북한 정찰총국 산하 해커 조직으로 알려진 '라자루스(Lazarus)'가 사법부 내 전산망을 해킹해 데이터를 빼돌리는 과정에서 다수 파일에서 공통으로 포함된 문자열을 추출해 단일 파일로 저장하는 프로그램을 활용한 것으로 파악됐다.
사법부 전산망에서 최소 335GB(기가바이트)의 전산정보가 유출된 것으로 확인된 가운데 해커 조직이 특정 의도를 가지고 대법원 서버에 침투했을 가능성이 의심되는 대목이다.
8일 CBS노컷뉴스 취재를 종합하면 국내 유명 보안전문업체는 지난 2월 자사 백신검사를 통해 대법원 내외부망의 시스템 일부에서 문제의 악성코드를 탐지했다. 이후 대법원 측에 감염 원인 파악을 위해 포렌식 분석을 제안했고, 4월까지 보안 점검을 진행했다.
CBS노컷뉴스가 단독 입수한 대법원 전산정보관리국 사이버안전과 명의의 '대외비' 분석 보고서를 보면 지난해 4월 19일 서울중앙지법 스캔서버에서 'wget.exe'와 문서 뷰어 프로그램에서 쓰이는 특정 명령어가 실행된 것으로 확인됐다.
라자루스는 최소 2021년 3월 사법부 전산망에 침투한 뒤 시스템을 차츰 장악해 그해 6월에는 명령어 실행으로 정보수집이 가능한 상태였다. 라자루스는 이듬해 4월 19일까지는 별다른 활동을 하지 않았다. 물론 포렌식의 한계로 상세 활동을 추적하지 못한 결과일 수도 있다.
먼저 'wget' 명령어는 HTTP통신 또는 FTP통신을 통해 파일을 다운로드하는 프로그램이다. 가령 'wget https://www.nocutnews.co.kr/'이라고 입력하면 노컷뉴스 홈페이지의 서버로부터 콘텐츠를 가져올 수 있다.
라자루스는 이 명령어를 통해 서울중앙지법 스캔서버에서 인터넷 가상PC로 8분 동안 약 670MB(메가바이트)의 자료를 전송했다.
이어 같은날 국내 중소기업의 한 문서 뷰어 프로그램에서 쓰이는 명령어가 실행됐다. 이 명령어는 다수 파일에 포함된 공통의 문자열을 추출해 단일 파일로 저장하는 프로그램이다. 라자루스가 원하는 문자열이 포함된 파일을 탐색했을 것으로 추정되는 대목이다.
예를 들어 서울중앙지법 스캔서버에 담긴 수많은 파일 가운데 '국가보안법', '반도체', '살인' 등의 단어가 담긴 자료를 골라 하나의 파일로 만든 뒤 이를 빼돌렸을 가능성이 있다.
라자루스는 이처럼 특정 의도를 가지고 추린 335GB 자료를 지난해 12월 13일부터 올해 1월 17일까지 다섯 차례에 걸쳐 외부 서버로 유출할 때는 'rar' 압축파일과 'pdf' 파일을 이용했다. 라자루스 같은 북한 해커 조직이 추적을 피하기 위해 활용하는 대표적인 '안티포렌식' 기법이다.
라자루스는 사법부 내외부망을 자유로이 오가며 파일을 다운로드하고 압축한 뒤 이를 빼돌렸다. 자료를 빼낸 뒤에는 압축파일을 삭제했다. 이런 사정 탓에 대법원은 탈취당한 자료의 자세한 내역은 아직도 파악하지 못하고 있다.
보안 분야 전문가들은 재발 방지를 위해 해킹 사고의 원인, 경로를 정확히 파악해야 한다고 입을 모았다.
정보보호 전문가인 구태언 변호사는 "법원의 내부 서버에 외부인이 들어올 수 있는지. 그 경로가 이번에 찾아낸 것 말고 또 있는지 등을 확인해야 한다. 일단 한 번 뚫렸다면 다시 뚫릴 가능성이나 다른 취약성이 여전히 남아있을 가능성이 있다"며 "법원은 모든 서버를 전수 조사해서 보완 작업을 해야 한다"고 말했다.
그는 법원이 해킹 침해 사실을 투명하게 공개해야 한다고도 했다. 구 변호사는 "헌법 기관이라는 점과 (해킹 사태를) 정확히 국민에게 알리는 것은 다른 문제"라며 "헌법 기관이라고 해서 국민의 재산과 권리를 다루는 여러 문서, 정보들이 해킹될 수 있다는 사실을 밝히지 않아도 되는 것은 아니지 않느냐"고 반문했다.
그러면서 "돈을 노린 해킹 조직이 아니라 국가적인 혼란일 부추길 목적이라면 법원에 연결된 시스템을 파괴, 공격할 수도 있는 것"이라며 "취약점을 전수 조사해서 안전한 시스템을 만들어야 할 의무가 법원에 있고 국민은 이것을 요구할 권리가 분명히 있다"고 강조했다.