법무법인 로고스의 대형 해킹 사건이 알려진 가운데 최근 법무법인 바른에도 해킹 시도가 있었던 것으로 전해지면서 로펌업계 전반에 긴장감이 고조되고 있다. IT 대기업들조차 연이은 대형 해킹·정보 유출 사고를 겪으며 ‘안전지대는 없다’는 인식이 확산하는 상황이다. 

소송과 계약 등 민감한 정보를 다루는 법무법인들의 서버를 겨냥한 해킹 시도가 이어지며 업계 내 우려가 커지고 있다.

16일 로펌업계에 따르면 최근 법무법인 바른의 법인 서버를 향한 해킹 시도가 있었으나 실패한 것으로 확인됐다. 현재까지 정보 유출 정황은 확인되지 않았지만, 해킹 시도 자체가 포착되면서 내부적으로는 정보 보안과 관련해 각별한 주의를 당부하는 분위기가 형성됐던 것으로 전해진다.

바른 측은 “법인 소속 변호사가 사용하는 개별 PC를 통해 법인 서버에 대한 접근 시도가 있었으나 실패했으며, 현재 법인 서버에서 개인정보가 유출된 사실은 없다”며 “추가적인 피해 발생 여부와 범위 등을 확인하기 위해 자체 조사와 대응을 진행하고 있다”고 입장을 밝혔다.

업계에서는 다른 로펌을 상대로도 추가적인 해킹 시도가 생길 수 있다는 관측이 나오면서, 전반적으로 보안 시스템 점검과 강화에 나서는 분위기가 감지된다. 

앞서 지난달 법무법인 로고스는 내부 전산시스템 해킹으로 대규모 개인정보가 유출돼 개인정보보호위원회로부터 과징금 5억2300만원과 과태료 600만원을 부과받았다. 해커는 로고스의 관리자 계정 정보를 탈취해 내부 인트라넷에 접속한 뒤 사건관리 리스트 4만여 건과 소송 관련 문서 약 18만5000건(1.59테라바이트)을 빼내 다크웹에 게시했으며, 이후 랜섬웨어 공격으로 서버를 마비시키기도 했다. 

해커 측이 비트코인 등 금전적 요구를 한 정황도 관측된다. 유출 문서에는 이름, 주민등록번호, 계좌번호, 범죄 이력, 건강정보 등 민감한 개인정보가 대량 포함된 것으로 파악됐다.

조사 결과 로고스는 외부 접속에 대해 IP 제한이나 다중 인증 없이 ID·비밀번호만으로 접근이 가능하도록 운영하는 등 접근통제와 보안 관리가 전반적으로 부실했던 것으로 드러났다. 주민등록번호와 계좌번호 등을 암호화하지 않은 채 저장했고, 개인정보 파기 기준도 마련하지 않았다. 특히 지난해 9월 유출 사실을 인지하고도 1년 이상 관련 사실을 통지하지 않아 개인정보위는 이를 ‘매우 중대한 위반’으로 판단했다.

올해 SK텔레콤, 넷마블, 롯데카드, KT, 두나무(업비트) 등 다수의 대형 기업에서 해킹 사고가 이어진 데 이어, 최근 쿠팡의 대규모 정보 유출 사건까지 발생하며 정보보안에 대한 사회적 관심이 높아진 바 있다.

소송, 기업 딜(deal) 자문 등 고객의 주요 정보를 다루는 로펌업계 역시 정보보안 이슈에 촉각을 곤두세울 수밖에 없는 상황이다. 

올해 4월 공개매수를 앞둔 회사의 미공개 정보를 이용해 부당이득을 챙긴 혐의로 법무법인 광장의 전직 전산실 직원들이 구속기소되기도 했다. 미공개 정보 이용 사실이 인지된 이후 해당 직원들은 해고 처리됐으며, 광장 측은 내부 전산시스템을 개편·개선하는 등 보안 강화에 나선 바 있다.

로펌의 경우 내부 이메일만 해도 의뢰인과의 사건 진행 관련 소통 내용, 소장·준비서면·증거자료 초안 및 수정본 등 사건 정보뿐 아니라 의뢰인의 신원정보, 계약서 등 금융자료, 범죄 이력, 건강정보 등 민감한 개인정보가 첨부파일이나 본문 형태로 포함되는 경우가 적지 않다.

미국에서도 로펌 이메일·문서 시스템이 해킹돼 의뢰인 계약서와 내부 커뮤니케이션이 유출된 사례가 여럿 발생한 바 있으며, 국내 역시 로펌 전산시스템 침해로 사건 자료와 개인정보가 외부로 유출된 사례가 없지 않다.

한 대형 로펌 관계자는 "법무법인의 경우 고객 정보와 소송 정보 등 민감한 자료가 많아 여타 기업과 비슷한 수준과 빈도로 IT 시스템 점검을 진행하고 있다"며 "해커가 작정하고 공격할 경우 규모와 무관할 수는 있겠지만, 상대적으로 중소형 로펌이 취약하다고 판단돼 표적이 될 가능성은 더 높다"고 말했다.

개인정보보호법에 따라 법무법인도 개인정보 처리자로 분류돼 개인정보보호위원회의 과징금 부과 대상이 된다. 과징금은 개인정보 유출 규모와 민감정보·고유식별정보 포함 여부, 접근통제·암호화 등 기술적·관리적 보호조치의 적정성, 통지 지연 여부 등을 종합해 위반 행위의 중대성을 판단한 뒤 산정된다. 대규모 유출이나 보호조치가 전반적으로 미흡한 경우 ‘매우 중대한 위반’으로 분류돼 법정 상한에 근접한 금액이 부과될 수 있다.

과징금 상한은 원칙적으로 위반 행위와 관련된 매출액의 3% 이내이며, 관련 매출액 산정이 어려운 경우 정액 기준이 적용된다. 최근 쿠팡의 대규모 정보 유출 사태로 사회적 관심이 커지면서, 중대한 개인정보 유출 사고를 낸 기업에 전체 매출액의 최대 10%까지 과징금을 부과할 수 있도록 하는 법안이 15일 국회 정무위원회 법안심사1소위원회를 통과했다.