2019년 불가리아 수입원 해킹

2019 Bulgarian revenue agency hack
2019년 불가리아 국세청 해킹
날짜2019년 7월 15일 (재개)
위치 불가리아

2019년 7월 15일 불가리아 국세청(NRA)에 대한 대규모 데이터 유출 사건이 드러났다. 이 침입에 책임이 있는 해커는 불가리아 주요 언론에 공격 범위를 상세히 설명하는 이메일을 보냈다.

유출된 자료는 불가리아 시민 500만 명의 이름과 주민등록번호를 상세히 기록한 57개의 폴더와 2007년 초부터 2019년 6월까지의 세입, 세금 및 사회보장 납부, 부채, 온라인 베팅 자료, 회사 활동 등에 관한 기록이다.[1] 일부 연구원들에 따르면, 이 나라의 거의 모든 성인들이 그들의 개인 정보를 손상시켰다고 한다.[2]

배경

잇따른 불가리아 정부들은 2002년 이후 전자정부 프로젝트에 거의 20억 레바(11억5000만 달러)를 소비해 거의 성과를 내지 못하고 있다. 국세청은 전자정부 서비스를 시민들에게 제공하는 5개 기관 중 하나이다.[3] 2018년 정부 보고서는 공공기관에 자격 있는 IT 직원이 부족하고 민간 부문에 비해 비경쟁적인 급여를 이유로 정부 기관의 사이버 보안 수준이 매우 낮은 것으로 나타났다.[4]

2017년에는 교육부 홈페이지에서 120만 불가리아 어린이들의 주소와 이름을 포함한 개인정보가 공개돼 조사 저널리즘 웹사이트 Bivol.bg의 보고서에 의해 공개되기 전까지는 유출사실이 다뤄지지 않았다.[5]

정부의 데이터 처리 능력에 대한 심각한 의구심은 2018년 8월 불가리아 경제의 데이터베이스 전체를 담은 불가리아 상업 등록부가 추락하면서 계속됐다.[6] 관리 소홀로 인한 총 하드 디스크 드라이브 장애로 인해 2주 이상 25테라바이트의 회사 데이터에 액세스할 수 없게 되어 근본적으로 비즈니스 트랜잭션이 중단되었다.[7][8][9] 이번 추락사고 이후 전자정부청은 모든 정부기관이 사용하는 소프트웨어와 하드웨어에 대한 감사에 착수했다.[10] 그 해 말, 사이버보안법이 발효되어, 사이버 범죄 및 사고 예방과 관련된 몇몇 정부 직책과 함께 국가 사이버보안 시스템을 구축하였다.[11]

NRA 해킹이 공개되기 며칠 전, 한 화이트해커가 불가리아 개인 데이터 보호 위원회 웹사이트에 심각한 취약점을 보고했는데, 이 해커는 3년 동안 이 문제를 해결하기 위해 위원회에 "감금"을 했었다. 위원회는 14,000명이 넘는 시민들의 이메일과 전화번호가 포함된 자료들을 보호하기 위한 어떠한 조치도 취하지 않았다.[12]

공략

7월 15일, 익명의 해커가 불가리아 언론에게 "재무부 직원"[1]에 대한 공격의 세부사항을 이메일로 보냈다. 이 유출은 국세청의 데이터베이스로부터 11 기가바이트의 데이터를 가져갔다는 것을 밝혀냈다. 57개 폴더에는 .csv 파일, 100만 줄이 넘는 파일, 전체 이름, 국민 식별 번호, 수입 수치, 개인 부채 정보, 건강 및 연금 지급, 온라인 도박 사이트 사용자 등록 등이 포함됐다. e메일은 또 전체 데이터 볼륨이 폴더 110개와 21기가바이트에 달한다고 주장했다. 이 메시지는 불가리아 정부의 컴퓨터 보안인 "기습적"이라며 줄리안 어산지의 석방을 요구했다.[1]

다음날 NRA는 자료의 진위를 확인했다. 이 기관에 따르면, 거의 사용되지 않는 해외 거래에 대한 부가가치세 환급 서비스를 통해 이 서버의 서버에 접속되었고, 이 위반은 전체 데이터베이스의 약 3%에 영향을 주었다.[13]

해커는 SQL 주입을 배포하고 서버에서 무작위로 데이터를 수집했다.[14]

여파

크리스티안 보이코프 체포

사이버보안업체 직원 크리스티얀 보이코프(20)는 지난 7월 16일 소피아에서 경찰에 체포돼 개인정보 침해 및 도난 혐의로 기소됐다.[15]

경찰에 따르면 공개된 자료에는 공격자의 컴퓨터와 사용자 이름 정보가 담긴 잠금 파일도 들어 있어 보이코프가 소셜미디어에서 사용한 것과 일치했다. 그러나 자물쇠 파일은 공격의 예상 시간 이전에 날짜가 잡혔다.[14]

