정부 산하 구직알선기관 소장한 4,300만 명 개인정보 탈취 당해
“국가적 대재앙” 우려 속, 피해자들 대상 대규모 사이버공격 예상
해커, 한 달동안 내부망 침투 암약…마크롱 정부에 비판 쏠려
프랑스 대통령궁에 게양된 프랑스 국기. (사진=게티 이미지)
[애플경제 이윤순 기자] 프랑스 전 국민의 3분의2(66%) 정도의 개인정보가 도난 당하는 사태가 벌어졌다. 이는 프랑스는 물론, 전 세계를 통털어 최악의 사이버공격에 의한 사고로 기억될만하다. 늘 사이버공격의 위협이 도사리고 있는 우리나라로서도 반면교사로 삼을 만한 일이어서 특히 주목된다. 그 때문에 현지에선 자칫 정치적 이슈로 번질 수도 있다는 전망도 나오고 있다.
이번 데이터 유출은 프랑스 같은 선진국을 대상으로 복지 시스템과 공공 서비스를 겨냥한 해킹이 확대되는 가운데 발생한 것이어서 우려를 더하고 있다. 특히 우리로 말하면 구직자들의 개인정보가 집중된 고용노동부 고용안정센터와 유사한 직업알선기관 단 2곳에 대한 사이버 공격으로 프랑스 인구 3분의 2가 넘는 사람들의 개인정보가 탈취된 것으로 알려졌다.
보안당국 “다행히 비번, 은행정보는 안전”
즉, 프랑스 정부 산하의 ‘France Travail’(프랑스 트라바유)과 ‘Cap Emploi’(까프 앙쁠롸)에서 탈취된 데이터에는 프랑스 국민 4,300만 명의 이름과 성, 생년월일, 주민등록번호, 직업소개소 식별기호, 이메일 및 우편 주소, 전화번호가 포함되어 있다.
현지 언론을 인용한 기술매체 IT프로포탈에 의하면 프랑스 보안 당국은 “다행히 비밀번호와 은행 정보는 침해 당하지 않은 것으로 보인다”고 했다. 그러나 이런 국가적 보안 사고를 막지 못한 보안 당국에 대한 여론의 시선은 매우 싸늘한 것으로 전해졌다.
특히 정보를 탈취당한 ‘France Travail’측은 “현재 ‘France Travail’에 등록된 구직자나, 지난 20년 동안 등록된 적이 있는 구직자, 또 구직자로 등록되지는 않았지만 ‘rance travail.fr’ 사이트의 구직 후보자난에 적힌 사람들의 개인 정보가 공개되어 불법적으로 이용될 가능성이 있다”고 긴급 성명을 통해 발표했다.
이들 두 기관은 모두 보안 당국인 국가정보기술자유위원회(CNIL), 국가정보시스템보안청(ANSSI) 등에 이 사실을 통보했다고 밝혔다.
그러면서 “구직자와 기업들 우리에게 맡긴 데이터의 보안은 중대한 사안”이라면서 “프랑스와 유럽을 망라하며 기업과 조직을 대상으로 날로 극성을 부리는 사이버 공격의 위협을 고려, 보호 조치와 절차를 지속적으로 강화해왔다”고 해명하기도 했다. 그럼에도 불구하고 어처구니없이 뚫렸다는 얘기다.
(사진=테크타깃)
“한 달 이상 내부 암약, 감지 못한 책임져야”
초동 수사 결과에 따르면 사이버공격자는 지난 2월 초부터 ‘Cap Emploi’ 공무원을 사칭하여 액세스 권한을 얻은 것으로 보인다. 이에 대해 해외 전문가들은 “한 달 이상 계속되는 동안 아무도 이를 감지하지 못했다는 사실이 더욱 우려된다”고 지적했다.
미국의 캐피털 공과대학의 사이버보안 전문가인 콜로첸코 교수는 “4,300만 개의 기록을 유출할 정도면, 그 보다 훨씬 빨리 이를 감지되었어야 하는 사실”이라며 “그렇게 하지 못한 점에 대한 책임 규명과 처벌 등 앞으로 논란은 계속될 것”이라고 했다.
아직 데이터 침해에 대한 다른 기술적 세부 사항은 알려지지 않았다. 그럼에도 불구하고 해커가 한 달 내내 내부망에 은밀하게 숨어있으면서, 민감한 데이터로 다른 내부 시스템을 손상시키고 백도어를 만들 수 있다는 것은 상상하기 어려운 일이란 지적이다.
특히 “현재 공개된 데이터 유출 범위가 최종적으로 확인되더라도 이미 손상된 데이터는 피해자들을 대상으로 한 스피어 피싱, 계정 탈취, 기타 사이버 공격에 악용될 가능성이 매우 높다.”우려가 제기되고 있다.
일단 국가정보기술자유위원회(CNIL)은 피해를 입은 사람들에게 피싱 공격의 위협에 대처할 것을 당부하고 있다. 특히 “개인정보를 탈취당한 사람들일수록 의심스러운 이메일 첨부 파일을 열거나 비밀번호, 은행 정보를 공유하지 말 것”을 권고했다.
즉, “사이버 공격자들이 신원 사기를 목적으로 이번에 훔친 데이터와 기존 데이터를 결합할 수도 있다”는 경고다.
프랑스 정부 ‘사후약방문’ 대처, 비판의 화살
한편 프랑스 보안당국은 최근 몇 달 동안 자국 내 공공 서비스에 대한 사이버 공격이 크게 증가했다고 경고했다. 지난 주 프랑스 총리실은 AFP통신과의 인터뷰에서 “프랑스가 ‘전례 없는 사이버 강도’의 공격을 받고 있다”고 경고한 바 있다.
이런 경고는 이미 프랑스 정부 부처가 공격을 받고, 이로 인해 당국이 사건 처리를 위한 ‘위기대응팀’을 출범한 후 나왔다. 말 그대로 “사후약방문”인 셈이다.
이런 사고는 이번이 처음은 아닌 것으로 알려졌다. 지난 2월에는 규모는 이번보다 작지만, 프랑스의 두 의료 서비스 회사가 약 3,300만 명의 데이터를 침해당한 사건이 일어났다. 역시 국가적 재앙에 가까운 해킹 사고인 셈이다. 당시에도 도난당한 데이터에는 결혼 상태, 생년월일, 사회 보장 번호, 고객의 건강 보험사 이름 및 계약 보증 내용 등이 포함되어 있었던 것으로 알려졌다.
이처럼 두 차례나 연거푸 다수 국민들의 데이터가 유출됨으로써 프랑스는 큰 충격에 빠져있다. 이를 막지 못한 보안 당국에 대한 책임론은 물론, 전 국민의 3분의 2 이상의 개인정보 도난 사고란 점에서 마크롱 정부도 그 책임으로부터 자유롭지 못할 것이란 전망이다.