본문으로 건너뛰기
J
피드

해고 직후 정부 DB 96개 삭제 혐의, 내부자 접근권 회수의 무서운 사례

security 약 5분
tags
#insider-threat#database#credentials#python#government
vote
0
댓글
북마크

미국 정부 고객을 상대하던 IT 업체에서 해고된 쌍둥이 형제가 몇 분 뒤 정부 정보가 담긴 데이터베이스 96개를 삭제한 혐의를 받고 있다. 기사에는 이들이 이전에도 컴퓨터 범죄 전력이 있었고, 회사 네트워크에서 5,400개 계정 정보를 모아 Python 스크립트로 외부 서비스 로그인을 시도했다는 정황도 나온다.

  • 1

    해고된 직원의 계정을 먼저 비활성화하는 관행이 왜 필요한지 보여주는 사건

  • 2

    피고들은 45개 연방 고객을 상대하는 소프트웨어·서비스 업체에서 일함

  • 3

    검찰은 이들이 EEOC 포털 관련 평문 비밀번호를 조회하고 외부 이메일 접근에 사용했다고 주장함

  • 4

    회사 네트워크 데이터에서 5,400개 사용자명·비밀번호를 수집해 DocuSign, 항공사, Marriott 계정 등에 대입한 정황이 제시됨

  • 미국에서 해고나 정리해고 때 계정부터 잠그는 관행이 왜 생겼는지 보여주는 사건이 나옴

    • 기사 속 피고는 Muneeb Akhter와 Sohaib Akhter, 34세 쌍둥이 형제임
    • 이들은 같은 회사에서 일했고, 그 회사는 45개 미국 연방 고객에게 소프트웨어와 서비스를 제공했다고 함
    • 검찰은 두 사람이 해고된 지 몇 분 만에 미국 정부 정보가 담긴 데이터베이스 96개를 삭제했다고 주장함

  • 둘은 이미 컴퓨터 범죄 전력이 있었음

    • 2015년에 버지니아에서 wire fraud와 컴퓨터 관련 범죄로 유죄를 인정함
    • Muneeb은 징역 3년, Sohaib은 징역 2년을 선고받았음
    • 이후 다시 기술 업계로 돌아와 2023년과 2024년에 같은 회사에서 일하게 됨

⚠️주의

> 해고 통보 전에 계정부터 비활성화하는 방식은 차갑게 보일 수 있지만, 시스템 접근권이 남아 있는 해고 직원은 실제 보안 리스크임. 이 사건은 그 리스크가 “이론상 가능성”이 아니라 몇 분 안에 터질 수 있다는 사례에 가까움.

  • 기사에 나온 사전 정황도 꽤 심각함

    • 2025년 2월 1일, Muneeb이 Sohaib에게 EEOC Public Portal에 민원을 넣은 사람의 평문 비밀번호를 요청했다고 검찰은 봄
    • Sohaib은 EEOC 데이터베이스를 조회해 그 비밀번호를 제공한 것으로 적시됨
    • 이후 그 비밀번호가 해당 개인의 이메일 계정에 무단 접근하는 데 쓰였다고 함

  • 이게 단발성 일탈이 아니라 계정 탈취 패턴이었다는 주장도 나옴

    • Muneeb은 회사 네트워크 데이터에서 사용자명과 비밀번호 5,400개를 모은 것으로 적시됨
    • 이후 custom Python scripts로 이 로그인 정보를 여러 일반 웹사이트에 대입함
    • 예시로 marriott_checker.py라는 스크립트가 Marriott 호텔 체인 계정 로그인을 시험하는 데 쓰였다고 기사에 나옴
    • 성공한 로그인은 수백 건이었고, DocuSign과 항공사 계정도 포함됐다고 함

  • 한국 개발팀이 바로 가져갈 포인트는 단순함

    • 평문 비밀번호가 조회 가능한 구조는 내부자 한 명만 있어도 바로 사고로 이어짐
    • 퇴사·해고 프로세스는 인사 이벤트가 아니라 보안 이벤트로 다뤄야 함
    • 특히 공공, 금융, B2B SaaS처럼 고객 데이터가 섞인 시스템은 계정 비활성화, 세션 폐기, 키 회수, 감사 로그 확인이 한 묶음으로 돌아가야 함

기술 맥락

  • 이 사건에서 가장 위험한 선택은 비밀번호가 평문으로 조회될 수 있었다는 점이에요. 비밀번호는 해시로 저장하고 원문을 복구할 수 없어야 하는데, 내부 직원이 쿼리로 꺼낼 수 있으면 DB 권한이 곧 사용자 계정 권한이 돼버려요.

