--- title: "해고 직후 정부 DB 96개 삭제 혐의, 내부자 접근권 회수의 무서운 사례" published: 2026-05-12T22:28:07.000Z canonical: https://jeff.news/article/2611 --- # 해고 직후 정부 DB 96개 삭제 혐의, 내부자 접근권 회수의 무서운 사례 미국 정부 고객을 상대하던 IT 업체에서 해고된 쌍둥이 형제가 몇 분 뒤 정부 정보가 담긴 데이터베이스 96개를 삭제한 혐의를 받고 있다. 기사에는 이들이 이전에도 컴퓨터 범죄 전력이 있었고, 회사 네트워크에서 5,400개 계정 정보를 모아 Python 스크립트로 외부 서비스 로그인을 시도했다는 정황도 나온다. - 미국에서 해고나 정리해고 때 계정부터 잠그는 관행이 왜 생겼는지 보여주는 사건이 나옴 - 기사 속 피고는 Muneeb Akhter와 Sohaib Akhter, 34세 쌍둥이 형제임 - 이들은 같은 회사에서 일했고, 그 회사는 45개 미국 연방 고객에게 소프트웨어와 서비스를 제공했다고 함 - 검찰은 두 사람이 해고된 지 몇 분 만에 미국 정부 정보가 담긴 데이터베이스 96개를 삭제했다고 주장함 - 둘은 이미 컴퓨터 범죄 전력이 있었음 - 2015년에 버지니아에서 wire fraud와 컴퓨터 관련 범죄로 유죄를 인정함 - Muneeb은 징역 3년, Sohaib은 징역 2년을 선고받았음 - 이후 다시 기술 업계로 돌아와 2023년과 2024년에 같은 회사에서 일하게 됨 > [!WARNING] > 해고 통보 전에 계정부터 비활성화하는 방식은 차갑게 보일 수 있지만, 시스템 접근권이 남아 있는 해고 직원은 실제 보안 리스크임. 이 사건은 그 리스크가 “이론상 가능성”이 아니라 몇 분 안에 터질 수 있다는 사례에 가까움. - 기사에 나온 사전 정황도 꽤 심각함 - 2025년 2월 1일, Muneeb이 Sohaib에게 EEOC Public Portal에 민원을 넣은 사람의 평문 비밀번호를 요청했다고 검찰은 봄 - Sohaib은 EEOC 데이터베이스를 조회해 그 비밀번호를 제공한 것으로 적시됨 - 이후 그 비밀번호가 해당 개인의 이메일 계정에 무단 접근하는 데 쓰였다고 함 - 이게 단발성 일탈이 아니라 계정 탈취 패턴이었다는 주장도 나옴 - Muneeb은 회사 네트워크 데이터에서 사용자명과 비밀번호 5,400개를 모은 것으로 적시됨 - 이후 custom Python scripts로 이 로그인 정보를 여러 일반 웹사이트에 대입함 - 예시로 marriott_checker.py라는 스크립트가 Marriott 호텔 체인 계정 로그인을 시험하는 데 쓰였다고 기사에 나옴 - 성공한 로그인은 수백 건이었고, DocuSign과 항공사 계정도 포함됐다고 함 - 한국 개발팀이 바로 가져갈 포인트는 단순함 - 평문 비밀번호가 조회 가능한 구조는 내부자 한 명만 있어도 바로 사고로 이어짐 - 퇴사·해고 프로세스는 인사 이벤트가 아니라 보안 이벤트로 다뤄야 함 - 특히 공공, 금융, B2B SaaS처럼 고객 데이터가 섞인 시스템은 계정 비활성화, 세션 폐기, 키 회수, 감사 로그 확인이 한 묶음으로 돌아가야 함 --- ## 기술 맥락 - 이 사건에서 가장 위험한 선택은 비밀번호가 평문으로 조회될 수 있었다는 점이에요. 비밀번호는 해시로 저장하고 원문을 복구할 수 없어야 하는데, 내부 직원이 쿼리로 꺼낼 수 있으면 DB 권한이 곧 사용자 계정 권한이 돼버려요. - 해고 시점의 접근권 회수는 불편한 절차가 아니라 보안 제어예요. 사용자가 나쁜 의도를 갖고 있지 않아도 감정적으로 격한 순간이고, 이미 운영 권한을 가진 계정은 삭제나 유출 같은 피해를 아주 빠르게 만들 수 있거든요. - 5,400개 계정 정보를 외부 서비스에 대입했다는 대목은 credential stuffing의 전형이에요. 회사 내부에서 얻은 정보가 회사 밖 DocuSign, 항공사, 호텔 계정으로 번질 수 있어서, 비밀번호 재사용은 조직 경계를 쉽게 무너뜨려요. ## 핵심 포인트 - 해고된 직원의 계정을 먼저 비활성화하는 관행이 왜 필요한지 보여주는 사건 - 피고들은 45개 연방 고객을 상대하는 소프트웨어·서비스 업체에서 일함 - 검찰은 이들이 EEOC 포털 관련 평문 비밀번호를 조회하고 외부 이메일 접근에 사용했다고 주장함 - 회사 네트워크 데이터에서 5,400개 사용자명·비밀번호를 수집해 DocuSign, 항공사, Marriott 계정 등에 대입한 정황이 제시됨 ## 인사이트 내부자 위협은 화려한 제로데이보다 훨씬 단순하게 터짐. 계정 회수, 평문 비밀번호 제거, 직원 권한 분리 같은 기본기가 안 잡히면 해고 통보 몇 분 사이에도 장애가 아니라 사건이 된다.