해킹 피해 미 인사관리처 이번엔 부실 후속조치
(워싱턴=연합뉴스) 김세진 특파원 = 최고 1천400만 명분 전·현직 공무원의 신상정보를 절취당한 미국 연방인사관리처(OPM)가 후속조치 부실로 도마 위에 올랐다.
22일(현지시간) OPM에 따르면 OPM은 지난 8일부터 해킹피해 후속 조치 중 하나로 신상정보 유출이 예상되는 사람들에게 이메일을 보내 각자의 신용정보가 변경됐는지 등을 알 수 있도록 해 왔다.
문제는 이 이메일이 신용정보 변경이나 다른 피해 여부를 확인하려면 이메일 안에 포함된 접속 가능 인터넷주소(링크)를 클릭하도록 구성됐다는 점이다.
전산보안 전문가들은 OPM의 이메일이 '스피어피싱', 즉 원래 이메일과 똑같은 모양이지만 엉뚱한 곳으로 연결되도록 만들어진 이메일을 통한 정보유출에 악용된 사례가 나타났다고 밝혔다.
IT전문매체 ZD넷은 여러 정부 관리들의 말을 인용해 OPM이 '후속 조치' 이메일을 발송하기 시작한 직후 '스피어피싱' 이메일이 발견되기 시작했으며, 이메일을 받은 사람들 중 '링크'를 클릭한 사례가 많지는 않더라도 분명히 있었다고 전했다.
보안 전문가들은 은행이나 정부기관에서 보낸 것처럼 이메일을 꾸며 보내는 행위가 '스피어피싱'의 대표적인 유형이라며, OPM이 '후속 조치'로 보낸 이메일은 해커들에게 '스피어피싱'에 나설 수 있는 새로운 환경을 제공한 셈이라고 비판했다.
워싱턴포스트는 미국 국방부에서도 OPM에서 발송하는 이메일의 위험성을 경고했지만, 이미 75만 명의 잠재적 피해자에게 이메일이 발송된 뒤의 일이었다고 보도했다.
지난 4일 미국 국토안보부는 지난 4일 OPM에서 해킹 때문에 약 400만 명 분량의 신상정보가 유출됐다고 발표했지만, 미국 언론들은 피해자가 많게는 1천400만 명에 이를 수 있고 해커들의 활동이 약 1년 전부터 시작됐을 수 있다고 밝혔다.
OPM이 전산서비스 대행업체를 통해 잠재적 피해자들이 '후속 조치'를 하도록 한 점에 대해서도 우려가 일고 있다.
지난해 8월 연방정부기관의 신원조회 대행업체 USIS의 전산망이 해킹 공격을 받아 국토안보부 직원의 개인정보가 도난된 것으로 추정되는 사례가 이미 있었기 때문이다.
[ⓒ 부자동네타임즈. 무단전재-재배포 금지]
