개인정보보호위원회는 주민번호 등 개인정보가 포함된 소송 관련 문서를 유출한 법원행정처에 과징금 2억700만원과 과태료 600만원을 부과했다고 9일 밝혔다. 개보위는 전날 전체회의를 열고 개인정보보호법을 위반한 법원행정처에 이 같은 규모의 과징금과 시정명령 처분을 의결했다고 이날 밝혔다.
조사 결과 법원행정처는 이용상 편의를 위해 내부망과 외부망 간 상호 접속이 가능하도록 포트(네트워크 통신 통로)를 개방·운영했다. 포트를 통해 침입한 북한 해커는 내부망 전자소송 서버에 저장된 자필 진술서, 혼인관계증명서, 진단서 등 다량의 소송 관련 문서가 포함된 1014기가바이트(GB) 분량의 데이터를 빼돌렸다. 이 가운데 경찰 수사에서 복원된 4.7기가바이트의 파일을 분석한 결과 해당 데이터에서는 1만7998명의 개인정보가 포함된 것으로 확인됐다. 이는 전체 유출 데이터 가운데 0.4%에 불과해 실제로는 더욱 많은 개인정보가 유출됐을 것으로 추산된다.
조사 결과 법원행정처는 PDF 파일로 변환한 소송 관련 문서를 전자소송 서버에 저장·보관하면서 암호화하지 않은 것으로 나타났다. 또한 내부망에 위치한 인터넷가상화웹서버에 백신 소프트웨어 등 보안프로그램을 설치하지 않고 운영하는 등 기본적인 안전조치가 미흡했다.
아울러 법원행정처는 인터넷AD(가상화 시스템 계정)서버 관리자 계정과 인터넷가상화PC 취급자 계정의 비밀번호를 유추하기 쉬운 초기 비밀번호를 그대로 사용했다. 법원행정처는 2023년 2월 악성파일을 탐지하고 침해사고 자체조사를 진행해 그 해 4월 법원 전산망에서 개인정보가 유출된 정황을 인지했지만, 한참 뒤인 12월에 개인정보 유출 신고를 하고 홈페이지에 유출 관련 안내문을 게시했다.
법원행정처에 부과된 과징금은 2023년 9월 개인정보보호법이 개정되기 전 기준으로 공공기관 과징금 가운데 가장 많은 액수다. 개정 이후를 포함하면 공공기관 최다 과징금은 135만명의 개인정보를 유출한 한국사회복지협의회에 작년 9월 부과된 4억8000만원이다.
