BSI 은행 사태에서 드러난 인도네시아의 데이터 보안문제
정부가 작년에 개인정보보호법을 제정한 후에도 인도네시아의 정보유출 위험성이 여전히 사라지지 않은 가운데 인도네시아 최대 샤리아 은행의 서비스가 해킹으로 인해 중단되는 사태가 최근에도 벌어졌다.
사이버공간의 악의적 범죄행위를 모니터링하는 정보사이트 ‘다크 트레이서(Dark Tracer)’가 록빗 랜섬웨어(LockBit ransomware)라는 이름의 해커그룹이 국영은행인 인도네시아 샤리아 은행(이하 BSI)에서 1.5 테라바이트에 달하는 정보를 훔쳤다고 주장하는 스크린샷 캡쳐화면을 지난 5월 13일(토) 트위터에 공개했다.
록빗 3.0이라는 소프트웨어는 컴퓨터 사용자가 자기 컴퓨터 시스템에 접근하는 것을 차단하는 랜섬웨어, 즉 민감한 정보를 인질로 삼아 몸값을 요구하는 데에 사용되는 악랄한 프로그램으로 이를 사용해 은행의 전산시스템을 마비시킨 해커그룹이 고객과 직원들의 연락처 정보, 금융서류, 고객들의 신용카드 내역과 비밀번호 등을 포함한 BSI 은행의 제반 데이터를 확보했다고 주장한 것이다.
그들은 은행 경영진이 5월 16일(화) 오전 4시 6분 이전에 협상에 임할 것을 요구하며 그렇지 않으면 자신들이 해킹한 모든 정보를 다크웹에 공개하겠다고 협박했다.
BSI은행의 데이터가 유출되었을지도 모른다는 소문이 표면화된 것은 5월 11일의 일이다. 그날 BSI은행 최고경영자 헤리 구나르디(Hery Gunardi)가 직접 기자회견장에 나와 은행이 사이버공격을 받아 5월 8일부터 모바일 뱅킹, ATM, 지점업무 등 은행의 모든 서비스가 중단되었다가 5월 11일 비로소 모두 정상화되었다고 발표했다.
그는 은행업무 차질이 발생한 것에 대해 BSI 고객들에게 사과를 구했고 고객들이 맡긴 자금과 데이터는 무사하다고 덧붙였다. 그러나 그간의 상황전개와 갑작스러운 업무정상화는 BSI 은행이 해커그룹의 협박에 굴복해 그들의 요구사항을 들어 주었음을 시사한다.
하지만 BSI 측은 해커그룹의 요구가 무엇이었냐는 언론의 질문에는 답하지 않았다.
사이버암호해독국(이하 BSSN) 아리안디 뿌트라(Ariandi Putra) 대변인은 5월 15일(월) BSSN이 BSI 은행 정보기술팀과 연락을 취한 바 은행이 자체적으로 해당 사이버공격을 조사해 전산 시스템을 정상화한 후 디지털보안단계를 높였다고 전했다. BSSN 측은 BSI가 이후 추가적인 상황이 밝혀지는 대로 금융서비스감독원(이하 OJK), 중앙은행, 경찰 및 BSSN에 후속 보고할 것이라고 덧붙였다.
하지만 BSSN이 해당 사건에 제대로 개입하지 않은 채 BSI 사이버팀이 지속적, 독립적으로 시스템을 유지, 보수할 것이란 사뭇 상투적인 결론은 석연치 않은 뒷맛을 남겼다.
한편 OJK도 은행 부문의 디지털 보안을 지속적으로 보장할 것을 약속하고 은행 경영진들에게도 전산망 시스템의 보안개선을 요구했다.
정보통신시스템 보안연구센터(CISSReC))의 보안전문가 쁘라타마 뻐르사다(Pratama Persadha)는 전자서비스를 제공하는 모든 주체들이 정기적으로 사이버보안시스템을 점검해 언제 발생할지 모를 사이버공격과 데이터유출을 사전에 예방해야 한다고 지적했다.
그는 BSI가 해당 해커그룹과 협상해서는 안된다는 점을 강조했다. 2019년부터 여러 국가의 전자서비스 공급자들을 공격하고 위협해온 해당 해커그룹들은 요구한 금액을 피해자가 기꺼이 지불한다 해도 일단 탈취한 데이터를 복사해 두었다가 언젠가 다크웹에 풀지 않으리란 보장이 없다는 것이다. 그는 BSI가 BSSN의 도움을 받아 해당 문제를 해결해야 한다고 주장했다.
하지만 BSI 사태는 이미 상황이 종결된 것으로 보인다.
반복되는 데이터 유출 사건
지난 몇 년 동안 국영 보험사, 통신사, 인도네시아 아동보호위원회(KPAI)를 포함한 국가 기관들이 끊임없이 사이버 공격에 시달린 끝에 오랫동안 기다려온 개인정보 보호법이 작년 10월 비로소 제정되었다.
하지만 그해 11월, 보건부의 코로나-19 추적 어플리케이션인 뻐둘리린둥이(PeduliLindungi)가 해킹당해 수많은 시민들의 개인정보가 유출되는 사건이 벌어졌다. 개인정보보호법 제정 후 국가기관이 해킹을 당한 두 번째 사례였다.
개인정보보호법은 온라인에서 개인정보에 대한 더 많은 통제권을 시민들 자신에게 부여하고 해당 정보를 통제하고 처리하는 기관과 기업들에게 방화벽 및 암호화 시스템 탑재를 포함하여 ‘데이터 주체’의 권리와 데이터 보안을 제고할 방법을 강구하도록 요구함으로써 사이버보안 개선을 도모할 목적으로 제정되었다.
하지만 해당 법령은 데이터 처리기관/기업들이 보안 시스템을 구축하고 강화하는 시급한 사안에 무려 2년의 시간을 느슨하게 부여했고 이와 관련한 행정처분 및 벌금부과를 위해 신설하기로 한 데이터보호감독기관은 아직 설치되지도 않았다.
정책연구옹호연구소(Elsam)의 와휴디 자파르(Wahyudi Djafar) 소장은 데이터보호감독기구가 만들어질 때까지는 전자시스템 및 전자상거래에 관한 2019년 정부령이 규정한 바에 따라 별 수 없이 정보통신부가 개인정보보호법과 관련한 제반 내용들을 감독할 수밖에 없다고 지적했다.
하지만 해당 2019년 법령은 전자정보거래법(UU ITE)라는 이름으로, 정권을 비판하는 목소리를 침묵시키는 가혹한 악법으로 악명을 떨쳐왔으며 현재 해당 문제 개선을 위해 국회에 관련 개정안이 계류되어 있다.
출처: 자카르타포스트
https://www.thejakartapost.com/indonesia/2023/05/15/data-breaches-still-haunt-indonesia.html