정부는 가짜뉴스라고 주장...경찰 수사 시작
인도의 전자정부 프로젝트, 아드하르...취약점 점검 다시 해야

[보안뉴스 문가용 기자] 인도의 전 국민 ID 데이터베이스가 해킹 당했다. 여기엔 약 12억 명의 개인정보가 저장되어 있었는데, 이 정보들에 대한 접근권은 사이버 범죄자들 사이에서 8달러 정도에 거래되고 있다고 한다. 하지만 인도 정부는 이를 부인하고 있다.


1월 3일 인디안트리뷴(The Indian Tribune)은 인도 전 국민의 이름, 주소, 생년월일, 핸드폰 번호, 10개 손가락 지문 정보, 홍채 정보가 담겨 있는 데이터베이스로의 접근 권한을 구매하는 데 성공했다고 보도했다. 인도는 2010년부터 아드하르(Aadhaar)라는 프로젝트를 통해 국민들의 생체정보를 수집해와 논란의 대상이 된 바 있다. 이번에 침해됐다고 보도된 12억 인구의 개인정보 데이터베이스가 바로 이 아드하르와 관련이 있는 것.

인디안트리뷴은 또한 “접근권 뿐 아니라 아무 개인의 아드하르 번호(주민등록 번호)를 입력하면 신분증을 프린트할 수 있게 해주는 소프트웨어도 구매했다”고 주장했다.

지난 11월 인도의 고유신원권한기관(UIDAI)은 아드하르 데이터베이스에 관해 안전하며 어떠한 해킹 사고도 일어나지 않는다고 발표한 바 있다. 하지만 인디안트리뷴이 위와 같은 사실을 알렸을 때 UIDAI는 놀람과 당혹감을 감추지 못했다고 한다. 또한 “국가적인 침해 사고”로 발전할 수 있다는 데에 동의했다고도 한다.

인디안트리뷴은 “아드하르 데이터베이스를 노리고자 하는 계획이 약 6개월 전부터 시작되었을 것”이라고 추측하고 있다. 당시 왓츠앱이라는 메신저에 전기정보기술부의 지원을 받는 마을 단위 기업 운영자들 30만 명을 겨냥한 익명의 대화방들이 생겨났었다. 소셜 엔지니어링 공격 시도였다. 마을 단위 기업 운영자들은 아드하르 데이터베이스로의 접근이 가능한 이들이고, 이 중 한 명이라도 걸려들었다면 공격자들도 데이터베이스로 접근을 할 수 있게 되었을 것이라고 인디안트리뷴은 보고 있는 것이다.

게다가 일의 편리성이나 편법성 수익을 노리기 위해 10만명 이상의 마을 단위 기업 운영자들이 일반인들에게 아드하르 접근권을 양도하거나 팔았다는 의혹도 제기되고 있다. 아드하르에 접속 가능한 이가 초대만 하면 누구라도 공식 아드하르 데이터베이스 접근권을 얻어갈 수 있다는 것 또한 이러한 사건을 충분히 예견케 하는 요소였다.

하지만 인도 정부는 이러한 소식을 “가짜뉴스”라고 일축했다. UIDAI 역시 이에 힘입어 타 매체와의 인터뷰를 통해 “아드하르 데이터는 안전하게 보관되어 있다”고 밝혔다. 하지만 경찰의 수사는 시작됐고, 인도 국민들은 그 결과를 기다리는 중이다. 전문가들은 이번 일을 계기로 “결과에 상관없이 아드하르와 같은 중요한 데이터베이스의 보안은 더 강화할 필요가 있다”고 주장하고 있다.

보안 업체 넷스코프의 CEO인 산자이 베리(Sanjay Beri)는 해외 보안 매체인 SC 매거진을 통해 “사건이 있었던 없었던, 다시 한 번 전 국민의 민감한 정보가 저장되어 있는 데이터베이스를 점검하고 보안을 강화할 필요가 있다”고 설명한다. “그 동안 있어왔던 여러 사이버 범죄를 통해 범죄자들은 재료(개인정보)만 있으면 갖가지 공격 능력을 갖추는 데 성공했습니다. 그러니 재료를 주지 않기 위해 애써야 하는 게 맞습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>