출에 대한 제재는 상대적으로 미미하다는 지적이 나온다. 윤영덕 더불어민주당 의원이 개인정보위로부터 제출받은 자료에 따르면 공공기관 개인정보 유출건수는 2019년 5만2000건에서 지난해 8월 기준 339만8000건으로 늘었다. 같은 기간 민간기업 유출 건수는 1398만9000건에서 261만7000건으로 줄었다. 하지만 2022년부터 지난해 8월까지 공공기관당 평균 과징금 및 과태료는 700만원으로, 민간기업(1억원)의 7%에 불과했다.
공공기관은 개인정보보호책임자(CPO)의 법적 전문성 요건도 민간기업에 비해 느슨하고 ‘정보보호 최고책임자(CISO)’를 둘 의무도 없다. 정부는 ‘사이버 보안’이 국가안보·국민안위와 직결된다는 사실을 명심하고 기술과 인적·물적 자원을 동원해 공공기관의 보안 체계를 대대적으로 개선해야 한다. 또 입법을 비롯한 후속 대책을 마련해야 할 것이다.