AI 요약
과거 2015년 전산 및 송금 사기로 실형을 살았던 무니브(Muneeb)와 소하이브(Sohaib) 아크테르 형제는 출소 후 45개의 연방 기관을 고객으로 둔 IT 보안 업체에 취업했으나, 과거 전과가 드러나며 2025년 2월 18일 해고되었습니다. 해고 통보를 위한 MS 팀즈(Microsoft Teams) 회의가 종료된 지 불과 6분 만에, 관리 누락으로 계정이 살아있던 무니브는 96개의 미국 정부 데이터베이스를 파괴하는 보복 공격을 감행했습니다. 조사 결과 이들은 재직 중에도 EEOC(고용평등기회위원회) 포털의 비밀번호를 조회해 개인 이메일에 접속하거나, 5,400개의 자격 증명을 탈취해 파이썬 스크립트로 외부 웹사이트에 무단 접속하는 등 지속적인 범죄를 저질러 왔습니다. 특히 탈취한 항공사 마일리지를 개인 여행에 사용하는 대담함을 보였으며, 이번 사건은 퇴사 절차 중 계정 관리의 허점이 국가 안보에 얼마나 치명적인지 보여주는 사례가 되었습니다.
핵심 인사이트
- 해고 직후 보복 공격: 2025년 2월 18일 오후 4시 50분에 해고 회의가 끝난 후, 단 6분 만인 4시 56분에 정부 데이터베이스 파괴 작업이 시작되었습니다.
- 대규모 데이터 파괴: 무니브 아크테르는 자신의 계정 권한이 즉시 회수되지 않은 점을 악용해 총 96개의 미국 정부 관련 데이터베이스를 삭제했습니다.
- 광범위한 개인정보 탈취: 무니브는 사내 네트워크에서 5,400개의 사용자 이름과 비밀번호를 수집하여 별도의 데이터베이스를 구축하고 관리했습니다.
주요 디테일
- 과거 범죄 이력: 형제는 34세로, 2015년 버지니아주에서 전산 사기 혐의로 유죄 판결을 받아 무니브는 3년, 소하이브는 2년의 징역형을 복역한 전과자입니다.
- 맞춤형 공격 스크립트: 파이썬(Python)으로 제작된
marriott_checker.py와 같은 스크립트를 사용하여 도큐사인(DocuSign), 메리어트 호텔, 항공사 계정 등에 자동 로그인 공격(Credential Stuffing)을 시도했습니다. - 정부 포털 오남용: 2025년 2월 1일, EEOC 공공 포털에 민원을 제기한 사용자의 비밀번호를 평문으로 조회하여 해당 사용자의 개인 이메일 계정에 무단 접속한 사실이 확인되었습니다.
- 보안 관리의 허점: 해고 직후 소하이브의 VPN 접근권은 차단되었으나, 무니브의 계정은 관리자의 실수로 누락되어 대규모 파괴 행위의 통로가 되었습니다.
향후 전망
- 보안 인가 절차 강화: 정부 조달 IT 업체 직원들에 대한 배경 조사(Background Check) 및 보안 인가(Security Clearance) 프로세스가 대폭 강화될 것으로 보입니다.
- 자동화된 접근 권한 회수: 인사 시스템과 연동되어 해고 즉시 모든 디지털 자격 증명을 자동으로 비활성화하는 '제로 트러스트' 보안 모델의 도입이 가속화될 전망입니다.