캐나다 국세청, 보안망 뚫려 개인 대상 온라인 서비스 전면 중단

캐나다 국세청(CRA)이 온라인 서비스인 마이 어카운트(my account) 서비스를 15일부터 잠정 중단했다.

이 때문에 CRA를 통한 캐나다 비상 대응 혜택(CERB) 이나 캐나다 비상 학생 혜택(CESB) 신청 등도 중단된 상태다.

사업자 대상 마이 비즈니스 어카운트는 여전히 사용할 수 있다.

CRA는 앞서 두 차례 총 5,500명 사용자를 대상으로 한 해킹과 개인 정보 유출이 발생했다고 발표했다.

피해는 마이 어카운트와 동일한 사용자명, 이메일, 암호를 다른 웹사이트에도 사용한 이들이 주로 입었다.

다른 사이트와 사용자명∙암호 공유는 금물

해커가 쓴 수법은 ‘크리덴셜 스터핑(credential stuffing)’ 이라고 부른다.

보안이 취약한 다른 사이트에서 해커가 모은 로그인 정보나 개인 신상 정보를 공격 대상 웹사이트에 입력해 뚫는 방식이다.

개인이 여러 문에 사용하는 하나의 열쇠가 도둑에게 넘어가, 도둑이 열쇠로 이곳 저곳을 열어보는 상황과 비슷하다.

열쇠를 자물쇠에 맞춰보는 일은 시간이 걸리지만, 사이버상에서는 순식간에 많은 열쇠에 해당하는 로그인 정보를 맞춰볼 수 있다.

이러한 크리덴셜 스터핑을 막으려면 일단 사용자가 로그인 정보를 웹사이트마다 달리하는 게 좋다.

개인 정보는 온라인에 최소한만 노출하는 거도 도움이 될 수 있다.

마이 어카운트를 해킹 당한 납세자는 캐나다 국세청으로부터 신청하지 않은 CERB 신청 안내 이메일을 여러 차례 받은 거로 드러났다.

정부는 일단 해킹 의심 납세자의 마이 어카운트 계정을 이용할 수 없게 정지(lock-down) 시켜놓은 상태다.

만약 CERB를 신청하지 않았는데도 국세청에서 신청했다는 이메일을 받은 경우에는 CRA에 전화로 연락해 확인할 필요가 있다.

다만 이번 사건은 연방정부 대민 서비스 용도로 사용하는 ‘GC키(GCKey)’가 유출 근원일 가능성도 제기된 상태다.

GC키는 정부가 개인에게 발급하는 로그인용 키로, 보통 24개월 동안 유효하다.

GC키는 캐나다 국세청 뿐만 아니라, 서비스 캐나다나 캐나다 이민부도 사용하고 있어, GC키 이용자는 자신이 이용하는 정부 서비스 관련 노출 가능성을 경계해야 한다.