캐나다 정부가 870만 달러의 보상금 지급을 확정했습니다! 개인당 최대 5,000달러까지 받을 수 있습니다.
최근 캐나다에서 발생한 최대 규모의 개인정보 유출 사건에서 마침내 보상금 판결이 나왔습니다.
2020년 팬데믹 초기, 많은 캐나다인들이 갑자기 자신의 캐나다 국세청(CRA) 계정이 해킹당했다는 사실을 알게 되었습니다. 이메일 주소가 바뀌고, 은행 정보가 변경되었으며, 심지어 일부 사람들은 자신의 이름으로 여러 건의 CERB 긴급 지원금이 지급된 것을 발견하기도 했습니다.
불과 몇 주 만에 47,000명이 넘는 캐나다인의 정부 계정이 해킹당했고, 대량의 민감한 정보가 유출되었습니다.
수년 후, 전국적으로 큰 충격을 준 이 사이버 보안 사건은 마침내 종결되었습니다. 연방 정부는 피해자들과의 집단 소송 합의를 위해 870만 캐나다 달러를 지급하기로 했으며, 일부 피해자는 최대 5,000 캐나다 달러의 보상금을 받을 수 있습니다.
캐나다 역사상 최악의 정부 계정 해킹 사건 중 하나로 꼽히는 이번 사건은 팬데믹 기간 동안 연방 온라인 시스템의 심각한 보안 취약점을 다시 한번 드러냈습니다.
팬데믹 기간 동안 대규모 계정 침해 사고가 발생했습니다.
이 사건은 2020년 여름에 발생했습니다. 당시 팬데믹으로 인한 봉쇄 기간 동안 많은 캐나다인들이 캐나다 국세청(CRA)과 서비스 캐나다(Service Canada)를 통해 온라인으로 CERB(캐나다 긴급 지원금)와 같은 코로나19 구제 조치를 신청했습니다. 국가 전체가 정부 온라인 서비스에 가장 의존했던 바로 그 시점에 해커들이 이러한 계정들을 공격했습니다.
법원 문서에 따르면 해커들은 주로 “자격 증명 스터핑”이라는 공격 방식을 사용했습니다. 간단히 말해, 이 방식은 다른 웹사이트에서 유출된 사용자 이름과 비밀번호 조합을 이용하여 캐나다 국세청(CRA) 계정에 대규모 로그인 시도를 하는 것입니다.
많은 사람들이 여러 웹사이트에서 동일한 비밀번호를 사용하는 데 익숙해져 있기 때문에 수많은 계정이 해킹당했습니다.
더욱 심각한 것은 당시 캐나다 국세청(CRA)의 인증 시스템에 취약점이 있었다는 점입니다. 원래 계정 보호를 위해 고안된 2단계 인증 절차가 해커들에 의해 우회되었습니다. 심지어 사법 당국은 2020년 8월 6일, 이러한 해킹 방법이 다크 웹에서 공공연하게 판매되고 있다는 사실을 CRA에 경고하기도 했습니다.
캐나다 국세청(CRA)은 이후 며칠 만에 취약점을 해결하고 온라인 서비스를 일시적으로 중단했습니다.
수많은 피해자 발생: 보조금 탈취, 신분 도용
하지만 그때는 이미 피해가 돌이킬 수 없을 정도로 커져 버렸습니다.
많은 피해자들은 자신의 은행 입금 정보가 변경되었고, 지급되어야 할 CERB 보조금이 낯선 계좌로 이체된 사실을 알게 되었습니다. 심지어 일부는 자신의 이름으로 여러 건의 팬데믹 관련 지원금이 부정하게 신청된 경우도 있었습니다.
도난당한 정보에는 주민등록번호, 주소, 전화번호, 은행 계좌 정보와 같은 매우 민감한 데이터가 포함되어 있었습니다.
브리티시컬럼비아주 클린턴에 거주하는 토드 스위트는 이 소송의 주요 원고 중 한 명입니다. 2020년 7월, 그는 자신의 계정 이메일 주소가 변경되었다는 알림을 받은 후 캐나다 국세청(CRA)에 로그인하여 자신의 계좌이체 정보가 변경되었고, 자신의 이름으로 CERB(캐나다 긴급 지원금) 신청서가 네 건 접수된 사실을 발견했습니다.
