프랑스 정부 기관, 해커의 데이터 판매 제안 속 침해 확인

 (bleepingcomputer.com)
1P by GN⁺ 4시간전 | ★ favorite | 댓글 1개
  • 프랑스의 신분증·등록 문서를 관리하는 ANTS 포털에서 보안 사고가 탐지됐고, 개인 및 전문 계정 데이터가 노출됐을 수 있음
  • 확인된 노출 대상 정보에는 로그인 ID·성명·이메일·생년월일과 고유 계정 식별자가 포함되며, 일부 이용자에게는 주소·출생지·전화번호도 들어갈 수 있음
  • 기관은 이 정보만으로 포털 무단 접근은 가능하지 않다고 밝혔지만, 피싱과 사회공학 공격에 악용될 수 있어 SMS·전화·이메일을 통한 수상한 연락에 주의가 필요함
  • 4월 24일 공개된 업데이트에서는 영향 계정 수를 1,170만 개로 확인했고, 영향이 확인된 대상자들에 대한 통지 절차도 진행 중임
  • 해커 포럼에서는 breach3d가 공격을 주장하며 최대 1,900만 건의 레코드를 판매용으로 올렸지만, 기사 시점에는 데이터가 광범위하게 유출된 상태는 아님

침해 확인과 영향 범위

  • France Titres, 즉 ANTS는 ants.gouv.fr 포털에서 보안 사고를 탐지했고, 개인 및 전문 계정 데이터가 노출됐을 수 있다고 밝힘
    • 해당 기관은 프랑스 내 공식 신분증과 등록 문서를 관리하며, 운전면허증, 국가 신분증, 여권, 이민 문서를 다룸
    • 공격은 지난주 발생했고 조사는 계속 진행 중이며, 노출된 인원 수는 공개되지 않음
  • ANTS는 2026년 4월 15일 수요일에 사고를 탐지했다고 공지했고, 영향이 확인된 대상자들에 대한 통지 절차를 진행 중임
    • ANTS 공지에서 사고 사실과 경계 권고를 확인할 수 있음
  • 4월 24일 공개된 업데이트에서는 영향 계정 수를 1,170만 개로 확인함

노출됐을 수 있는 데이터

  • ANTS는 여러 유형의 계정 정보가 노출됐을 수 있다고 밝힘
    • 로그인 ID
    • 성명
    • 이메일 주소
    • 생년월일
    • 고유 계정 식별자
  • 일부 사용자에게는 추가 개인 식별 정보도 포함될 수 있음
    • 우편 주소
    • 출생지
    • 전화번호
  • 위 정보만으로 ANTS 전자 포털에 무단 접근할 수는 없다고 밝힘
    • 다만 같은 정보가 피싱사회공학 공격에 악용될 수 있어 주의가 필요함

이용자 대상 안내와 대응

  • ANTS는 이용자에게 별도 조치를 요구하지 않으면서도, 기관을 사칭하는 수상한 메시지나 비정상적인 연락에 각별한 주의를 당부함
    • 경계 대상에는 SMS, 전화, 이메일이 포함됨
  • 대응 과정에서는 CNIL, 파리 공공검사, 국가 사이버보안 기관 ANSSI에 통보함
    • 데이터 판매나 유포는 불법이라는 점도 함께 경고함

해커의 판매 주장

  • 4월 16일 해커 포럼에서는 breach3d라는 이름의 위협 행위자가 ANTS 공격을 주장하며, 최대 1,900만 건의 레코드를 보유하고 있다고 적음
  • 해당 위협 행위자는 탈취 데이터에 성명, 연락처 정보, 출생 데이터, 집 주소, 계정 메타데이터, 성별, 혼인 상태가 포함된다고 주장함
  • 데이터는 공개되지 않은 금액으로 판매용 게시물에 올라와 있어, 기사 시점에는 광범위하게 유출된 상태는 아님
  • BleepingComputer는 이 주장과 관련해 ANTS에 질의했지만, 기사 게재 시점까지 답변을 받지 못함

함께 보면 좋은 글 β

GN⁺ 4시간전  [-]
Hacker News 의견들

  • 유출된 정보가 이름·생년월일·주소·전화번호 정도라면 이제 새롭지도 않음
    지난 2~3년 동안 내 정보도 이미 여러 번 새어나갔고, 기업이나 기관이 받는 처벌이 고작 사과 메일 한 통이면 이런 일은 절대 안 바뀜

