시사 한겨레 ⓘ한마당

캐나다 국세청 CRA는 정기감사 중 비인증 개인들이 로그인한 기록이 발견돼 약 80만 개의 계좌를 잠갔다고 밝혔다.
CRA는 12일 성명에서 "피해를 입은 사용자들은 새로운 사용자 ID와 비밀번호를 생성할 때까지 예방 조치로 계정이 차단될 것"이라고 말했다.
CRA는 해킹여부에 대해 사이버 공격이나 온라인 시스템 침해로 계정이 훼손되지는 않았다고 말했다. CRA는 그러나 “사용자의 로그인 정보는 이메일 피싱 같은 도구를 통해 CRA가 아닌 제3자에 의해 유출됐을 수 있다"고 덧붙였다.
이같은 성명은 얼마 전 CRA가 불특정 다수의 사용자 ID와 비밀번호가 인증되지 않은 개인에게 사용되었을 가능성이 있어 계정을 잠갔다는 경고를 발표한 지 한 달도 안 돼 다시 나온 것이다. 
연방기관은 12일 "이러한 방식으로 계좌를 잠그는 것은 정상적인 CRA 운영의 일부"라고 말했다.

CRA는 “세무보고 시즌이 다가오면서 소득세 신고 마감일이 4월30일로 다가 온 가운데 캐나다 시민들이 이 문제에 대해 제대로 알고 있기를 바란다”고 말했다. 아울러 “사용자 계정 잠금과 같은 예방조치는 납세자 정보를 보호하기 위해 더 빈번해질 수 있다”고 경고했다.
CRA는 본인 계좌에서 의심스러운 활동이 있는지 시민들이 스스로 잘 감시해야 하며 자신이 아닌 다른 사람에 의해 은행, 우편 주소 또는 복리후생 등이 변경되는지 항상 확인해야 한다고 말했다. 또한 비밀번호는 정기적으로 업데이트되어야 한다고 강조했다.

캐나다 국세청(CRA)에 대한 사이버 공격으로 5000개가 넘는 개인 계좌가 해킹 당한 것으로 알려진 가운데, 누군가가 피해자의 계정으로 CERB(COVID19 정부긴급 지원금)를 신청한 사실이 밝혀졌다. 더욱이 해킹당한 계정은 당초 알려진 것의 2배가 넘는 1만1천여개로 밝혀졌다.

CERB를 신청하지 않았던 한 피해자는 뜻밖에 신청하지도 않은 지원서가 승인됐다는 이메일을 받았다고 밝혔다. 이 피해자는 CRA에 전화를 걸었고 전화를 받은 상담자는 “이 것은 한 번씩 있는 일”이라고 말하며 전화로 확인할 수 있는 사람들의 리스트를 전했다고 한다.. 그러나 몇 군데 전화를 걸어 본 피해자는 자신뿐만 아니라 몇 천명의 사람들에게 같은 일이 일어난 것을 알고 충격을 받았다고 말했다..

CRA의 개인 계정은 앞서 5000여개의 계정이 해킹되었다고 알려졌지만 이는 일부일 뿐, 실제로는 CRA계정과 GCKey계정 등 총 11,200여 개의 계정이 해킹된 것으로 확인됐다.

피해자는 본인의 SIN번호가 유출된 것에 불안을 느껴 서비스 캐나다 외에도 은행을 포함한 많은 곳에 전화를 걸어야 했고 여전히 불안을 느끼고 있는 것으로 알려졌다.

해커들은 개인정보를 이용해 사용자의 계정에 접속하는 '크레덴셜 스터핑(credential stuffing)' 방식으로 해킹한 걸로 알려졌다.

사이버 보안 전문가들은, 하나의 계정을 해킹하면 그 사람의 다른 계정에 로그인할 수 있게 되기 때문에 같은 비밀번호나 아이디를 쓰지 말 것을 권고했다.
그러나 이번 CRA해킹 피해자 중 몇몇은 비밀번호 대신 CRA가 우편으로 보내주는 코드를 입력하라고 했기 때문에 비밀번호를 입력하지 않았다고 밝혔다.