본문으로 건너뛰기
J
피드

해고 직후 정부 DB 96개 삭제 혐의, 내부자 접근권 회수의 무서운 사례

security 약 5분
tags
#insider-threat#database#credentials#python#government
vote
0
댓글
북마크
원문 보기

미국 정부 고객을 상대하던 IT 업체에서 해고된 쌍둥이 형제가 몇 분 뒤 정부 정보가 담긴 데이터베이스 96개를 삭제한 혐의를 받고 있다. 기사에는 이들이 이전에도 컴퓨터 범죄 전력이 있었고, 회사 네트워크에서 5,400개 계정 정보를 모아 Python 스크립트로 외부 서비스 로그인을 시도했다는 정황도 나온다.

  • 1

    해고된 직원의 계정을 먼저 비활성화하는 관행이 왜 필요한지 보여주는 사건

  • 2

    피고들은 45개 연방 고객을 상대하는 소프트웨어·서비스 업체에서 일함

  • 3

    검찰은 이들이 EEOC 포털 관련 평문 비밀번호를 조회하고 외부 이메일 접근에 사용했다고 주장함

  • 4

    회사 네트워크 데이터에서 5,400개 사용자명·비밀번호를 수집해 DocuSign, 항공사, Marriott 계정 등에 대입한 정황이 제시됨

  • 미국에서 해고나 정리해고 때 계정부터 잠그는 관행이 왜 생겼는지 보여주는 사건이 나옴

    • 기사 속 피고는 Muneeb Akhter와 Sohaib Akhter, 34세 쌍둥이 형제임
    • 이들은 같은 회사에서 일했고, 그 회사는 45개 미국 연방 고객에게 소프트웨어와 서비스를 제공했다고 함
    • 검찰은 두 사람이 해고된 지 몇 분 만에 미국 정부 정보가 담긴 데이터베이스 96개를 삭제했다고 주장함

  • 둘은 이미 컴퓨터 범죄 전력이 있었음

    • 2015년에 버지니아에서 wire fraud와 컴퓨터 관련 범죄로 유죄를 인정함
    • Muneeb은 징역 3년, Sohaib은 징역 2년을 선고받았음
    • 이후 다시 기술 업계로 돌아와 2023년과 2024년에 같은 회사에서 일하게 됨

⚠️주의

> 해고 통보 전에 계정부터 비활성화하는 방식은 차갑게 보일 수 있지만, 시스템 접근권이 남아 있는 해고 직원은 실제 보안 리스크임. 이 사건은 그 리스크가 “이론상 가능성”이 아니라 몇 분 안에 터질 수 있다는 사례에 가까움.

  • 기사에 나온 사전 정황도 꽤 심각함

    • 2025년 2월 1일, Muneeb이 Sohaib에게 EEOC Public Portal에 민원을 넣은 사람의 평문 비밀번호를 요청했다고 검찰은 봄
    • Sohaib은 EEOC 데이터베이스를 조회해 그 비밀번호를 제공한 것으로 적시됨
    • 이후 그 비밀번호가 해당 개인의 이메일 계정에 무단 접근하는 데 쓰였다고 함

  • 이게 단발성 일탈이 아니라 계정 탈취 패턴이었다는 주장도 나옴

    • Muneeb은 회사 네트워크 데이터에서 사용자명과 비밀번호 5,400개를 모은 것으로 적시됨
    • 이후 custom Python scripts로 이 로그인 정보를 여러 일반 웹사이트에 대입함
    • 예시로 marriott_checker.py라는 스크립트가 Marriott 호텔 체인 계정 로그인을 시험하는 데 쓰였다고 기사에 나옴
    • 성공한 로그인은 수백 건이었고, DocuSign과 항공사 계정도 포함됐다고 함

  • 한국 개발팀이 바로 가져갈 포인트는 단순함

    • 평문 비밀번호가 조회 가능한 구조는 내부자 한 명만 있어도 바로 사고로 이어짐
    • 퇴사·해고 프로세스는 인사 이벤트가 아니라 보안 이벤트로 다뤄야 함
    • 특히 공공, 금융, B2B SaaS처럼 고객 데이터가 섞인 시스템은 계정 비활성화, 세션 폐기, 키 회수, 감사 로그 확인이 한 묶음으로 돌아가야 함

