오픈SSL에서 발견된 보안 취약점 ‘허트블리드(Heartbleed)’를 이용한 공격으로 캐나다 국세청(CRA)이 정보유출 피해를 입은 것으로 드러났다. 이는 허트블리드가 공개된 이후 공식적으로 보고된 첫 피해 사례다.
 
캐나다 국세청(CRA)은 14일(현지시각) 허트블리드를 이용한 공격으로 900여명에 이르는 납세자의 사회보험 번호(SIN)가 유출됐다고 발표했다.
 
CRA는 시스템이 해당 취약점에 노출됐다는 사실을 통보 받은 후 지난 4월 8일 온라인으로 제공되던 서비스를 오프라인으로 전환했다. CRA가 제공하는 ‘쉐어드 서비스 캐나다(Shared Services Canada)’는 패치 후 이에 대한 테스트가 완료돼 14일 다시 온라인으로 전환된 상태다.
 
당시 CRA는 이번 공격이 6시간 동안 진행됐으며 이로 인해 정보가 유출됐다는 사실을 캐나다 정부 보안 기관으로부터 통보 받았다.
 
CRA는 “데이터를 분석한 결과, 허트블리드 취약점을 이용한 공격으로 약 900여 납세자의 사회보험 번호가 CRA 시스템에서 삭제됐다”며 “현재 삭제된 데이터 중 사회보험 번호를 제외한 일부 다른 데이터에 대해 분석을 하고 있는 중”이라고 밝혔다.
 
CRA는 모든 납세자에게 이번 유출 사고와 관련해 등기 우편을 발송할 계획이지만, 이를 이용한 가짜 이메일 및 전화 등의 피싱으로 인한 추가적인 피해가 발생하는 것을 미연에 방지하기 위해 이번 사고로 피해를 받은 사람들에게 전화 또는 이메일을 제공하지 않을 것이라고 발표했다.
 
공격자들은 보안 취약점 발견 시 이를 빠르게 이용하기 때문에 당분간 이러한 정보유출 사고 소식은 계속될 것으로 전망된다. 만약 허트블리드 공격으로 정보가 유출됐다는 내용의 이메일을 받게 되면 이에 포함된 링크를 클릭하지 않는 것이 좋다. 개인정보 및 비밀번호를 빼내기 위해 사용자를 속이는 피싱 사기일 경우 진정한 위험이 발생할 수 있기 때문이다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com