점점 더 많은 캐나다인들이 온라인에서 의견을 표명하면서 유사한 사례들이 빠르게 드러나 전국적인 파장을 일으켰습니다.
집단 소송 제기: 정부의 부실한 보안 조치에 대한 비난
이후 집단 소송이 제기되었다. 원고들은 연방 정부와 캐나다 국세청(CRA)이 적절한 보안 조치를 제공하지 않아 해커들이 장기간 시스템 취약점을 악용하여 개인 정보를 탈취하고 정부 보조금을 부정 수령하도록 방치했다고 주장했다.
연방 정부는 결국 합의를 선택했지만, “어떠한 잘못이나 책임도 인정하지 않는다”는 점을 분명히 했습니다.
새롭게 승인된 합의 계약에 따르면 총 보상액은 870만 캐나다 달러이며, 그중 약 600만 캐나다 달러는 2020년 6월 26일부터 8월 18일 사이에 발생한 ‘자격 증명 탈취’ 공격으로 계정이 침해된 피해자들에게 보상하는 데 사용될 예정입니다.
보상 기준 발표: 최대 보상액 5,000달러
보상 기준도 공식적으로 발표되었습니다.
개인 정보가 불법적으로 유출된 경우, 피해자는 관련 문제 처리 시간에 대해 시간당 최대 20캐나다달러, 최대 4시간 또는 총 80캐나다달러까지 보상을 청구할 수 있습니다.
해커가 개인 정보를 이용해 CERB(캐나다 긴급 지원금)를 부정 신청하거나 피해자에게 정당하게 돌아가야 할 보조금을 가로챈 경우, 피해자는 최대 200달러의 보상을 받을 수 있습니다.
또한, 신용 정보 모니터링 수수료, 은행 카드 재발급 수수료 및 관련 법률 비용과 같은 신분 도용으로 인한 실제 경제적 손실이 발생한 경우, 최대 5,000캐나다달러까지 추가 보상을 청구할 수 있습니다.
KPMG는 보상 청구를 처리할 예정이며, 피해자들이 신청할 수 있도록 전용 등록 시스템이 구축되었습니다.
일부 피해자들은 보상금이 턱없이 부족하다며 불만을 표출하고 있습니다.
법원 문서를 보면 피해자 중 1% 미만이 공식적으로 합의에 반대했지만, 많은 피해자들이 보상액이 턱없이 부족하다고 생각했다는 점에 주목할 필요가 있다.
사우스콧 연방 판사는 또한 신분 도용으로 인해 심각한 정신적 고통, 금전적 손실 또는 건강 문제를 겪는 사람들에게는 보상이 “전혀 충분하지 않을 수 있다”고 인정했습니다.
그러나 법원은 전체적인 관점에서 볼 때 해당 제안이 여전히 “합리적인 범위” 내에 있다고 판결했습니다.
법원은 또한 보상 계획에 불만을 가진 피해자들은 집단 소송에서 탈퇴하고 정부를 상대로 개별 소송을 제기할 수 있다고 밝혔습니다.
보상금 지급 후 남은 금액이 있을 경우, 연방 정부는 해당 잔액을 캐나다 개인정보보호정보접근위원회에 기부하여 개인정보 보호 및 정보 보안 연구를 지원할 것을 약속했습니다.
최근 몇 년 동안 캐나다 국세청(CRA) 계좌 도용부터 각종 은행 및 통신 데이터 유출에 이르기까지 캐나다인들이 사이버 범죄의 표적이 되는 경우가 점점 더 빈번해지고 있다는 점이 매우 우려스럽습니다. 많은 해커들이 고도의 해킹 기술조차 필요로 하지 않는다는 점을 이해하는 것이 중요합니다. 단순히 오랜 기간 동안 비밀번호를 반복해서 사용하고 이중 인증을 설정하지 않는 것만으로도 계정을 쉽게 탈취할 수 있습니다.
따라서 정부는 예방 조치를 강화하는 동시에 모든 국민이 항상 개인 정보를 보호해야 한다는 점을 다시 한번 강조합니다.
