이달 초, 모로코는 자국 역사상 가장 중대한 사이버보안 침해 사건으로 여겨지는 대규모 데이터 유출 사태로 충격에 빠졌다. 해킹 대상은 모로코 국가 사회보장기금(Caisse Nationale de Sécurité Sociale, CNSS)으로, 이 기관은 민간 부문 근로자의 사회보장 업무를 총괄하는 정부 기관이다. 이번 침해로 인해, 약 200만 명의 개인 정보, 4만여 개 등록 기업과 그에 소속된 약 400만 명의 직원 정보가 유출된 것으로 알려졌다.

CNSS는 1961년 설립되었으며, 이전의 사회지원기금(Caisse d’Aide Sociale)을 계승한 기관이다. 민간 부문 근로자를 위한 의무 사회보험 관리의 중심 기관으로서, 그 업무 범위는 다음을 포함한다: 의료 보장, 연금 관리, 실업금여, 출산 급여, 장애 및 가족 수당, 장례비 지원 등. 이러한 역할을 수행하면서 CNSS는 모로코에서 가장 방대한 시민 데이터베이스 중 하나를 운영해왔다.

이번 유출 사건은 모로코가 빠르게 디지털화되어 가는 시점에서, 공공 및 민간 부문 모두에게 경각심을 일깨워주는 사건으로 평가된다. 이번 사태는 다음과 같은 여러 취약점들을 드러냈다: 위기 대응 커뮤니케이션 체계 부족, 데이터 거버넌스 체계 미비, 규제의 투명성 결여. 피해자들은 현재까지도 공식적인 통보 없이 방치된 상태로 알려졌으며, 이에 따라 정부 기관에 대한 대중의 신뢰는 더욱 악화되고 있다.

이번 해킹의 배후는 ‘자바루트(Jabaroot)’라는 이름의 위협 행위자로, 다크웹 포럼에서 활동 중인 것으로 확인되었다. 이들은 탈취한 데이터를 CSV 및 PDF 형식으로 무료로 배포했으며, 금전적 요구나 다크웹 판매 시도는 전혀 없었다. 사이버보안 업체 Resecurity의 분석에 따르면, 이러한 행동 양식은 일반적인 금전 목적의 해커들과는 달리 해킹을 통한 정치적 메시지 전달(핵티비즘) 또는 사이버 첩보 목적일 가능성이 제기되고 있다.

“이번 데이터 유출의 구체적인 동기는 아직 명확하지 않지만, 유출된 정보의 규모는 이미 북아프리카 사이버보안 업계 및 개인정보 보호 전문가들 사이에서 큰 반향을 불러일으켰다. 이번 사건은 모로코 역사상 가장 중대한 사이버 공격으로 해석될 수 있다.”라고 사이버보안업체 Resecurity는 공격에 대한 분석 보고서에서 밝혔다.

실제로 유출된 데이터의 규모와 민감성은 충격적이다. 이반 개인 정보의 경우, 유출된 항목은 다음과 같다: 전체 이름, 국가 신분증 번호, 여권 정보, 이메일 주소, 전화번호, 급여 정보, 은행 계좌 및 인증 정보. 또한, 수만 개 기업 및 기타 조직에 소속된 행정 직원의 내부 문서, 등록 정보, 계약 정보까지 포함된 것으로 밝혀졌다.

더 나아가, 모로코 정보의 주요 부처 소속 직원들도 다수 이번 유출에 포함되었다. 해당 기관은 다음과 같다: 재정경제부(Ministry of Economy and Finance), 보건부(Ministry of Health), 투자·수출개발청(AMDIE), 국민연금기금(Caisse Marocaine des Retraites), 국가식품안전청(ONSSA), 왕립회계국(General Treasury of the Kingdom), 중소기업지원공사(Maroc PME).

Resecurity는 다음과 같이 경고했다: “이 정도 규모의 데이터 유출은 국민의 개인정보에 장기적이고 심각한 영향을 미칠 수 있으며, 사기 및 신원 도용 위험을 유발할 가능성이 매우 크다.”

이번 유출 사건의 복잡성을 더욱 심화시키는 요소는 바로 그 지정학적 배경이다. 자바루트(Jabaroot)가 운영하는 것으로 추정되는 텔레그램 채널에서는 모로코 측 해커들이 알제리 국영 뉴스통신사(X 계정)를 해킹한 사건에 대한 보복성 공격이었다는 보복 동기(retaliation)가 암시되었다.

이러한 보복 서사는, 최근 몇 년간 격화되고 있는 모로코와 알제리 간 사이버 갈등의 전형적인 양상으로 볼 수 있으며, 지역 간 정치적 긴장이 디지털 영역으로 번지고 있다는 우려를 더욱 키우고 있다. 비록 자바루트가 공식적인 랜섬(몸값)을 요구하지는 않았지만, 내부 관계자의 전언에 따르면, 공격자는 초기에 모로코 당국에 비공식적으로 일부 요구 사항을 전달했으나, 이를 당국이 받아들이지 않아 데이터를 공개한 것일 수도 있다는 가능성도 제기되었다.

