미국 정부 기관들이 2023 회계연도에 11건의 주요 정보 보안 사고를 미 의회 예산관리처에 보고했다. 주요 내용은 다음과 같다.
미국 관리예산처(OMB)의 새로운 보고서에 따르면 부실한 패치 관리, 지원되지 않는 시스템, 부적절한 인증 제어로 인해 일부 미국 연방 정부 시스템이 해커에게 공격 당했다. 2023년 9월 30일까지의 회계연도에 11건의 주요 사고가 발생했다.
12개월 동안 여러 연방 기관은 총 3만 2,211건의 정보 보안 사고를 보고했으며, 이는 2022 회계연도에 보고된 2만 9,319건보다 거의 10% 증가한 수치다.
2014년의 연방 정보 보안 현대화법 및 2015년의 사이버 보안법에 따라 OMB가 작성한 이 보고서에 따르면, ‘부적절한 사용’과 ‘이메일/피싱’이 각각 1만 2,261건과 6,198건으로 가장 일반적인 공격 벡터였다.
모든 사건이 중대한 결과를 초래한 것은 아니지만, OMB는 이 중 11건을 ‘중대한’ 사건으로 규정했다. 주요 사건에 대한 자세한 내용은 다음과 같다.
1. 아웃보다 인이 더 낫다?
미국 메디케어 및 메디케이드 서비스 센터(CMS)와 협력하는 한 계약업체가 랜섬웨어 공격을 받았다. 이 업체가 소유하고 운영하는 시스템의 네트워크 파일 공유 기능을 통해서였다. 이로 인해 280만 명의 개인 데이터가 노출됐다. 그 중 130만 명은 사망자였다. 유출된 정보에는 이름, 주소, 생년월일, 메디케어 식별자, 은행 정보 등이 포함되어 있었다. 사고 발생 후 CMS는 시스템을 사내로 이전하고 피해자들에게 무료 신용 모니터링 서비스를 제공했다.
2. 예방 조치
미국 보건인적서비스부(HHS)와 관련된 또 다른 주요 사고도 있다. 공격자들은 제로데이 취약점을 이용해 두 개의 계약업체를 표적으로 삼아 HHS 데이터가 포함된 시스템에 접근했다. HHS 시스템이 손상된 징후는 없었지만 계약업체의 시스템이 손상되면서 질병통제예방센터, 국립보건원, CMS 등의 기관에서 보유한 188만 명의 개인 정보가 잠재적으로 노출됐다. 여기에는 이름, 사회보장번호, 이메일 주소, 전화번호, 생년월일, 의료 진단 및 기타 정보가 포함됐다.
3. 연방 보안국의 실수
2023년 2월, 한 랜섬웨어가 직원과 법적 절차에 관련된 사람들의 개인 정보가 포함된 미국 연방보안국(USMS)의 컴퓨터 시스템을 공격했다. 결국 USMS는 새로운 시스템을 구축하고 백업에서 복원해야 했다. 영향을 받은 개인에게 통지하고 무료 신용 모니터링을 제공했다.
4. 검찰청도 포함
2023년 5월에 발생한 또 다른 랜섬웨어 공격은, 법무부 민사 부서와 일부 미국 검찰청의 특정 사건에 대한 데이터 분석 지원을 제공하는 공급업체의 시스템을 대상으로 했다. 이 공격으로 인해 개인 및 의료 데이터가 손상됐다. 당국은 외부 사고 대응 서비스에 의뢰하여 조사 및 정리를 진행했으며, 피해를 입은 개인에게는 신용 모니터링 서비스를 제공했다.
5. 반복되는 실수
국세청(IRS)은 이전 회계연도에 이미 노출됐던 개인 정보를 실수로 다시 노출하는 실수를 저질렀다. IRS는 면세 단체 사업 소득세 신고서(990-T) 양식의 수정된 버전을 게시하여 501(c)3 단체의 기타 소득을 공개해야 한다. 이 프로세스를 자동화하기 위해 계약업체를 고용했지만, 코딩 오류로 인해 2022년 8월 오류가 보고될 때까지 모든 501(c) 단체의 양식이 노출됐다. 이 데이터는 즉시 공용 웹 서버에서 제거되었지만, 다음 회계연도에 준비 서버에서 실수로 다시 게시됐다.
6. 사전 차단에 성공
재무부의 모든 기록과 자료에 대한 전체 액세스 권한에서 비롯된 사고다. 감사 또는 조사 대상을 결정하고 보고서를 작성하는 감찰관실(OIG)에서 근무하는 한 직원이 단 15시간 동안 한 직원의 로그인 자격 증명에 액세스한 사건이 발생했다.
OIG의 심층적인 방어 덕분에 공격의 배후에 있는 국가가 후원하는 행위자는 정보 리소스에 액세스할 수 없었으며, 액세스 권한이 있는 기간 동안 맬웨어를 심지도 못했습니다. 재무부는 재발 방지를 위해 다단계 인증 정책을 업데이트하고 소프트웨어 구성을 검증했으며 직원들을 대상으로 인식 교육을 실시했다.
