영국 아동수당자료 분실(2007)

영국의 아동수당 데이터 손실은 2007년 10월 아동수당 관련 자료가 들어 있는 영국 국세청이 소유한 컴퓨터 디스크 2개가 분실된 데이터 침해 사건이었다. 이 사건은 2007년 11월 20일 재무장관 알리스테어 달링에 의해 발표되었다. 이 두 디스크에는 아동수당을 주장하는 영국의 모든 가족의 신상명세서가 들어있으며,^[1] 이 중 영국에서 차지하는 비중이 ^[2]거의 100%에 달한다.

손실은

이 디스크들은 10월 18일 TNT를 통해 보고되지 않은 내부 우편으로 워싱턴 타인 앤 웨어의 워터뷰 파크에 본사를 둔 HMRC(HMRC)의 하급 직원들이 국정감사실로 보냈다. 10월 24일 NAO는 HMRC에 그들이 자료를 받지 못했다고 불평했다. 11월 8일, HMRC의 고위 관리들은 손실 사실을 통보받았고, 11월 10일 알리스테어 달링 재무장관이 이를 통보받았다.^[3] 11월 20일 달링은 다음과 같이 발표했다.

아동수당 지급과 관련하여 HMRC 전체 데이터의 전체 사본을 포함하는 암호로 보호된 디스크 2개는 택배회사 TNT가 운영하는 HMRC의 내부 우편 시스템에 의해 NAO로 전송되었다. 소포는 기록되거나 등록되지 않았다. 데이터가 NAO의 주소에 도달하지 못한 것으로 보인다.^[1]

손실된 데이터는 영국 내 약 2천 5백만 명(전국 인구의 거의 절반)이 관련된 것으로 생각되었다. 분실된 디스크에 대한 개인 자료에는 부모와 자녀의 이름과 주소, 자녀의 생년월일, 국민보험번호, 부모의 은행이나 건축사회내역 등이 포함된 것으로 알려졌다.^[3]

문제의 "암호 보호"는 WinZip 버전 8에서 제공하는 것이다.^[4] 이것은 잘 알려진 공격을 가진 약하고 독점적인 계획(이름 없는 암호화 및 해시 알고리즘)이다.^[5] 컴퓨팅 능력이 있는 사람이라면 누구나 쉽게 구할 수 있는 도구를 다운로드하여 이러한 보호를 깨뜨릴 수 있을 것이다. WinZip 버전 9는 AES 암호화를 도입했는데, 암호문을 정확히 알아야 보안이 유지되고 해독이 가능했을 것이다.

자주 묻는 질문의 ^[6]목록에서 BBC 뉴스 웹사이트에서 손실 경위는 다음과 같은 것으로 보도되었다.

• 청구인 725만 명
• 더 이상 자격이 없지만 더 어린 아이를 원하는 가족을 포함한 1,550만 명의 아이들
• 협력사 또는 보호자 등 225만 명의 '납부자'
• 법원 지시에 따라 혜택을 주장하는 3000명의 '채용자'
• 제3자를 대신하여 이익을 주장하는 12,500명의 요원

정부 각료들은 하급 공무원 탓이라고 주장했지만 보수당은 일부 책임이 고위 경영진에게 있다고 말했다. 이는 국정감사원이 송부 전 자료에서 은행내역을 삭제해 달라고 요청했지만 HMRC가 "너무 비용이 많이 들고 복잡하다"^[7]고 부인했다는 주장에 따른 것이다. 11월 22일 공개된 이메일은 HMRC 고위 관리들이 민감한 정보를 빼내지 않기 위한 비용상의 이유로 이 결정을 알고 있었다는 것을 확인했다.^[8] 민감한 정보를 삭제하는 데 드는 비용은 5천 파운드로 주어졌다.^[9] 비록 한 학술 연구에서 비용이 실질적으로 (650파운드) 적은 것으로 밝혀졌지만.^[10]

IT 전문지 컴퓨터 위클리(Computer Weekly)에 따르면 2007년 3월 NAO는 아동수당 데이터베이스의 완성된 정보를 데이터베이스 샘플이 아닌 CD로 우편으로 보내줄 것을 요청했다고 한다. 처음 이 일을 끝냈을 때는 일이 순조롭게 진행되었고, 소포는 등기우편이었다. 하지만 이번에는 택배사를 통해 등록이 되지 않았다.^[11]

이후 2007년 12월 17일 HMRC용 데이터 보호 매뉴얼 자체가 보안에 관한 매뉴얼의 내용을 요약한 하위 공무원이 아닌 고위직 공무원으로만 제한되어 있다는 사실이 밝혀졌다.^[12]

