|
|
|
|
|
|
|
캐나다 국세청, 납세자 계정 수만 개 해킹당해 - 사기꾼들에게 수 백만 달러 허위 지급…개인정보 유출 건수 축소 보고 |
|
|
|
(안영민 기자) 캐나다 국세청(CRA)에 등록된 납세자 계정 수만 개가 해킹당해 수 백만 달러의 허위 환급금이 지급된 것으로 알려졌다.
28일 CBC 보도에 따르면, 올해 세무 시즌이 한창일 때 CRA는 해커들이 캐나다 최대 규모의 세무 회사 중 하나인 H&R Block Canada에서 사용하는 기밀 데이터를 입수했다는 사실을 발견했다.
사기꾼들은 이 회사의 기밀 자격 증명을 사용해 수백 명의 캐나다인의 개인 CRA 계정에 무단으로 접근했고 직접 입금 정보를 변경하면서 허위 신고서를 제출해 공공 자금 600만 달러 이상을 착복했다.
이에 대해 H&R Block은 성명을 통해 해커 침해 증거가 없다고 밝혔다.
이 회사는 "종합적인 내부 조사 결과 데이터, 시스템, 소프트웨어 및 보안이 전혀 손상되지 않았다”면서 “H&R Block은 침해로 인해 영향을 받은 캐나다 납세자가 자사 고객이라는 사실조차 알지 못한다”고 해커 피해를 부인했다.
CRA는 아직 해커를 식별하지 못했지만 자체 시스템 침해나 내부자 개입 가능성은 배제했다.
CBC와 Radio-Canada의 조사에 따르면 H&R Block 데이터 침해는 CRA 해킹 사례 중 하나에 불과하다.
André Lareau 퀘벡 라벨 대학교 세무 교수는 “문제의 규모를 파악하고 CRA와 장관에게 답변을 요구하기 위해 의회 조사를 시작해야 한다”면서 "그들은 모두 정확히 무슨 일이 일어났는지 그리고 얼마나 많은 돈이 관련되어 있는지 말해야 한다"고 주장했다.
개인정보 보호 위원회는 6월에 의회에 제출한 보고서에서 2024년 3월 31일에 끝나는 회계 연도에 CRA에서 71건의 개인정보 위반 사례가 발생했다고 보고했으나 이는 CBC 조사와 큰 차이를 보이고 있다.
The Fifth Estate/Radio-Canada의 질문에 대한 답변에서 CRA는 2020년 3월부터 2023년 12월까지 3만1468건 이상의 중대한 개인정보 침해가 발생해 6만2천 명의 캐나다 개인 납세자에게 영향을 미쳤다고 인정했다.
CRA는 이후 3만1468건의 개인정보 침해를 소급적으로 보고했다고 밝혔다.
CRA는 “승인되지 않은 제3자가 캐나다인의 세금 계좌에 접근해 계좌 입금 정보를 변경하고 '허위 세금 정보 전표'를 생성하며 허위 신고서를 제출하는 외부 데이터 침해 및 사이버 위협이 현저히 증가했다”고 밝혔다.
CRA는 개인정보 유출 건수가 의회에 과소 보고되고 있다는 사실을 언제 어떻게 처음 알게 되었는지, 그리고 연도별로 보고된 총 건수를 어떻게 분류했는지에 대해서는 명확한 입장을 밝히지 않았다.
다만 CRA는 2020년과 2024년 10월 초 사이에 확인된 개인정보 침해 사례와 관련해 1억 9천만 달러 이상의 허위 청구를 실수로 승인했다고 인정했다.
이 기관은 이 중 대부분이 코로나19 팬데믹으로 인해 2020년에 발생했으며 최근 몇 년 동안은 이 사례가 급격히 감소했다고 덧붙였다.
CRA는 2024년에 사기범들에게 총 300만 달러를 지급했다고 밝혔는데, 이는 올해 H&R 블록 데이터 유출로만 600만 달러가 손실된 것과는 상반되는 수치다.
CRA의 무능력에 대한 지적이 나온다. 특히 CRA의 '페이 앤 체이스(pay and chase)' 문화는 가능한 한 빨리 세금 환급금을 대중에게 지급하고 나중에 잘못 지급된 것을 감사하는 형태여서 문제를 복잡하게 만든다는 지적이다.
Lareau 교수는 “CRA가 가능한 한 빨리 환급금을 지급하는 효율적인 기관이라는 이미지를 홍보하는 것을 좋아한다”면서 “이러한 접근 방식은 사기꾼들이 활발하게 행동할 수 있는 빈틈을 남긴다”고 전했다.
|
기사 등록일: 2024-10-28 |
|
|
|
|
|
|
나도 한마디 |
|
|
|
|
|
|
|
|
|
|
|