Case
미국 최대 규모의 개인정보 유출, 인사관리처(OPM) 해킹
2016 10 28
  • Facebook
  • Twitter
  • Copy URL

2015년 4월 미국 연방 인사관리처(Office of Personnel Management, OPM)에서는 중국 해커로 추정되는 그룹에게 2014년 말부터 전, 현직 공무원의 개인정보가 해킹되고 있었다는 것을 확인했다고 발표했다. 미국 연방 인사관리처(OPM)는 미국, 정부기관의 인사부라고 보면 된다.

이미지를 불러오는데 실패했습니다.

OPM 해킹 사건은 2014년 3월로 거슬러 올라간다. 중국이 배후라 생각되는 해커 그룹이 OPM 컴퓨터 시스템을 해킹한다. 이는 OPM의 1차 해킹사고로 사전에 OPM에서 일하는 직원들의 정보가 해킹됐다고 추측하였고 유출된 내용은 별것이 아니라며 당시 관계자는 발표했다. 정확히 말하면 조용히 넘어가려 했으나 2015년 4월, 2차 해킹이 터지면서 그제서야 OPM은 자신들이 해킹을 당했었다며 입을 열었다.[1] 더군다나 2차 해킹은 2014년 말부터 꾸준히 해킹되고 있었다고 한다. 설상가상으로 유출된 개인 정보도 예상 범위가 갈수록 커져 이 사건은 역대 최대 규모의 개인정보 유출 사건으로 진화한다.

유출된 개인정보는 전, 현직 공무원을 포함하여 OPM에 근무하려는 사람들의 개인정보까지 유출되었으며 그들의 가족들 개인정보도 함께 유출된 것으로 밝혀졌다. 약 2150만 명의 개인정보가 유출되었고 전체적으로 영향을 받은 임직원들까지 포함하면 2천 2백만 명에 달한다. 당시 이는 미국 전체 인구의 대략 7%에 달하는 수치다.[2] 유출된 개인정보는 사회보장번호, 지문과 같은 민감한 정보와 개인 병력, 직업, 급여, 병력과 같은 사적이고 개인적인 정보 등도 포함되어 있어 유출된 정보가 어마어마하다.[3] OPM에서는 지문 정보에 대해서는 아직 악용된 사례가 없어 사용될 가능성은 적어 보인다고 말했다.

언론과 정부에서는 중국이 배후인 해커 그룹이 해킹했을 것이라 발표하여 중국과의 관계도 급격히 얼어붙었다.[4] 물론 중국에서는 OPM 해킹 사건과 자신들은 전혀 무관하다며 적극적으로 부인했다.[5] 미국은 해킹사고가 발표된 후 1년 동안의 조사과정을 거친 뒤에 사건을 종결시켰다. 또한, 2015년 12월 중국에서 직접 해커들을 검거하였다고 발표하였다. 이에 따른 미국의 반응은 일반 해커를 잡아 OPM 해커로 만들 수 있는 나라이기 때문에 직접 보고 확인하지 않는 이상 섣부른 판단은 하지 않을 것이라 말했다.[6]

이미지를 불러오는데 실패했습니다.

OPM 해킹 보고서[7]에 따르면 해커들은 OPM의 협력업체인 키포인트 시스템즈(Keypoint systems)의 서버 접속 자격 증명을 가로채 이를 이용해서 서버에 접속하여 해킹했다고 전했다. 특히나 2014년, 1차 해킹은 ‘Axiom’이라는 해커 그룹의 소행으로 2015년 2차 해킹을 했다고 추정되는 ‘Deep Panda’와 만남이 있었을 것으로 판단했다. 이유는 그들이 사용하는 도메인 닉네임이 토니 스타크(아이언맨)와 스티브 로저(캡틴 아메리카)로 영웅물의 이름이기도 해서 연관성이 있을 것으로 추정한다. 또한, 두 해커 그룹 모두 미국을 겨냥하여 활발하게 대단위 사이버 공격을 하는 중국 해커 그룹이기도 하다.[8]

이렇게 큰 규모의 사이버 공격을 받았지만 개인 정보 유출 사건의 비난은 중국 해커 그룹이 아닌 OPM에게 갔다. 1차 해킹이 있었던 후에도 쉬쉬하기 급급했고 1차 해킹을 당하고 나서도 뒤처리를 하지 않고 흐지부지 넘어갔다. 해킹이 있었다는 것도 OPM이 아닌 제 3자가 발견하여 신고하였고 신고를 접수한 US-CERT(United States Computer Emergency Readiness Team)가 OPM에게 이를 알린 것이다. 또한, 암호를 설정하기에도 어려울 정도로 오래된 보안 소프트웨어를 사용하기도 했으며 보안에 대한 경비도 대폭 낮게 책정되어 있어 OPM에서 보안에 대한 생각이 얼마나 가벼운지 보여주기도 했다. 시대에 너무 뒤떨어진 보안 관리 시스템과 낮은 보안인식이 가장 큰 원인이었다.

이러한 사건이 있고 난 후 OPM에서는 보안 인력을 늘리고 보안강화에 대해 더욱 힘쓰고 있다. 기사에 따르자면 OPM에서는 2016년 보안 인력을 1,000명을 뽑을 것이며 학생 인턴십 프로그램도 활성화하여 보안 인력 양성 방안도 있음을 짐작한다. OPM 해킹 사건과 갈수록 늘어나는 사이버 위협에 대응하려는 것이 보인다.[9]

국내에서도 공공기관의 개인 정보 관리 수준이 심각하다고 기사가 간간이 올라온다. 공공기관에서 개인정보를 몰래 조회하고 유출한 직원이 2014년 기준 168명이 징계를 받았다는 기사가 올라왔다.[10] 더군다나 공공기관 여섯 곳 중 한 곳은 개인정보관리가 ‘미흡’하다는 내용의 뉴스[11]도 올라와 개인정보 보호를 강화한다는 말이 무색하게 만든다. 개인정보보호에 앞장서야 하는 정부 기관의 노력이 좀 더 필요로 되지 않는지 그런 생각이 든다.

이미지를 불러오는데 실패했습니다.

 

유성경 yuopboy@grayhash.com