Cómo fue pirateada la red informática del poder judicial. Proporcionado por el Comité de Información Personal
La Administración Judicial Nacional, que reveló los datos personales de al menos 18.000 personas durante el ataque a la red informática del poder judicial, deberá pagar una multa de 200 millones de wones. Se trata de la multa más cuantiosa jamás impuesta a un organismo público antes de la revisión de la Ley de Protección de Datos Personales.
El Comité de Protección de Información Personal celebró una reunión general el día 8 y anunció el día 9 que había decidido imponer una multa de 207 millones de wones y una multa de 6 millones de wones a la administración del tribunal nacional por haber violado la Ley de Protección de Información Personal. y recomendó mejoras en las medidas de protección de datos personales.
En marzo del año pasado, la administración del tribunal nacional se disculpó tardíamente por la filtración de datos internos de la red informática del poder judicial debido a un ataque de piratería por parte de una supuesta organización de piratería norcoreana llamada «Lazarus» y comenzó a preparar contramedidas. Como medida de seguimiento, la Comisión de Información Personal comenzó a investigar las filtraciones de información personal.
Tras la investigación, se supo que la administración del tribunal nacional abrió y operó una «puerta», un canal de comunicación de red, para permitir que las redes internas y externas se conectaran entre sí para facilitar su uso. El hacker que rompió esta brecha extrajo 1.014 gigabytes (GB) de datos que contenían diversos documentos relacionados con disputas, como declaraciones escritas a mano, certificados de matrimonio y certificados médicos, almacenados en el servidor de disputas electrónicas de la red interna.
Entre ellos, tras el análisis de 4,7 GB de archivos recuperados durante la investigación policial, se confirmó la información personal de 17.998 personas, incluidos los números de registro de los residentes. La Comisión de Información Personal explicó que dado que la escala de los datos recuperados es aproximadamente 1/250 de la cantidad total filtrada, no se puede descartar la posibilidad de que el número real de filtraciones de información personal sea mucho mayor que la escala confirmada.
Se reveló que la administración del tribunal nacional carecía de medidas de seguridad clave. Los documentos de la demanda se convirtieron a archivos PDF y se almacenaron en el servidor, pero los documentos de la demanda que contenían los números de registro de los residentes no estaban cifrados. La contraseña inicial, fácil de adivinar, se utilizó para las cuentas de administración de redes internas y externas y se usó incluso sin instalar programas de seguridad como software antivirus en el servidor web de la red interna.
Aunque la Administración Judicial Nacional tuvo conocimiento de la filtración de información personal en abril de 2023, también se confirmó que informó este hecho y publicó un aviso relacionado en su sitio web solo aproximadamente ocho meses después.
Kang Dae-hyun, jefe del departamento de investigación de la Comisión de Datos Personales, afirmó en una sesión informativa: «Si la ley pertinente se hubiera aplicado después de la revisión (que fortaleció las medidas de protección de datos personales), una multa mayor». “Tomé una decisión”, dijo.