북한에 개인정보 털린 법원행정처.. 과징금 2억원

[이데일리 김범준 기자] 법원행정처가 개인정보가 포함된 소송 관련 문서 약 1테라바이트(TB) 규모의 데이터를 유출한 중과실로 2억원이 넘는 과징금 처분을 받았다. 개인정보 보호법 개정 이전 공공기관에 대한 제재 중 역대 가장 큰 과징금 규모다.

고학수 개인정보보호위원회 위원장이 지난 8일 오후 서울 종로구 정부서울청사에서 개최한 2025년 제1회 개인정보보호위원회 전체회의에서 모두발언을 하고 있다.(사진=개인정보보호위원회)

개인정보보호위원회는 9일 서울 종로구 정부서울청사에서 브리핑을 열고, 전날 열린 제1회 전체회의에서 개인정보보호 법규를 위반한 법원행정처에 대해 총 2억700만원의 과징금과 600만원의 과태료를 부과했다고 밝혔다.

아울러 개인정보처리시스템 운영체계 및 조직·인력, 관련 규정 등 보호체계 전반에 걸쳐 안전조치 실태를 점검하고, 개인정보 보호조치 수준 향상 방안을 마련하도록 개선 권고하기로 의결했다고 밝혔다.

유출 신고에 따른 개인정보위 조사 결과, 법원행정처는 이용상 편의를 위해 내부망과 외부망 간 상호 접속이 가능하도록 포트(네트워크 통신 통로)를 개방·운영했다. 포트를 통해 침입한 북한 해킹 그룹에 의해 내부망 전자소송 서버(스토리지)에 저장된 자필 진술서, 혼인관계증명서, 진단서 등 다량의 소송 관련 문서가 포함된 1014기가바이트(GB) 분량의 데이터가 유출됐다.

이 중 지난해 5월 경찰 수사 결과 복원이 이루어진 4.7GB의 파일을 개인정보위가 분석한 결과, 해당 데이터 내 1만7998명의 개인정보가 확인됐다. 주민등록번호 약 2010명, 이름 1만5000명, 생년월일 2300명, 연락처 2000명, 주소 4200명 등 소송 관련 731종의 개인정보가 포함됐다. 관련 법령상 주민등록번호가 유출된 규모에 비례해 과징금 규모가 결정된다.

강대현 개인정보위 조사총괄과장은 이날 브리핑에서 “유출된 1014GB 데이터 중 약 0.4% 수준인 4.7GB만 복원이 가능했다”며 “평균적으로 미뤄 볼 때 이보다 약 250배 정도 이상의 유출이 있었을 가능성도 배제할 수는 없다”고 말했다.

(자료=개인정보보호위원회)

조사 결과 법원행정처는 소송 관련 문서(PDF 파일로 변환)를 전자소송 서버(스토리지)에 저장·보관하면서 주민등록번호가 포함된 소송문서를 암호화하지 않은 것으로 나타났다. 또한 내부망에 위치한 ‘인터넷가상화웹서버’에 백신 소프트웨어 등 보안프로그램을 설치하지 않고 운영하는 등 기본적인 안전조치가 미흡했던 것으로 나타났다.

아울러 법원행정처는 인터넷AD(가상화 시스템 계정)서버 관리자 계정과, 인터넷가상화PC(업무용PC에서 인터넷 환경만 가상화로 전환해 사용하는 가상PC) 취급자 계정의 비밀번호를 유추하기 쉬운 해당 계정의 초기 비밀번호를 그대로 사용했다.

이 밖에도 2023년 2월 악성파일을 탐지하고 침해사고 자체조사를 진행해 그 해 4월 법원 전산망에서 개인정보가 유출된 정황을 인지했지만, 한참 뒤인 12월에 개인정보 유출 신고를 하고 홈페이지에 유출 관련 안내문을 게시한 사실도 확인됐다.

이에 대해 법원행정처는 인지하기 어려운 점이 있었다고 소명을 했지만, 개인정보위는 이미 소송 문서가 나왔고 개인정보가 포함된 것을 충분히 유추할 수 있을 것으로 판단해 이러한 주장을 인정하지 않았다. 개인정보위는 법원 자체적으로 관련 사항을 확인하고 관련 책임자에 징계 조치를 검토하도록 권고했다.

개인정보위는 “대량의 개인정보를 처리하고 있는 공공기관들은 보안 프로그램 설치·운영이나 각종 운영체제 등에 대한 보안 업데이트 등 안전조치와 관련된 의무 사항을 반드시 이행하는 것은 물론, 외부의 불법접근 시도에 대해서도 상시 모니터링 하는 등 각별한 주의가 필요하다”고 당부했다.