전과자가 있는 미국 쌍둥이 형제 2명이 해고된 후 연방 데이터베이스 96개를 삭제했습니다.

미국 연방정부 계약업체 내부에서 발생한 해킹 사건이 정보보안과 인사심사에 부정적인 사례로 떠오르고 있다. 최근 34세 쌍둥이 형제 소하이브 악터(Sohaib Akhter)와 무니브 악터(Muneeb Akhter)가 해고된 후 연방 정부 데이터베이스를 악의적으로 삭제하고 관련 해킹 활동을 했다는 이유로 연방 배심원단에 의해 유죄 판결을 받거나 사전에 유죄를 인정 받았습니다.

미국 법무부가 공개한 정보에 따르면 최근 배심원단은 소하이브 악터(Sohaib Akhter)에게 컴퓨터 사기 및 비밀번호 재판매 공모 혐의로 유죄를 선고했으며, 그의 형 무네브(Muneeb)는 앞서 유죄 인정 합의를 통해 관련 행위에 가담한 사실을 인정한 바 있다. 이 사건은 45개 이상의 정부 기관에 서비스를 제공하고 정보자유법(FOIA) 관련 데이터와 연방 조사 파일을 포함한 민감한 정보를 호스팅하는 연방 정부 계약자 Opexus에 의해 두 사람이 직장에서 해고된 후에 발생했습니다.

이 사건에 따르면 Opexus는 두 사람이 2015년부터 사이버 범죄로 유죄 판결을 받았다는 사실을 회사가 발견한 후 작년 2월 화상 회의를 통해 두 사람에게 해고 사실을 통보한 것으로 나타났습니다. 이는 초기 채용 과정에서 완전히 인정되지 않았던 핵심 배경입니다. 회사는 두 사람에 대해 '광범위한 신원 조사'를 실시했다고 주장했지만, 과거 해킹 기록을 파헤치는 데 실패한 것으로 보이며, 이러한 누락으로 인해 후속 심각한 내부 공격의 발판이 마련되었습니다.

핑크 슬립을 받은 지 몇 분 만에 형제들은 기업 및 정부 데이터를 표적으로 삼기 시작했습니다. 조사 결과 Muneeb은 불과 몇 시간 만에 FOIA 요청 데이터와 연방 조사 관련 문서가 포함된 데이터베이스 약 96개를 삭제한 것으로 나타났습니다. 동시에 그는 다른 사용자 계정도 잠가서 시스템에 대한 정상적인 접근을 막았습니다.

더욱 당혹스러운 점은 Opexus가 종료 프로세스 중에 Sohaib의 시스템 액세스를 제때 차단했지만 Muneeb의 계정에 대해서도 동일한 작업을 수행하는 것을 "잊었다"는 것입니다. 해고 통보를 받은 지 6분 만에 Muneeb은 다른 사용자를 차단하고 데이터베이스를 삭제하기 시작했으며, EEOC(Equal Employment Opportunity Commission)에서 추가로 1,805개의 문서와 450명 이상의 연방 세금 정보를 훔쳤습니다.

조사관들이 사건을 재구성해 본 결과, 두 형제의 '기술적 수준'은 전문 해커만큼 정교하지 않은 것으로 드러났다. 데이터베이스를 삭제한 후, Muneeb은 자신의 흔적을 감추기 위해 실제로 AI 챗봇에게 작업 흔적을 지우기 위해 시스템 로그를 지우는 방법을 물었습니다. 사건 파일에는 양측 간의 구체적인 의사소통 수단이 공개되지 않았지만, 결국 수사기관은 두 사람의 대화 내용을 텍스트로 입수해 중요한 증거 중 하나가 됐다.

사실, Akhter 형제가 연방 사이버 범죄 사건에 연루된 것은 이번이 처음이 아닙니다. 2015년 초 이전 사건에서 두 사람은 여러 웹사이트를 해킹하고 신용카드 정보를 훔치고 다크웹에서 개인 데이터를 판매하려 했다는 사실을 인정했습니다. 당시 소하이브는 미 국무부에서 복무하는 동안 동생 등과 공모해 동료들의 개인정보를 훔치고, 비밀리에 하드웨어 장치를 설치해 시간이 지남에 따라 정부 시스템을 감시한 혐의도 받았다.

Opexus는 회사가 채용 과정에서 신원 조사를 실시했지만 형제의 과거 연방 사이버 범죄 기록을 식별하기에는 "분명히 충분하지 않았다"고 사건 이후 인정했습니다. 이 실수는 해고 시 모든 계정 권한을 완전히 취소하지 못한 것과 결합되어 몇 시간 내에 민감한 정부 데이터의 대규모 삭제 및 도난으로 직접 이어졌습니다.

사법 절차와 관련해 무네브는 형보다 먼저 항변 합의서에 서명했지만, 최근 감옥에 있는 동안 자필 편지로 자신의 항변을 철회해 달라고 법원에 신청하기 시작했습니다. 편지에서 그는 자신의 변호인이 "무능하다"고 주장하며 자신을 변호하기 위해 법정에 출두하고 싶다는 희망을 표현했습니다. 사건의 후속 방향은 여전히 ​​​​법원의 추가 판단을 기다리고 있습니다.

이 사건은 정부 데이터, 조사 파일, 시민 개인 정보 보호와 관련된 중요 시스템의 인사 검토 및 계정 관리에 실수가 있으면 심각한 사이버 보안 사고로 빠르게 변할 수 있다는 점을 강조합니다. 계약업체 및 제3자 서비스에 의존하는 정부 기관의 경우 채용, 신원 조사, 권한 관리, 사직 프로세스에 있어 보다 엄격하고 체계적인 보안 메커니즘을 어떻게 구축할 것인가가 피할 수 없는 현실적 문제로 대두되고 있습니다.