  • 해고 시점의 접근권 회수는 불편한 절차가 아니라 보안 제어예요. 사용자가 나쁜 의도를 갖고 있지 않아도 감정적으로 격한 순간이고, 이미 운영 권한을 가진 계정은 삭제나 유출 같은 피해를 아주 빠르게 만들 수 있거든요.

  • 5,400개 계정 정보를 외부 서비스에 대입했다는 대목은 credential stuffing의 전형이에요. 회사 내부에서 얻은 정보가 회사 밖 DocuSign, 항공사, 호텔 계정으로 번질 수 있어서, 비밀번호 재사용은 조직 경계를 쉽게 무너뜨려요.

내부자 위협은 화려한 제로데이보다 훨씬 단순하게 터짐. 계정 회수, 평문 비밀번호 제거, 직원 권한 분리 같은 기본기가 안 잡히면 해고 통보 몇 분 사이에도 장애가 아니라 사건이 된다.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

AI 에이전트 보안, 이제 권한이 아니라 ‘실행 증거’ 싸움으로 간다

오페이크가 AI 에이전트의 ID, 실행 환경, 도구 호출, 정책 적용 여부를 암호학적으로 검증하는 오페이크 3.0을 공개했다. 핵심은 에이전트 매니페스트와 컨피덴셜 MCP라는 두 오픈소스 기술이며, 기밀 컴퓨팅과 서명된 실행 증거를 결합해 감사자나 규제기관도 독립적으로 확인할 수 있게 하는 방향이다. AI 에이전트가 업무 시스템과 데이터를 직접 만지는 시대에는 접근 권한보다 ‘무슨 일을 했는지 증명할 수 있느냐’가 더 중요해지고 있다.

security

취약점 제보가 더 이상 특별하지 않은 시대가 왔다

전 Go 보안팀 리드였던 필리포 발소르다가 LLM 이후 취약점 제보의 의미가 바뀌었다고 주장한다. 예전에는 희소한 통찰과 비공개 제보가 귀했지만, 이제는 잠재 취약점을 찾는 것보다 실제 영향도를 빠르게 가려내는 triage가 병목이라는 얘기다.

security

스패로우, AI가 만든 코드 취약점 잡는 ‘Sparrow MCP’ 출시

스패로우가 AI 코딩 에이전트가 생성한 코드의 보안 취약점과 사용된 오픈소스를 실시간으로 검사하는 보안 어시스턴트 ‘Sparrow MCP’를 출시했다. 핵심 기능은 취약점 분석과 소프트웨어 자재명세서(SBOM) 생성이며, 앤트로픽의 모델 컨텍스트 프로토콜(MCP)을 지원하는 AI와 연결할 수 있다는 점이다. AI 코딩이 빨라질수록 보안 검증과 오픈소스 추적이 개발 파이프라인 안으로 더 깊게 들어오는 흐름이다.

security

오픈AI, 오픈소스 취약점 고치는 ‘패치 더 플래닛’ 시작

오픈AI가 트레일 오브 비츠와 함께 주요 오픈소스 프로젝트의 취약점을 AI로 찾고, 사람 검토를 거쳐 실제 패치까지 연결하는 프로그램을 시작했다. 파이썬, 고, cURL, 시그스토어, NATS 서버 같은 핵심 프로젝트가 초기 대상이고, 지금까지 수백 건의 보안 이슈와 수십 건의 병합된 패치가 나왔다. 핵심은 AI가 보안팀을 대체하는 게 아니라, 탐지·검증·패치·공개 조율을 빠르게 만드는 보조 엔진이라는 점이다.

security

오픈AI, 취약점 찾기부터 패치까지 돕는 ‘코덱스 시큐리티’ 공개

오픈AI가 사이버보안 이니셔티브 데이브레이크를 확대하면서 보안 전용 도구 코덱스 시큐리티와 GPT-5.5-사이버를 공개했다. 목표는 취약점 탐지에서 끝나는 게 아니라 검증, 위험도 평가, 패치 개발, 테스트, 배포까지 AI로 지원하는 것이다. cURL, Go, Python, Sigstore 등 30개 이상 오픈소스 프로젝트도 패치 지원 프로그램에 참여한다.