공개된 유출 파일에는 일부 고위 정부 공무원의 급여 정보도 포함되고 있었으며, 해커는 이들 중 일부가 사건의 심각성을 축소하고 있다고 주장했다. 이 데이터는 2024년 11월 29일자 7z 압축 파일에 포함되어 있었으며, 이를 바탕으로 사이버보안 전문가들 사이에서는 이미 수개월 전부터 침해가 발생했으나 당국이 이를 고의로 은폐했을 가능성도 제기되고 있다.

Resecurity에 따르면, 이번 유출 데이터의 진위는 내부 평가 및 자사 고객과의 교차 검증을 통해 확인되었으며, 내용 또한 매우 구체적이고 일치도가 높다고 밝혔다. 그럼에도 불구하고, CNSS나 모로코 정부 규제당국은 현재까지도 피해자에 대한 공식적인 통보를 하지 않았으며, 이에 대한 대중적 불만과 국제적 우려는 더욱 고조되고 있다.

이번 사태에 대한 정부의 투명성 부족은 소비자 권리와 제도적 책임성에 대한 중대한 의문을 제기하고 있다. 유출 피해자들은 아직까지도 어떠한 공식적인 안내나 보호 조치도 받지 못하고 있으며, 이로 인해 악용 가능성이 매우 높은 무방비 상태에 놓여 있는 상황이다.

사이버 보안 전문가들은 다음과 같은 위험이 고조되고 있다고 경고하고 있다: 신원 도용(identity theft), 금융 사기(fraudulent transactions), 사회공학 기반 표적 공격(spear-phishing 및 사칭 공격). 공격자들은 이미 유출된 개인정보를 이용해 은행 시스템에서 시민을 사칭하거나, 추가 자격 증명을 탈취하기 위한 피싱 캠페인을 수행하고 있을 가능성이 높다.

이번 유출 데이터는 모로코 국민뿐 아니라, 해외에 본사를 둔 유럽 기업 및 기타 외국계 기업의 현지 직원과 법인 정보도 포함하고 있다. 모로코가 최근 국제 무역 네트워크와의 통합을 강화하고 있는 상황에서, 이번 유출 사건은 국경을 넘는(초국가적) 파장을 유발할 수 있으며, 외교적 긴장 및 경제적 관계 악화를 초래할 가능성도 배제할 수 없다.

이에 대해 모로코 개인정보보호 감독기구(CNDP, National Commission for the Control and Protection of Personal Data)는 공식 성명을 통해: 이번 데이터 유출을 공식적으로 인정하고, 해당 데이터를 통한 불법적 개인정보 활용 가능성에 대한 우려를 표명했다.

모로코 개인정보보호위원회(CNDP)는 이번 사태와 관련해 “법적 근거 없이 취득된 데이터는 기존 개인정보 보호법에 위배되지 않고서는 접근하거나 활용할 수 없다”고 기관 및 국민에게 공식적으로 주의를 환기시켰다. 그러나 지금까지 정부 차원의 대응, 법적 조치, 예방적 규제 마련 등은 거의 이뤄지지 않고 있는 상황이다.

사이버보안 기업 Resecurity는 현재 법집행 기관들과 협력하여 이번 유출 사건에 대한 조사를 진행 중이다. 비록 초기 분석 결과에서는 국가 지원 해킹조직(State-sponsored actor) 여부가 명확히 확인되지는 않았지만, 공격 전개 방식은 ‘지능형 지속 공격(APT)’ 조직이 자주 사용하는 전형적인 수법과 매우 유사하다고 Rescurity는 밝혔다.

Resecurity는 다음과 같이 덧붙였다: “이러한 전술은 보통 정부 기관을 표적으로 하는 고급 사이버 첩보 조직에서 나타나는 특징이다.” “책임 소재를 회피하기 위해, 이들은 자신들의 활동을 사이버 범죄나 핵티비즘(해킹 운동)의 외양으로 위장하곤 한다.”

이번 CNSS 해킹 사건의 경우도 금전적 이익을 추구하지 않은 점, 공격 대상이 전략적·정치적 의미를 갖는 국가 핵심 기관이라는 점, 공격 행위에 동반된 지정학적 메시지 등이 고려될 때, 보다 복합적인 국가적 배경 또는 지원이 있는 해킹으로 볼 가능성이 높다는 분석이 제기되고 있다.

CNSS는 과거에도 개인정보 오용 경고를 공식적으로 발표한 바 있다. 약 2년 전, CNSS를 사칭한 인물들이 시민들에게 연락하여 은행 정보를 요구하는 사례가 잇따르자 CNSS는 이들과의 연관성을 전면 부인하며 “사칭 피해 방지를 위해 적극적으로 모니터링하고, 관련 사기 행위에 대해 법적 조치를 취하겠다”고 밝힌 바 있다.