쌍둥이 형제, 해고 몇 분 뒤 정부 데이터베이스 96개 삭제

 (arstechnica.com)
1P by GN⁺ 11시간전 | ★ favorite | 댓글 1개
  • Muneeb Akhter와 Sohaib Akhter는 해고 직후 남아 있던 계정 접근권을 이용해 미국 정부 데이터베이스 96개를 삭제한 혐의를 받음
  • 두 사람은 과거 전신사기·컴퓨터 범죄로 유죄를 인정한 뒤, 45개 연방 고객에 서비스를 파는 Washington, DC 회사에 입사함
  • Muneeb은 회사 네트워크에서 가져온 사용자명·비밀번호 5,400개를 모아 Python 스크립트로 DocuSign, 항공사, Marriott 등에 로그인 시도함
  • 2025년 2월 18일 해고 5분 뒤 Sohaib의 VPN과 Windows 계정은 막혔지만, Muneeb 계정은 남아 DROP DATABASE dhsproddb 실행이 가능했음
  • Muneeb은 유죄 인정 뒤 변호 문제와 일부 혐의 무죄를 주장했고, Sohaib은 컴퓨터 사기 공모, 비밀번호 거래, 총기 소지 혐의에서 유죄 평결을 받음

해고 전 계정 차단이 필요한 이유

  • 미국에서는 해고·정리해고 대상자의 디지털 자격 증명을 통보 전에 비활성화하는 경우가 많음
  • 회사 시스템 로그인 실패가 고용 종료를 처음 알리는 신호가 되기도 하지만, 시스템 접근권을 가진 해고 직원이 보안 위험이 될 수 있어 이런 절차가 자리 잡음
  • Muneeb Akhter와 Sohaib Akhter 쌍둥이 형제 사건은 해고 직후 몇 분 동안 남아 있던 접근권이 어떤 피해로 이어질 수 있는지 드러냄

Akhter 형제의 배경과 접근권

  • Muneeb Akhter와 Sohaib Akhter는 현재 34세이며, 2015년 Virginia에서 전신사기와 컴퓨터 관련 범죄에 연루된 계획에 대해 유죄를 인정한 전력이 있음
  • Muneeb은 징역 3년, Sohaib은 징역 2년을 선고받음
  • 출소 후 Muneeb은 2023년 Washington, DC 소재 회사에 입사했고, Sohaib은 1년 뒤 같은 회사에 합류함
  • 이 회사는 45개 연방 고객에 소프트웨어와 서비스를 판매했음
  • 미국 정부에 따르면, 2025년 2월 1일 Muneeb은 Sohaib에게 EEOC Public Portal에 민원을 제출한 개인의 평문 비밀번호를 요청함
    • Sohaib은 EEOC 데이터베이스에서 쿼리를 실행해 해당 비밀번호를 Muneeb에게 제공함
    • 그 비밀번호는 이후 해당 개인의 이메일 계정에 무단 접근하는 데 사용됨

자격 증명 수집과 자동화된 로그인 시도

  • Muneeb은 회사 네트워크 데이터에서 가져온 사용자명과 비밀번호 5,400개를 모으고 있었음
  • 그는 이 로그인 정보를 일반 웹사이트에 시험하기 위한 맞춤 Python 스크립트를 만듦
  • marriott_checker.py는 Marriott 호텔 체인 로그인을 시도하는 애플리케이션이었음
  • Muneeb은 DocuSign과 항공사 계정 등을 포함해 수백 차례 로그인에 성공함
  • 피해자 계정에 항공 마일리지가 있으면, Muneeb이 자기 여행을 예약하기도 했음

해고 직후 벌어진 데이터베이스 삭제

  • 형제의 고용주는 2월 중 어느 시점에 두 사람의 범죄 전력을 알게 된 것으로 보임
  • 2025년 2월 18일, Virginia에서 함께 살던 형제는 Microsoft Teams 회의에 함께 호출돼 즉시 해고됨
  • 회의는 업무 종료 시점인 오후 4시 50분에 끝남
  • 5분 뒤 Sohaib은 전 고용주의 네트워크에 접근하려 했지만, VPN 접근권과 Windows 계정은 이미 종료돼 있었음
  • Muneeb의 계정은 차단 대상에서 빠져 있었고, 그는 곧바로 미국 정부 데이터베이스에 접근함
  • 오후 4시 56분, Muneeb은 다른 사용자가 데이터베이스에 연결하거나 변경하지 못하게 하는 명령을 실행한 뒤 데이터베이스 삭제 명령을 실행함
  • 오후 4시 58분, 그는 DROP DATABASE dhsproddb 명령으로 Department of Homeland Security 데이터베이스를 삭제함
  • 오후 4시 59분, 그는 AI 도구에 “데이터베이스를 삭제한 뒤 SQL 서버의 시스템 로그를 어떻게 지우느냐”고 질문함
  • 이후 “Microsoft Windows Server 2012에서 모든 이벤트와 애플리케이션 로그를 어떻게 지우느냐”고도 물음
  • 한 시간 동안 Muneeb은 미국 정부 정보가 담긴 약 96개 데이터베이스를 삭제함
  • 그는 EEOC 소유 파일 1,805개를 내려받아 USB 드라이브에 보관했고, 최소 450명의 연방 세금 정보도 가져감

