해커들, 세무 기관의 서버로부터 불가리아 시민 70% 이상의 데이터 훔쳐

Hacker Stole Data of Over 70% Bulgarian Citizens from Tax Agency Servers

동유럽 국가인 불가리아가 역대 최대 규모의 유출 사건을 겪었습니다. 이로 인해 불가리아 총 인구 7백만 명 중 성인 5백만 명의 개인 및 금융 정보가 도난 당했습니다.

불가리아의 현지 언론 다수에 따르면, 익명의 해커는 이번주 초 납세자의 개인 식별 번호, 주소, 금융 데이터가 포함 된 도난 된 데이터 11GB를 다운로드 할 수 있는 링크를 그들에게 보냈습니다.

지난 월요일 공개 된 간략한 성명서에서, 불가리아의 국세청(NRA)은 도난당한 데이터가 국가의 세금 보고 서비스로부터 유출 된 것이라 밝혔습니다.

또한 내무부 및 국가 안보국(SANS)은 공격자가 데이터베이스에 침입하기 위해 악용한 NRA의 시스템 내 잠재적 취약점이 있는지 조사하기 시작했다고 밝혔습니다.

자신이 러시아인이라 밝힌 해커는 해킹한 데이터베이스 총 110개 중 21GB 상당인 57개만 공개했다고 밝혔습니다.

NRA는 후속 발표를 통해 약 20일 전 공격자가 데이터 베이스에 저장 된 정보 중 약 3%에 무단으로 접근했다고 밝혔습니다.

“현재, 해외에서 지불한 VAT 환불 서비스와 세무서를 제외하고 시민 및 기업을 위한 전자 서비스는 정상적으로 작동하고 있습니다. 민감 정보에 대한 비규제 접근은 제한되어 있습니다.”

이 사건으로 인해 불가리아의 NRA는 해당 기관의 연관 매출액의 4%인 2,000만 유로(약 264.3억원)의 벌금형을 받을 것입니다.

“화이트 햇” 해커 용의자 체포 돼

불가리아 경찰은 NRA 데이터 침해 사건의 주 용의자로 20살의 “화이트 햇 해커”를 체포했습니다.

현지 언론에 따르면, 경찰은 불가리아의 수도인 Sofia에 위치한 그의 집과 사무실에 급습해 암호화 된 데이터가 포함 된 그의 컴퓨터를 압수했습니다.

체포 된 용의자인 Christian Boykov는 사이버 보안 전문가로 조직적인 사이버 범죄에 대항하기 위한 GCDPC의 장교가 되기 위한 훈련을 받는 중이었습니다.

그는 2년 전 교육 과학부(MES)의 웹사이트에서 취약점을 발견한 후 정부에서 그의 초기 제보를 무시하여 인기있는 TV쇼인 “Lords of the Air”에 연락을 취해 알려지게 되었습니다.

그 후 Boykov는 국제적인 사이버보안 회사인 "TAD Group"에 윤리적 해커로 고용 되었습니다. 체포 시점에도 그는 해당 회사의 직원이었으며, 담당 업무는 정부 기관 및 민간 기업의 잠재적 취약점을 찾기 위한 시스템 침투 테스트를 진행하는 것이었습니다.

아직까지 조사가 진행 중이기 때문에, 그가 실제로 범죄를 저질렀는지 여부는 밝혀지지 않았습니다. 하지만 Sofia 시의 검찰은 Boykov가 국가의 중요 인프라의 일부인 컴퓨터 시스템에 무단으로 침투한 것에 대한 혐의를 제기했습니다.

그의 변호사들은 Boykov가 일을 저질렀다는 어떠한 증거도 없다고 밝히고 있습니다. 하지만, 유죄가 입증 되면 과거 범죄 기록이 없는 그는 최대 8년의 징역형을 선고 받을 수 있습니다.

출처 :

https://thehackernews.com/2019/07/bulgaria-nra-data-breach.html