法院电算网被朝鲜黑客攻破…个人信息泄露达1000GB

by Choi Seungwoo

Published 11 May.2024 18:05(KST)

作案手法指向朝鲜黑客组织“Lazarus”疑云
已确认泄露资料仅占0.5%…难以估算损失规模

疑似为朝鲜黑客组织的团伙渗透国内法院计算机网络，窃取了超过2年、规模在1000GB（千兆字节）以上、包含个人信息等内容的资料。由此，负责处理敏感个人信息的司法部门在安全管理及应对体系方面存在的问题浮出水面。

警察厅国家搜查本部表示，已将去年底曝光的法院计算机网络被黑及资料外泄事件，联合国家情报院、检察机关进行调查与侦查，并于11日公布了结果。

调查结果显示，对法院计算机网络的入侵发生在2021年1月7日之前开始，一直持续到攻击者的恶意程序被杀毒软件发现并捕捉到的去年2月9日。在此期间，共有1014GB法院资料通过8台服务器（国内4台、海外4台）被传送至法院计算机网络外部。

然而，由于大法院自行应对，警方的侦查直到黑客事件经媒体报道首次曝光之后的去年12月5日才启动。也就是说，在入侵发生后过了相当长时间才开始侦查，未能查明黑客入侵路径和目的。

国家搜查本部相关人士表示：“在恶意程序安装日期中，2021年1月7日是确认到的最早日期”，“攻击者很可能在此之前就已侵入法院计算机网络，但当时安全设备的详细记录已被删除，无法查明最初入侵时间点及原因。”

侦查机关通过还原残留在一台国内服务器上的记录，确认与重整程序相关的5171个文件（4.7GB）被外泄。这仅占全部的0.5%。相关资料包括亲笔陈述书、债务增加及支付不能情况说明书、婚姻关系证明书、诊断书等，其中大量包含姓名、居民登记号、金融信息、病历记录等个人信息。据悉，其余7台服务器因资料保存期限已过，无法再找到任何痕迹。

为防止二次受害，警方已于本月8日将外泄的5171个文件提供给法院行政处，并要求向受害人发出通知。国家搜查本部表示，由接收泄露资料的法院来判断是否属于个人信息，并据此统计受害人数，但由于确认到的资料数量有限，推算实际受害规模恐有困难。

法院计算机网络被黑客入侵并导致资料外泄案概略图【图片由警察厅提供】

侦查机关根据本次犯罪使用的程序类型、利用虚拟资产支付租赁服务器的记录、IP地址等，最终认定本案系朝鲜黑客组织“Lazarus”所为。国家搜查本部称：“与既往被证实源自朝鲜的黑客事件进行对比分析后确认，本次所使用的‘Lazardoor’恶意代码、服务器入侵手法等与Lazarus主要使用的技术大体一致。”

针对法院计算机网络的杀毒程序迟迟才发现恶意代码，有舆论质疑法院安全体系是否过于薄弱。国家搜查本部相关人士表示：“一般而言，黑客会在确认恶意代码不会被杀毒软件查杀后才进行传播，因此很难单纯指责杀毒软件本身性能不足”，“应理解为杀毒程序在更新后才将其检测出来。”