    • 애초에 정부가 모든 사소한 행위마다 KYC를 강제하지 말아야 함
      바나나를 사거나 배달을 시키는 데까지 왜 신원확인이 필요한지 모르겠고, 유출이 필연적인 이상 KYC 자체가 더 큰 불법 행위처럼 보임
      원래는 사기와 자금세탁 방지가 명분이었지만 실제로는 잘 막지도 못했고, "largest money laundering settlements"를 찾아보면 큰 은행들과 암호화폐 사기가 그대로 나옴
    • 정부 기관에는 벌금이 잘 안 먹힘
      결국 세금으로 내게 되고 유인도 안 생기니, 차라리 다른 기관·병원·은행·인프라·대기업을 상대로 공격적으로 펜테스트하는 전담 정부 기관을 두고 민간 수준 급여를 줘야 함
      문제를 고칠 법정 시한을 강제하고, 민간은 벌금, 공공은 infosec 책임자 강등 같은 실질 제재가 있어야 함
      컴플라이언스 체크리스트나 KPMG식 감사보다 정부 지원 해커가 실제 공격자처럼 침투를 시도하는 편이 훨씬 나음
      프랑스는 지난 1년간 여러 수준에서 정부 해킹이 너무 많았으니 더 절실함
    • 1년 무료 신용 모니터링도 빠뜨리면 안 됨
      이런 제안을 너무 많이 받아서 전부 가입하면 오히려 해킹당할 만한 곳에 내 개인정보를 두 배는 더 뿌리게 될 것 같음
    • 이런 유출을 또 보니 local-first software를 다시 보게 됐고, https://lofi.so도 떠오름
      대규모 유출을 줄이려면 결국 왜 이렇게 거대한 중앙집중형 데이터 저장소가 있어야 하는지부터 아키텍처 차원에서 깨야 한다고 봄
      정부가 중앙 권한을 가져야 하더라도 피해 반경을 줄이는 저장 방식은 고민할 수 있음
      물론 안 된다는 반론은 많겠지만, 지금 주류 대안이 절망과 무력감뿐이라면 진전은 주변부 혁신에서라도 나와야 함
    • 한 달도 아니고 무료 신용 모니터링조차 못 받는 건가 싶음

  • 오늘 내가 영향받았다는 메일을 받음
    아이러니하게도 몇 년 전 실업급여 기관에서 같은 데이터가 이미 한 번 유출돼서 내 입장에선 달라진 게 없음
    새 직장을 구한 뒤에도 그 계정을 안 지운 내가 바보 같긴 함

    • 기록용으로 메일 사본은 있으면 좋겠음
      그래야 Anthropic이랑 OpenAI 데이터셋에도 들어갈 테니까 :)
    • ANTS에서 온 건지 궁금함
      나는 아직 아무것도 못 받음

  • 이런 판국인데도 인터넷용 중앙집중형 ID를 계속 밀어붙이는 게 황당함
    전 세계 해커 집단과 AI 기업에게 거대한 허니팟만 만들어 주는 셈이고, 실제로는 두 달이 멀다 하고 유출이 터짐

  • 정부가 내 개인정보를 가치 없는 것처럼 다룬다면, 나도 저작권물을 가치 있는 것처럼 대할 생각이 없음
    정보 사회를 만들 거라면 가장 중요한 집단을 빼먹으면 안 됨

    • 원칙대로 정부와 정면으로 맞붙는 건 현실적으로 거의 지는 싸움일 가능성이 큼
      변화가 필요해도 그 방식보다 더 나은 방법이 있을 것 같음

  • 이제는 랜섬웨어나 데이터 보호를 걱정하는 단계를 이미 지나간 느낌임
    모두의 PII가 이미 털렸다고 보고, 정부 혜택 같은 데서 온라인으로 신원을 어떻게 검증할지에 더 집중해야 함
    네덜란드나 일본의 국가 디지털 ID, 인도의 생체인증 같은 사례가 떠오르고, 미국이 결국 뭘 택할지 궁금함

