법원행정처가 대규모 개인정보 유출 사고로 개인정보보호위원회로부터 역대 최대 과징금인 2억 700만 원을 부과받았다. 이 사건은 단순히 한 기관의 보안 실패에 그치지 않고, 공공기관 전체의 보안 체계를 근본적으로 재점검해야 할 필요성을 시사한다. 이번 사건을 계기로 사건의 전말과 파급효과, 그리고 해결 방안을 종합적으로 살펴본다.

2024년 5월 발생한 이번 유출 사건은 북한 발 해킹에 의해 법원행정처 서버에서 1,014GB의 데이터가 외부로 빠져나가면서 시작됐다. 경찰 수사 결과, 주민등록번호와 연락처를 포함한 1만8천 명의 민감한 개인정보가 포함되어 있던 것으로 밝혀졌다. 해커는 내부망 전자소송 서버에 접근하여 자필 진술서, 혼인관계증명서 등 주요 문서를 포함한 데이터를 유출했다. 문제의 원인은 명확했다. 법원행정처는 내부망과 외부망 간 접속이 가능하도록 포트를 개방했고, 주민등록번호가 포함된 문서를 암호화하지 않았다. 초기 비밀번호 관리도 허술해 해커의 접근을 더욱 용이하게 만들었다. 게다가 보안 프로그램조차 설치되지 않은 상태였다.

이번 사건의 또 다른 심각성은 법원행정처가 개인정보 유출 사실을 7개월이나 지나서 신고했다는 점이다. 개인정보보호법은 유출 사실을 인지한 후 5일 이내에 신고할 것을 명시하고 있지만, 이를 지키지 않았다. 그 결과, 추가적인 피해 방지와 관련 기관의 신속한 대응이 어려워졌다. 늦어진 대응은 법원행정처에 대한 국민적 신뢰를 크게 손상시켰다. 피해자들은 자신의 개인정보가 유출된 사실을 제때 알지 못해 추가 피해를 막을 기회를 상실했다. 또한, 이 같은 지연은 공공기관 전반의 보안 체계에 대한 불신을 확산시키는 계기가 되었다.

법원행정처 사건은 단순히 한 기관의 문제가 아니다. 공공기관 보안 체계의 취약성이 여실히 드러난 사례다. 국정원의 ‘2023년 공공기관 정보보안 관리실태 평가’에 따르면, 130개 공공기관 중 25개 기관이 보안 수준 미달로 평가됐다. 일부 기관은 여전히 15년 전 운영체제를 사용하고 있는 등 기본적인 보안 조치를 간과하고 있다. 이번 사건은 공공기관의 정보보안 관리가 얼마나 체계적으로 이뤄지고 있는지에 대한 의문을 제기한다. 정보보안은 더 이상 선택 사항이 아니다. 데이터 유출이 개인의 삶에 미치는 영향을 고려할 때, 보안 체계 강화는 공공기관의 책무로 자리 잡아야 한다.

개인정보보호위원회는 이번 사건을 계기로 공공기관 전반에 대한 보안 강화를 권고했다. 구체적으로 다음과 같은 조치가 필요하다. 보안 프로그램 설치와 운영체제 업데이트가 필수적이다. 모든 공공기관은 최신 보안 기술을 도입해 기본적인 보안 조치를 이행해야 한다. 주민등록번호와 같은 민감한 개인정보는 반드시 암호화해 저장해야 한다. 사용자 계정의 초기 비밀번호 설정을 엄격히 관리하고, 비인가자의 접근을 철저히 차단해야 한다. 유출 사고가 발생할 경우 신속히 대응할 수 있는 체계를 마련해야 한다.

법원행정처의 유출 사건은 공공기관의 보안 체계가 얼마나 취약한지를 여실히 보여줬다. 이번 사건이 단순한 과징금 부과로 끝나서는 안 된다. 공공기관은 개인정보 보호를 최우선 과제로 삼아야 하며, 이를 위한 체계적이고 지속적인 노력이 필요하다. 국민의 신뢰를 회복하기 위해서는 강력한 보안 체계와 더불어 책임 있는 관리가 뒤따라야 한다. /윤소리 기자