미국의 건강 플랜 중 하나인 건강저축계좌 노리는 해커 늘어나
세금 제도의 특징과 가입자 추세 잘 파악한 영리한 공격

[보안뉴스 문가용 기자] 지난 수년 동안 벌어진 개인정보 유출 사건과 의료 기관 및 병원의 의료 기록 유출 사건 때문에 현재 암시장에서는 그러한 정보들이 넘쳐난다. 공급이 넘쳐나니 가격이 떨어지기 마련. 각종 민감한 정보를 훔쳐다가 팔아먹던 범죄자들은 마치 석유 값 떨어진 시기의 중동 국가들처럼 다른 생존 방법을 찾아내야만 했다. 그리고 그것이 건강저축계좌(Health Savings Account, HSA)다.


건강저축계좌란 미국에서 시행되고 있는 일종의 저축플랜으로, 면세 혜택도 받을 수 있어 많은 사람들이 연금 내듯이 월급에서 일정 부분을 떼어 이 계좌에 저금을 하고 있다. 즉, 꽤나 많은 돈이 들어 있을 수 있는 계좌라는 것이다. 훔쳐낸 의료 기록 및 개인 식별 정보가 시장에서 제값을 받지 못하니, 차라리 그걸 활용해 이 저축 계좌의 돈을 노린다는 계산이다.

범죄자들이 건강저축계좌로 눈을 돌리기 시작한 건 2016년 9월 정도부터다. 의료 기관을 집중적으로 노리는 것으로 악명 높았던 크룩(cr00k)이라는 해커가 “훔친 의료 건강 정보로 건강저축계좌를 공격하는 게 가능하다”고 범죄자들의 커뮤니티에 알려온 것이다. 그런 일이 있고 얼마 지나지 않아 다양한 정보를 활용한 건강저축계좌 공격이 급증했다. 초기엔 대부분 해킹 기술 수준이 낮은 범죄자들이 대부분이었다. 이들은 어떤 건강저축계좌에 돈이 많이 들어있는지 확인하기 위해 무료 신용도 조회 및 금융 관리 플랫폼을 활용했다. 개인 식별 정보를 가지고 있으니 가능한 작업이었다.

이 단계에서 한 차례 범죄자들의 유형이 갈렸다. 일부는 이런 조회 기록 및 신용도 점수를 바탕으로 계속해서 건강저축계좌를 노리는 반면, 일부는 자기들이 기존에 판매하던 각종 개인 식별 정보에 신용 점수 정보를 첨가해 상품의 질과 가격을 높이는 것에 만족했다. 크룩 역시 주로 후자의 길을 택했으며, 신용 점수가 높은 계좌 관련 기록은 건당 100달러에까지 판매했다. 낮은 건은 80달러에도 거래됐다.

단순히 암시장의 넘쳐나는 공급 상황만이 건강저축계좌 사기 범죄의 원인이라고 볼 수는 없다. 미국의 건강 보험 산업 현황 역시 한 몫 하고 있다. 건강 보험료가 계속해서 증가하는 추세라 매달 내야하는 보험금은 낮고 실제 진료 시 본인부담금이 높은 보험 상품의 인기가 높아지고 있다는 게 핵심이다. 건강저축계좌는 본인부담금이 높은 보험 상품 가입자들이 가입할 수 있게 되어 있다. 즉 많은 건강 플랜 및 계좌 중 사람들이 몰릴만한 곳을 범죄자들이 잘 파악했다는 것.

현재 건강저축계좌는 2천만 개가 넘는 것으로 파악되고 있으며 370억 원 가량이 저금되어 있는 것으로 예측되고 있다. 게다가 성장률이 연간 22%에 이른다고 하니, 여기야 말로 보물창고라고 볼 수 있다. 그렇지만 다음 세 가지 이유로 건강저축계좌와 관련된 해킹 및 온라인 사기 위험에서부터 벗어나는 게 쉽지 않은 상태다.

