북한의 해킹 조직이 법원 전산망에서 1테라바이트(TB)가 넘는 자료를 해킹으로 빼간 것과 관련해 내부 직원들의 나태한 보안 의식과 보안 총괄 책임자의 부재가 원인이었다는 평가가 나왔다.
김승주 고려대 정보보호대학원 교수는 13일 MBC 라디오 <김종배의 시선집중>에 출연해 이번 사고 원인은 북한이 아주 고난도의 기술을 통해 해킹을 했다기보다는 내부 직원의 보안 의식이 나태해졌기 때문이라고 말했다.
앞서 경찰청 국가수사본부는 2021년 1월부터 지난해 2월까지 북한의 해킹조직이 법원 전산망에 침투해 1014기가바이트(GB)의 자료를 외부로 빼냈다고 밝혔다. 이 중 경찰이 0.5%에 해당하는 4.7GB 자료를 확인한 결과 개인정보가 포함된 자필진술서, 채무증대 및 지급불능 경위서, 혼인관계증명서, 진단서 등이 유출된 것으로 확인됐다. 이번에 유출된 데이터양은 A4 용지 26억 장 규모에 달한다.
김 교수는 유출된 자료 전체 중 파악된 건 0.5% 정도 밖에 안됐다며 법원 전산망에 보관된 자료들은 넓혀서 보면 데이터 외에도 탈북민이라든가 성폭력 피해자 개인정보들도 들어가 있고 특허 등 산업 주요 정보 등도 들어가 있다고 말했다.
김 교수는 해킹 발생 원인에 대해 모든 정부 부처들과 공공기관들은 망 분리라는 걸 한다며 이렇게 극단적 형태의 정보보호를 하게 되면 내부자들은 ‘우리는 인터넷과 연결돼 있지 않기 때문에 안전하다’며 보안인식이 나태해지는 문제를 초래한다고 말했다. 망 분리란 기관 내 전산 컴퓨터 시스템을 인터넷과 분리해 놓는 것을 의미한다.
정부 기관 내 보안 총괄책임자가 부재한 것이 원인이라는 지적도 나왔다. 김 교수는 보통 민간업체에는 임원급으로 보안 총괄책임자를 두게 돼 있는데 공공기관이나 정부기관에선 보안 총괄책임자를 고위공직자로 두지 않는다며 정부 기관도 똑같이 고위공직자에게 권한과 책임을 줘야만 보안조치들을 확실하게 할 수 있다고 말했다.
김 교수는 우리나라가 계속해서 전자정보시스템도 먹통 되고 보안 사고도 계속 났지만 한 번도 책임자가 나오지 않았다. 책임지는 사람이 안 나오는데 어떻게 인스타 팔로워 개선이 되겠냐며 공공기관은 (민간업체와 달리) 과징금을 부과할 수도 없고 책임자도 없으니 나태해지는 것이라고 말했다.