해킹으로 수백만 달러 허위 환급금 지급 > 뉴스

해킹으로 수백만 달러 허위 환급금 지급

국세청 “H&R 블록 데이터 도용 6백만 달러 피해”

(오타와) 캐나다 국세청(CRA)에서 대규모 보안 침해 사건이 발생해, 허위 환급금 수백만 달러가 지급된 것으로 확인됐다. 해커들은 세금 신고 대행업체인 H&R 블록(H&R Block)의 자격 증명을 도용해 수백 명의 캐나다인들의 CRA 계정에 무단으로 접근, 입금 계좌를 변경하고 허위 세금 신고서를 제출해 600만 달러 이상의 허위 환급금을 가로챘다.

CBC의 보도에 따르면, 해커들은 H&R 블록의 전자 신고 자격 증명을 활용해 CRA 시스템에 침투했다. 이들은 납세자 계정의 직접 입금 정보를 변경한 뒤, 가짜 세금 신고서를 제출해 허위로 환급금을 수령했다. 한 해커는 실제 우편번호와 함께 ‘Tomato Street’라는 가짜 주소를 사용해 신고서를 제출한 사례도 있었다.

CRA는 이번 해킹 사건으로 인해 내부적으로 심각한 보안 문제가 발생했음을 인지했으며, 이에 따라 국세청의 시스템 보호와 관련한 의문이 제기되고 있다. 특히, CRA는 2020년부터 2023년 사이에 31,000건이 넘는 ‘중대한’ 개인정보 유출 사건을 보고한 바 있으며, 이는 62,000명 이상의 납세자들에게 영향을 미친 것으로 확인됐다.

CRA의 보안 취약성은 코로나19 긴급 지원 혜택 도입 이후 더 심화된 것으로 나타났다. 당시 CRA는 환급을 최대한 빨리 처리하는 ‘선 지급 후 감사’ 방식을 채택했으나, 이로 인해 해커들이 환급금을 부당하게 가로채는 상황이 발생했다. 이번 사건과 관련해 CRA는 2024년 한 해에만 약 3백만 달러가 부정 환급금으로 지급되었다고 발표했으나, 내부 소식통은 H&R 블록 데이터 해킹으로 인한 피해액이 약 6백만 달러에 달한다고 전했다.

CRA는 해커들의 신원을 파악하지 못한 상태이며, H&R 블록 측은 자사의 시스템에 보안 침해가 없었다고 부인했다. 이와 관련해 의회에서 조사가 필요하다는 의견도 나오고 있다. 라발 대학의 앙드레 라로 교수는 “이 사건에 대해 국세청과 관련 부처가 명확한 해명을 해야 하며, 문제가 발생한 원인과 피해 규모를 밝힐 필요가 있다”고 말했다.

CRA는 추가적인 개인정보 유출을 막기 위한 보호 조치를 강화하고 있으며, 피해를 입은 납세자들에게 신용 보호 서비스를 제공하고 있다고 밝혔다. 그러나 이번 사건으로 인해 CRA의 보안 관리 체계와 정보 보호 능력에 대한 대중의 신뢰는 큰 타격을 입은 상태다.

김태형 기자 (edit@cktimes.net)