1. 범죄자들이 가지고 있는 신상정보가 너무 정확하다. 이들은 사회보장번호나 외가의 성씨(즉, 어머니의 결혼 전 이름) 정보까지도 가지고 있어 쉽게 건강저축계좌 비밀번호를 바꾸거나 예치금에도 불법적으로 접근해 이체할 수 있다. 각종 사기 방지 장치와 탐지 솔루션을 우회하기 위해 피해자 이름으로 선불카드를 만든 뒤, 그리로 건강저축계좌에 저금된 돈을 이체시키는 경우도 있다.

2. 다른 유형의 면세 건강 관련 플랜과 달리 건강저축계좌는 상환 연장이 매년 가능하고, 이자도 나오고, 만료되지 않는다. 그래서 사실상 많은 사람들은 이 건강저축계좌를 일반 저축 계좌와 동일하게 여기고 활용한다. 그러므로 부지런히 계좌의 잔고를 확인하지 않는다. 자기 계좌가 텅텅 빈 사실을 알아차리는 데에 수개월씩 걸리는 경우도 있다.

3. 범죄 사실이 드러나는 것 자체가 오래 걸린다는 건 수사가 힘들어진다는 뜻이다. 게다가 미국의 연방법은 금융 사고가 발생한 날로부터 60일 이내에 피해자 신고가 있어야만 금융 기관에서 피해보상을 하도록 되어 있다. 이렇게 되니 금융 기관에서도 딱히 건강저축계좌의 보안에만 특별히 신경 쓸 필요가 크게 없다.

따라서 개인 식별 정보를 가지고 있는 사이버 범죄자들의 사기 행각은 당분간 지속될 전망이다. 가격이 떨어질 대로 떨어져 쓸모가 없어진 데이터가 알고 보니 보물창고 열쇠였다는 걸 이제 막 깨닫기 시작했으니, 분위기가 달아오를 일만 남은 것이다. 물론 미국 국세청은 사기 방지 대책을 마련하고 있지만, 누군가의 의료 기록과 신용 평가 보고서를 손에 들고 있는 범죄자들에게 있어 이러한 대비책은 대부분 무용지물이 된다.

예를 들어 국세청은 아이덴티티 도난 및 사기 행위에 대응코자 최근 PIN 시스템을 구축했다. 그렇지만 피해자의 이메일 주소를 이미 확보하고 있는 범죄자라면 얼마든지 암호를 바꾸고 어렵지 않게 피해자의 PIN을 취득할 수 있게 된다. 이를 간파한 국세청은 ‘보안 질문’이라는 단계를 추가로 삽입했다. 로그인 하려는 자에게 “어머님의 결혼 전 성씨는?”과 같은 질문을 하고, 올바른 답에 따라 인증해주는 것인데, 이 역시 개인 신상을 다 알고 있는 범죄자들에게는 있으나 마나 한 것이다.

이런 식의 사기에 당하지 않으려면 제일 먼저 개인 식별 정보를 철저하게 관리해, 아예 처음부터 도난당하는 일이 없도록 해야 한다. 하지만 이게 생각처럼 쉬운 게 아니란 것 또한 우리는 잘 알고 있다. 게다가 이미 수차례 유출된 수천만~수억 건의 정보 속에 이미 우리의 소중한 개인 식별 정보가 포함되었을 가능성 또한 매우 높다. 다크웹에 넘쳐난다는 개인정보 중에 내 건 없겠지, 라고 생각하는 건 매우 안일한 것이다.

그러니 지금으로서 취할 수 있는 최선의 방법은 건강저축계좌의 잔고를 주기적으로 확인하고, 내 이름으로 만들어진 모든 계정과 계좌의 활동을 면밀히 관찰하는 것이다. 누군가 나의 신용정보를 조회해봤다거나, 세금 환급 사이트에 접속을 했다거나 하는 이상 징후들을 최대한 빨리 발견하기 위해서다. 사건 사고를 전부 사전에 방지할 수는 없다. 하지만 파악의 시기를 앞당기는 건 가능하다.

글 : 비탈리 크레메즈(Vitali Kremez)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>