보이코프는 7월 18일 그의 공격이 중요한 NRA 데이터베이스에 영향을 미치지 않았다는 이유로 석방되었다.[16] 그는 경찰이 자신에게 '불편한 질문'을 했고, '약간 협박'을 일삼았으며, 강제 자백을 받아내려 했다며 범행을 부인했다.[17] 그의 변호사는 보이코프에 대한 증거가 "존재하지 않는다"고 발표했으며, 이 고발은 특정 기간이나 심지어 가해자를 가리키지 않는다고 말했다. 보이코프와 그의 고용주들에 따르면, 시장 경쟁자는 그를 모함하고 그들의 회사에 손해를 입히기 위해 이 기회를 이용했을 수도 있다.[14][17]

개인 데이터 보호 해킹 시도 위원회

7월 22일, 개인 데이터 보호 위원회는 성공하지 못한 사이버 공격이 그것에 대해 수행되었다고 발표했다. 데이터베이스가 타겟이 되었는지는 아직 밝혀지지 않았지만 공격자는 지역 와이파이 네트워크를 사용했고 위원회 본부 근처에 있었던 것으로 보인다.[18]

반응

정부

정치집단

산업

불가리아 IT 전문가들은 정부 서비스를 위한 오픈 소스 소프트웨어 인프라를 요구하는 온라인 청원을 시작했다. 청원서에는 2002년 이후 전자정부에 지출된 수십억 명에 대해서도 뚜렷한 성과 없이 명료하게 기재할 것을 요구했다.[19]

참고 항목

참조

  1. ^ a b c "Personal data of millions of Bulgarian citizens leaked from NRA" (in Bulgarian). Kapital Daily. 15 July 2019. Retrieved 21 July 2019.
  2. ^ "In systemic breach, hackers steal millions of Bulgarians' financial data". Reuters. 16 July 2019. Retrieved 22 July 2019.
  3. ^ "About BGN 2 Billion have been Spent on the Absent Bulgarian E-government for 15 years". Novinite. 5 December 2017. Retrieved 22 July 2019.
  4. ^ "Cybersecurity is tragic despite millions spent". Sega. 19 July 2019. Retrieved 22 July 2019.
  5. ^ "EDUCATION MINISTRY'S NEW PLATFORM "OPEN AND SAFE SCHOOL" DISPLAYED PERSONAL DATA OF 1.2 MILLION BULGARIAN CHILDREN". Bivol.bg. 10 October 2017. Retrieved 22 July 2019.
  6. ^ "The Commercial Register in Bulgaria Collapsed". SBS Australia. 24 August 2018. Retrieved 22 July 2019.
  7. ^ "Crash of commercial register of Bulgaria blocks business deals". Bulgarian National Radio. 15 August 2018. Retrieved 22 July 2019.
  8. ^ "Commercial Register Set to Resume Work in 16:00" (in Bulgarian). Dnevnik. 27 August 2018. Retrieved 22 July 2019.
  9. ^ "The Trade Registry Now Down a Full Week". Mediapool. 18 August 2018. Retrieved 22 July 2019.
  10. ^ "State Registry Copies Will be Kept in a Single Storage". Darik News. 15 August 2018. Retrieved 22 July 2019.
  11. ^ "Parliament Adopts New Cybersecurity Law". Darik News. 31 October 2018. Retrieved 22 July 2019.
  12. ^ "FOR 3 YEARS WHITE HAT 'BEGS' DATA PROTECTION WATCHDOG TO STOP LEAKS FROM ITS SITE". Bivol.bg. 12 July 2019. Retrieved 22 July 2019.
  13. ^ "Personal data of millions of Bulgarian citizens leaked from NRA" (in Bulgarian). Kapital Daily. 15 July 2019. Retrieved 21 July 2019.
  14. ^ a b c "The Country With the Most Open Data in the World" (in Bulgarian). Kapital Daily. 19 July 2019. Retrieved 21 July 2019.
  15. ^ "What happens when a country's entire adult population is hacked?". MIT Technology Review. 17 July 2019. Retrieved 21 July 2019.[영구적 데드링크]
  16. ^ "Suspect Arrested for NRA Hacker Attack Released from Detention". Novinite. 18 July 2019. Retrieved 21 July 2019.
  17. ^ a b "Kristiyan Boykov: I'm not the man who broke into NRA's system" (in Bulgarian). Dir.bg. 22 July 2019. Retrieved 22 July 2019.
  18. ^ "Hacking attempt against the Personal Data Commission prevented" (in Bulgarian). Dir.bg. 22 July 2019. Retrieved 22 July 2019.
  19. ^ "Programmers demand open code for software at Bulgarian institutions". Dir.bg. 27 July 2019. Retrieved 28 July 2019.