7. 제로데이 설문조사
미국 인사관리처(OPM)는 연방 직원 관점 조사(FEVS)를 지원하는 계약업체가 사용하는 파일 전송 애플리케이션의 제로데이 취약점(이름은 명시되지 않았지만 MOVEit 해킹으로 추정됨)과 관련된 중대한 사고를 보고했다.
이 유출로 인해 법무부와 국방부 직원 약 63만 2,000명의 정부 이메일 주소, 고유 설문조사 링크, OPM 추적 코드가 유출됐다. 이에 따라 OPM은 계약업체에 FEVS 데이터 전송을 중단하고, 설문조사 링크를 비활성화하고, 피해를 평가한 후 영향을 받은 개인에게 알렸다. 평가 결과 설문조사 결과에 대한 무단 액세스 또는 조작의 증거는 발견되지 않았다.
8. 손실 예방을 강화한 CFPB
소비자금융보호국의 한 직원(현재는 퇴직함)이 개인 이메일 계정으로 한 금융기관의 고객 약 25만 6,000명의 개인정보가 포함된 14개의 이메일과 2개의 스프레드시트를 발송했다.
이 전 직원은 이메일을 삭제하고 삭제 증명을 보내라는 CFPB의 요구를 무시했다. 공식적인 평가에 따르면 해당 데이터는 계정 액세스나 신원 도용에 사용될 수 없는 것으로 나타났지만, 일부 피해자에게는 만일을 대비해 알림을 발송했다. 또한 CFPB는 의도치 않은 유출을 방지하기 위해 기술적 통제를 강화하고, 모든 직원과 계약업체에 개인정보 보호정책을 상기시키며, 모든 정보 관리 절차를 검토했다.
9. 열차 이용 정보 누출
트랜스서브(TRANServe) 이니셔티브의 혜택을 받은 연방 직원들은 기차를 타기로 한 결정을 후회했을 수도 있다. 공격자들이 여러 관리 시스템을 침입하여 연방 직원들에게 대중교통을 이용하도록 인센티브를 제공하는 주차 및 대중교통 혜택 시스템(PTBS)에서 개인 데이터를 탈취했다. 약 23만 7,000명이 잠재적으로 영향을 받은 것으로 추정된다.
공격자들은 이름 없는 상용 웹 애플리케이션 개발 플랫폼의 패치되지 않은 중요 취약점을 악용하여 이름, 집 및 직장 주소, 사회 보장 번호의 마지막 네 자리 숫자를 알아냈다. 교통부는 패치된 소프트웨어로 영향을 받은 서버를 재구축하고 직원들에게 신용 모니터링 서비스를 제공했다.
10. 잊혀진 영향 평가
내무부 내무 비즈니스 센터(IBC)의 한 개발자가 급여 시스템의 보안 정책을 수정함에 따라 인사 담당자가 36개 연방 기관의 직원 기록을 볼 수 있게 되는 사고가 발생했따. 이로 인해 약 14만 7,000명의 개인 데이터가 노출되었을 가능성이 있다. 조사 결과 IBC는 시스템을 변경한 후 개인정보 영향 평가를 수행하지 않았던 것으로 드러났다. 당국은 내부 프로세스와 교육을 강화해야 했다.
11. 방사능 노출 데이터 노출
에너지부는 익명의 랜섬웨어 그룹이 폐기물 격리 파일럿 플랜트(WIPP)와 오크 리지 관련 대학(ORAU)에서 사용하는 보안 파일 전송 제품의 제로데이 취약점을 악용했다고 보고했다.
랜섬웨어 그룹은 WIPP와 ORAU 시스템에 액세스할 수 있었으며, 전직 DOE 직원을 위한 건강 모니터링 프로그램에 참여한 3만 4,000명의 개인 정보와 과학부 소속 6만 6,000명의 개인 정보가 포함된 데이터를 탈취했다고 주장했다. 유출된 데이터에는 이름, 생년월일, 사회보장번호, 일부 건강 정보가 포함되어 있었다. 영향을 받은 개인에게는 알림을 받고 신원 모니터링 서비스를 제공받았다.
하지만 나쁜 소식만 있는 것은 아니다. 보안 사고가 전년 대비 증가했음에도 불구하고 OMB 감사에서는 기관들이 사이버 방어 조치를 채택하는 데 있어 개선이 있었다고 평가했다. 모든 기관이 OMB 지침에 따라 엔터프라이즈 EDR 플랫폼을 선택하고 사이버 탐지 기능을 확장했다. 그 결과 2023 회계연도에는 연방 민간 행정부 기관의 96%가 전년도에 비해 ‘탐지’된 결과가 증가했다고 보고했다. dl-ciokorea@foundryco.com
