(안영민 기자) 연방정부가 2020년 캐나다국세청(CRA)과 정부 온라인 계정 해킹 사태로 개인정보가 유출된 피해자들에게 총 870만 달러 규모의 집단소송 합의금을 지급한다.

이번 사건은 코로나19 팬데믹 초기 긴급지원금 신청이 몰리던 시기에 발생했으며, 해커들은 피해자들의 계정을 이용해 캐나다 긴급대응지원금(CERB)과 학생 긴급지원금(CESB)을 불법 신청하거나 지급 계좌를 변경한 것으로 드러났다.

연방법원은 지난해 12월 체결된 집단소송 합의안을 6일 최종 승인했다.

리처드 사우스콧 연방 판사는 판결문에서 “이번 합의는 전체 피해자 집단의 이익에 부합하는 공정하고 합리적인 수준”이라고 밝혔다.

∎ CRA 보안 허점 악용…해커들, 비밀번호 재사용 노렸다

피해는 2020년 여름에만 4만7천명 이상에게 발생했다. 유출된 정보에는 사회보장번호(SIN), 주소, 은행 계좌 정보 등 민감한 개인정보가 포함됐다.

소송을 제기한 피해자들은 정부와 CRA의 보안 실패가 최소 세 차례의 사이버 공격을 허용했다고 주장했다.

대표 원고인 브리티시컬럼비아주 클린턴 거주자 토드 스위트 씨는 자신의 이메일 주소와 자동입금 정보가 변경된 사실을 확인한 뒤 계정이 해킹된 것을 알게 됐다고 증언했다. 이후 누군가 그의 이름으로 CERB를 네 차례 신청한 사실도 발견됐다.

이번 해킹은 이른바 ‘크리덴셜 스터핑(credential stuffing)’ 수법으로 이뤄졌다. 이는 다른 사이트에서 유출된 아이디와 비밀번호를 이용해 정부 계정에 로그인하는 방식이다.

원래 CRA 온라인 계정은 보안 질문 등 2단계 인증 절차를 거쳐야 하지만, 당시 CRA의 인증 소프트웨어 설정 오류로 해커들이 보안 질문을 우회할 수 있었던 것으로 드러났다.

법원 기록에 따르면 CRA는 2020년 8월 6일 법집행기관으로부터 해당 해킹 수법이 다크웹에서 거래되고 있다는 통보를 받고 문제를 인지했으며, 나흘 뒤 시스템을 수정했다.

∎ 최대 5천달러까지 청구 가능

합의금 가운데 약 600만 달러는 2020년 6월 26일부터 8월 18일 사이 정부 계정이 해킹된 피해자 보상에 사용된다.

피해자들은 계정 복구와 문제 해결에 들인 시간에 대해 시간당 20달러 기준 최대 80달러까지 청구할 수 있다. 또 해커들이 CERB를 부정 신청했거나 정상 지원금을 가로챈 경우 최대 200달러까지 추가 보상을 받을 수 있다.

이와 별도로 신용카드 부정 사용, 신원도용 대응 비용 등 실제 금전 피해가 발생한 경우 최대 5천 달러까지 청구 가능하다.

합의금 지급 절차는 회계법인 KPMG가 맡는다.

∎ “보상 너무 적다” 반발도

다만 일부 피해자들은 보상 규모가 충분하지 않다며 반발하고 있다.

법원에 따르면 전체 피해자의 1% 미만인 29명이 합의안에 공식 이의를 제기했다. 상당수는 “정신적·재정적 피해에 비해 보상액이 턱없이 낮다”고 주장했다.

이에 대해 사우스콧 판사는 “일부 피해자들에게는 합의금이 충분하지 않을 수 있다”면서도 “이번 합의는 전체 집단에 대해 합리적인 수준의 보상을 제공하기 위한 것”이라고 설명했다.

한편 연방정부는 이번 합의가 책임 인정은 아니라는 입장을 유지했다. 정부는 성명을 통해 “합의는 분쟁 해결을 위한 절충안일 뿐 정부의 과실이나 위법 행위를 인정하는 것은 아니다”라고 밝혔다.