기타 데이터 스캔들

이것은 몇 개의 다른 데이터 스캔들이 뒤따랐다. 12월 17일 루스 켈리에 의해 300만 명의 학습자 운전자들의 세부 정보가 미국에서 분실되었다는 것이 밝혀졌다. 그러나 분실된 것으로 전해지는 세부사항은 이름, 주소, 전화번호, 납부한 수수료, 시험소, 결제코드, 이메일뿐이어서 금융사기 위험 감소로 인한 공황은 그리 크지 않았다. 12월 23일, 9개의 국가 보건국(NHS) 신탁은 또한 수십만 명의 환자들의 데이터, 그 중 일부는 보관 정보, 일부는 의료 기록, 연락처 세부사항, 그리고 부드러운 재무 데이터를 잃어버렸다는 것이 밝혀졌다. 몇몇 다른 신탁회사들도 자료를 잃어버렸지만 꽤 빨리 찾았다. 몇몇 다른 영국 회사들도 보안 결함을 인정했다.^[13]

반응

달링은 세부 사항이 범죄자의 손에 넘어갔다는 징후는 없다고 진술했지만 피해자들에게 은행 계좌를 감시할 것을 촉구했다.^[1] HMRC는 데이터 손실 우려자를 위한 아동수당 헬프라인(Hild Benefit Helpine)^[3]을 설치했다.

이 사건은 영국의 데이터 보호법을 위반하여 HMRC 회장 폴 그레이의 사임으로 귀결되었다. 달링 씨는 "사냥이 시작되었을 때 아마도 수일 내에" 디스크가 파괴되었을 것이며 HMRC에 "불투명한" 관리 구조가 있었고 누가 무엇을 책임졌는지 알 수 없다고 말했다.^[14] 그레이는 이후 국무조정실에서 근무하고 있는 것으로 밝혀졌다.^[15][16] 경시청과 독립경찰민원위원회는 모두 보안침해를 조사했고, 제복을 입은 경찰관들은 HMRC 사무실을 조사했다. 이 패배는 자유민주당 빈스 케이블의 대표 권한대행과 조지 오스본 섀도우 수상에 의해 많은 비난을 초래했다. 오스본은 이렇게 말했다.

이 재앙적인 실수의 규모에 대해 분명히 말해두자. 이 나라의 모든 아이들의 이름, 주소, 생년월일은 분명히 우편물에서 분실된 컴퓨터 디스크 두 개에 놓여 있고, 은행 계좌 명세와 천만 명의 부모, 보호자, 보호자의 국민 보험 번호가 실종되었다.^[3]

그는 또 "국민 ID 데이터베이스를 만드는 것이 이 정부의 야심에 대한 마지막 타격"이라고 말했다. 케이블은 또한 현대 전자 데이터 전송 시대에 디스크의 사용을 비판했다. 고든 브라운 대변인은 그러나 수상이 달링을 전적으로 지지했으며 달링 총리가 사임 의사를 표명하지 않았다고 말했다.^[3]

대중의 전반적인 반응은 분노와 걱정의 하나였다. 은행, 개인, 기업, 정부 부처는 데이터 사기 및 신원 도용에 대해 더욱 경계를 늦추지 않았고 정부는 데이터에 더욱 주의할 것을 약속했다. 대중과 언론은 특히 해당 자료가 등록되거나 기록되지 않았고, 안전하게 암호화되지 않은 점에 대해 분노했다.

닉 애신더 BBC 정치특파원은 달링이 "빌린 시간에 있다"^[17]고 믿는다는 의견을 피력했다. 달링이 "직장에 달려 있다"고 의문을 제기한 조지 오스본은 달링의 미래에 관한 결정이 내려지는 것은 며칠의 문제가 될 것이라고 제안했다.^[18] 그러나 달링은 2010년 노동당이 패배하기 전까지 수상으로 남아있었다.

TNT는 배송이 기록되지 않아 어디로 갔는지는 고사하고 실제 발송됐는지도 확인할 수 없을 것이라고 밝혔다.^[19]

제러미 클락슨 직불 사기

2008년 1월 7일, 제레미 클락슨은 스캔들에 대한 대중의 우려가 불필요하다는 점을 지적하기 위해 자신의 은행 계좌와 그의 칼럼에 코드 세부사항을 기재한 후 직접 직불 사기의 대상이 되었다는 것을 알게 되었다. 그는 이렇게 썼다. "그것들로 당신이 할 수 있는 일은 내 계좌에 돈을 넣는 것뿐이다. 꺼내지 마. 솔직히, 나는 아무것도 아닌 일에 대해 그렇게 호언장담하는 사람을 본 적이 없다." 그 후 누군가는 이 세부사항들을 자선단체인 영국당뇨병원에 500파운드의 직불금을 설정하는데 사용했다. 클락슨은 다음 선데이타임즈 칼럼에서 "내가 잘못했고 내 실수로 벌을 받았다.∘직접 차변보증의 조건에 따라 지급이 역전될 수 있다.

참고 항목

• 영국 정부 데이터 손실 목록
• 영국 정부 보안 침해

참조

외부 링크

• 알리스테어 달링의 의회 성명
• HMRC 반성문
• 브라운은 기록상실에 대해 사과한다. 사건 연대표와 함께.