기술 맥락

  • 이 사건에서 가장 위험한 선택은 비밀번호가 평문으로 조회될 수 있었다는 점이에요. 비밀번호는 해시로 저장하고 원문을 복구할 수 없어야 하는데, 내부 직원이 쿼리로 꺼낼 수 있으면 DB 권한이 곧 사용자 계정 권한이 돼버려요.

  • 해고 시점의 접근권 회수는 불편한 절차가 아니라 보안 제어예요. 사용자가 나쁜 의도를 갖고 있지 않아도 감정적으로 격한 순간이고, 이미 운영 권한을 가진 계정은 삭제나 유출 같은 피해를 아주 빠르게 만들 수 있거든요.

  • 5,400개 계정 정보를 외부 서비스에 대입했다는 대목은 credential stuffing의 전형이에요. 회사 내부에서 얻은 정보가 회사 밖 DocuSign, 항공사, 호텔 계정으로 번질 수 있어서, 비밀번호 재사용은 조직 경계를 쉽게 무너뜨려요.

내부자 위협은 화려한 제로데이보다 훨씬 단순하게 터짐. 계정 회수, 평문 비밀번호 제거, 직원 권한 분리 같은 기본기가 안 잡히면 해고 통보 몇 분 사이에도 장애가 아니라 사건이 된다.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

윈도우 11 BitLocker 우회 취약점 ‘YellowKey’ 공개, WinRE 경로가 문제로 지목됨

YellowKey라는 BitLocker 우회 취약점 공개 글이 올라왔고, 작성자는 Windows Recovery Environment에만 있는 특정 구성요소가 보호된 볼륨 접근을 허용한다고 주장한다. 공개 내용은 Windows 11과 Windows Server 2022/2025가 영향권이고 Windows 10은 제외된다고 설명하며, Microsoft 보안 조직과의 공개 조율도 언급한다.

security

EFF, 국경 전자기기 수색에도 영장이 필요하다고 제4순회항소법원에 주장

EFF와 ACLU 등은 미국 제4순회항소법원에 국경에서 휴대폰·노트북 같은 전자기기를 수색하려면 영장이 필요하다는 의견서를 냄. 사건은 Dulles 공항에서 미국 시민의 휴대폰이 영장 없이 수색된 뒤 형사 사건으로 이어진 사례이며, EFF는 수동 수색과 포렌식 수색 모두 같은 높은 기준을 적용해야 한다고 주장함.

security

안드로이드 17, 내 폰 OS가 진짜인지 직접 보여준다

구글이 안드로이드 17에 OS 검증 기능을 넣는다. 사용자는 기기가 공식 안드로이드 빌드를 돌리고 있는지, 부트로더 상태와 빌드 정보까지 확인할 수 있고, 구글 앱과 API의 정식 배포 여부를 검증하는 공개 원장도 제공된다.

security

마이크로소프트 취약점 공개전이 또 터짐, 이번엔 2건

익명의 공개자가 마이크로소프트 관련 취약점 2건을 추가로 공개했다고 주장했어. 구체적인 기술 분석은 본문에 거의 없지만, 패치 튜즈데이를 앞두고 더 큰 공개를 예고해 윈도우 보안 운영팀 입장에선 신경 써야 할 신호야.

security

앤트로픽 미토스, curl에서 저위험 취약점 1건만 찾아 논란

앤트로픽의 취약점 탐지 AI 모델 미토스가 오픈소스 툴 curl 분석에서 실제 취약점 1건만 확인됐다는 보도가 나왔다. curl 수석 개발자 다니엘 스텐버그는 미토스가 전통적인 툴보다 낫긴 하지만, 앤트로픽이 말한 만큼 위험하거나 압도적인 수준이라는 증거는 못 봤다고 평가했다.