    • 생체정보는 유출될 항목이 하나 더 늘어나는 것뿐이라 최악의 아이디어에 가까움
      카메라 추적 같은 데도 악용될 수 있어서 훨씬 민감하고, 이 문제는 이미 연합형 IdPMFA로 오래전에 해결 가능했음
      OTP 장치나 물리 토큰처럼 가진 것과 SSN·세금번호·비밀번호처럼 아는 것을 조합하면 되는데, 정부는 대체로 시민 프라이버시와 반대 방향을 원하니 생체정보를 선호하는 듯함
    • 스웨덴에서는 거의 모든 정보가 기본적으로 공개됨
      이름만 알면 집 주소를 쉽게 찾을 수 있고, 생년월일, 누구와 사는지, 건물 몇 호인지, 차·개·휴대폰 계약 여부까지 보임
      소액을 내면 소득 기록도 뽑아 볼 수 있음
      https://mrkoll.se/person/Jan-Martin-Harris-Harasym-Snapperupsgatan-5-Malmo/uerADYuquerAmUxadYQabTAQmkyqRaQcYfrkyqRaQdYQakyqRaQcYfr
      https://www.ratsit.se/19891030-Jan_Martin_Harris_Harasym_Malmo/tGpBumnyzRN6dMSEuZjNW1zYfMRBBy1KEgzIdASYnyU
      그런데도 somehow 굴러가긴 함
    • 지금 돌아가는 꼴을 보면 미국식 해법은 결국 망막 스캔을 요구하는 쪽으로 갈 것 같음
      타깃에서 바지 하나 온라인으로 사려 해도 스캔해야 하고, 그 정보는 내 음성 지문과 운전면허 스캔본과 함께 다크웹에 뜰 듯함
    • 네덜란드는 모든 공식 정부 서비스에 쓰는 단일 ID가 있음
      사실상 정부가 발급한 username/password + MFA 구조이고, 여권 NFC 칩을 스마트폰으로 스캔해서 신원을 검증하는 방식도 가능함
      다만 이게 데이터 유출 문제를 어떻게 해결하는지는 잘 모르겠음
    • 프랑스는 이미 온라인 신원 검증 수단이 여러 개 있음
      France Connect SSO는 일종의 연합형 SSO이고, 우체국에서 주소와 신원을 확인하는 코드 우편을 보내거나 직접 방문 확인을 하게 하거나, 세무·사회보장 계정처럼 물리적으로 검증된 계정 하나만 있으면 다른 정부 서비스에도 로그인 가능함
      별도로 실물 신분증의 NFC 칩을 읽고 생체정보와 셀피를 대조해서 인증하는 앱도 제안돼 있음

  • 면허에 새 표기를 추가하는 식으로 문서를 새로 만들거나 수정할 때마다 상상 가능한 모든 신분증 사본을 요구하더니, 정작 내 데이터를 다 유출했다는 게 특히 아이러니함
    애초에 자기들이 이미 다 갖고 있었을 텐데 싶음

    • 본인 확인을 하려면 결국 신분증 제시와 시스템 조회가 필요함
      그래서 그 절차 자체는 이상하지 않고, 원래 댓글의 문제의식은 잘 이해가 안 됨

  • 1900만 프랑스인이라니, 나도 포함임

  • 예전식 관료제에는 나름 장점이 있었음
    이런 대형 유출은 훨씬 일으키기 어려웠고, 설령 터져도 가치가 훨씬 낮았음
    그 체계는 절차 준수와 부정 방지를 위해 일하는 사람들이 민주적 참여를 떠받치기도 했음
    이런 시스템이 결국 뚫릴 건 다 알고 있었던 만큼, 이제는 "터지면 어떻게 사람과 제도를 보호할지"를 전제로 설계해야 함
    편의나 감시, 권위주의 때문이든 계속 이 길로 갈 거라면 침해 이후 시나리오를 제대로 준비해야 함

  • 이 일이 Microsoft와 미국 기업들에서 시스템을 쉽게 이전할 수 있다고 자랑한 직후 벌어진 것도 묘하게 흥미로움
    어쩌면 내년이야말로 Linux desktop의 해일지도 모르겠음

  • 이런 데이터가 쓸모없어질 만큼 노이즈를 대량으로 섞는 방법은 없을까 싶음
    LLM이 그런 데 도움 될지도 궁금함

    • 진지한 질문이라면 답은 아니오
      이미 권위 있는 원본 데이터베이스가 털린 상태라서, 공격자는 진짜 데이터셋이 무엇인지 알고 있고 외부에서 섞인 노이즈는 그냥 무시하면 됨
답변달기
긱뉴스에 GeekBadge 기능이 추가되었습니다. 긱배지로 자신을 표현해 보세요.