형제 간 대화와 은폐 시도

  • 데이터 삭제가 진행되는 동안 두 사람은 계속 대화했지만, 정부는 이 대화가 문자, 인스턴트 메시지, 대면 중 무엇이었는지는 명확히 밝히지 않음
  • Sohaib은 Muneeb의 작업을 보며 “네가 그들의 데이터베이스 백업을 정리하는 게 보인다”고 말함
  • 삭제 대상이 늘어나자 Sohaib은 “좋아, 그럴듯한 부인 가능성이 있다면”이라고 말함
  • Muneeb은 “어제 백업에서 복구할 수 있다”고 말했고, Sohaib도 “그래, 그럴 수 있지”라고 답함
  • Sohaib은 “파일시스템도 삭제할까?”라고 제안했고, Muneeb은 “똑똑한 생각”이라고 답함
  • Sohaib은 “킬 스크립트가 있었어야 했다. 돈을 뜯어내는 협박 같은 건—”이라고 말했고, Muneeb은 “아니, 그런 건 하면 안 돼, 그건 유죄의 증거야”라고 답함
  • 데이터베이스와 이벤트 로그를 지운 뒤, 형제는 이름이 공개되지 않은 공모자의 도움을 받아 회사 노트북 운영체제를 다시 설치함

수색, 기소, 재판 결과

  • 연방 수사기관의 실제 수색은 해고와 삭제 이후 3주가 지난 뒤 이뤄짐
  • 2025년 3월 12일, Alexandria에 있는 Sohaib의 집에서 수색영장이 집행됨
  • 수사관들은 여러 기술 장비를 압수했고, 총기 7정과 .30 구경 탄약 370발도 발견함
  • Sohaib은 과거 범죄 전력 때문에 이런 총기와 탄약을 소지해서는 안 됐음
  • 형제는 수사가 진행되는 동안 9개월 더 자유 상태였지만, 12월 3일 체포돼 여러 범죄 혐의로 기소됨
  • 공소장은 CourtListener 문서에서 확인 가능함
  • Muneeb은 2026년 4월 15일 유죄 인정 합의에 서명하며 공소장의 주요 혐의를 인정함
  • Sohaib은 재판까지 갔지만 패소함
  • 2026년 5월 7일, 배심원단은 Sohaib에게 컴퓨터 사기 공모, 비밀번호 거래, 금지된 사람의 총기 소지 혐의에 대해 유죄 평결을 내림
  • Sohaib의 선고는 9월로 예정됨

Muneeb의 옥중 서한과 유죄 인정 문제 제기

  • Muneeb은 감옥에서 손글씨 청원을 제출하며 자신의 변호인이 효과적이지 않았다고 주장함
  • 이후 제출 문서들은 Muneeb이 서명한 유죄 인정 자체를 문제 삼음
  • Muneeb은 4월 27일 판사에게 보낸 한 단락짜리 편지에서 “신이 내 말을 인도하길”이라고 썼음
    • 그는 “정부가 재판 전 신청 기한 중 증거에 도전할 능력을 제한하면서 빠른 서명을 기대한 속도와 내 유죄 인정에 불편함을 느낀다”고 씀
    • 그는 “나는 내 형제의 무죄를 지지한다”고 덧붙였지만, Sohaib은 며칠 뒤 유죄 평결을 받음
  • 5월 5일 제출된 또 다른 짧은 손글씨 편지는 Muneeb이 10번 혐의에 대해 무죄라고 주장함
    • 이유는 “DocuSign 계정 접근은 어떤 가치 있는 것도 부여하지 않으며, 그는 그로부터 가치 있는 것을 얻지도 않았고 얻을 의도도 없었다”는 것임
    • 이 편지는 96개 데이터베이스 삭제에 대해서는 다루지 않음
  • 5월 5일 제출된 세 번째 편지에서 Muneeb은 스스로 변호하는 pro se 진행 허가를 요청함

고용주 Opexus와 절차 실패

  • 법원 문서에서 형제를 고용한 회사 이름은 공개되지 않았지만, 보도에서는 Opexus로 확인됨
  • Opexus는 12월 Cyberscoop에 이 사건과 관련한 입장을 밝힘
  • Opexus는 배경조사를 했지만 “추가 실사가 적용됐어야 했다”고 인정함
  • 회사는 “해고가 적절한 방식으로 처리되지 않았다”고 인정함
  • 회사는 “쌍둥이 채용 책임자들이 더 이상 Opexus에 재직하지 않는다”고 밝힘
  • 채용, 배경 확인, 해고 절차, 계정 차단이 모두 맞물리며 전면적 실패가 됨

함께 보면 좋은 글 β

GN⁺ 11시간전  [-]
Hacker News 의견들

  • Opexus가 “쌍둥이를 채용한 책임자들은 더 이상 Opexus에 재직하지 않는다”고 한 대목이 Monty Python의 “방금 해고된 사람들을 해고한 책임자들도 해고됐다”는 고전 대사에 가까워짐
    농담은 제쳐두고, 이런 사건에서 많은 고용주가 가장 극단적이고 비인간적인 교훈만 얻을까 걱정됨. 예를 들어 해고와 정리해고를 최대한 갑작스럽게 하고 접근 권한을 즉시 끊거나, 수십 년 전 대마초 소지 같은 전과까지 포함해 범죄 기록이 있으면 절대 두 번째 기회를 주지 않는 식임
    더 균형 잡힌 접근이 낫다고 봄. 민감한 시스템에 대한 일방적 접근 권한은 최근 해고자뿐 아니라 전반적으로 제한하고, 해고 시 특히 민감한 자격 증명은 즉시 끊되 일반 로그인이나 이메일 계정까지 모두 날리지는 말아야 함. 전신 사기 유죄 판결자를 시스템 관리자로 뽑지 말고, 비밀번호는 제발 해시해야 함

    • 해고 통보 회의 중, 당사자가 아직 알기 전에 접근 권한을 끊고 필요하면 비밀번호를 교체하는 건 적어도 지난 20년간 표준 절차였음
    • 저 정도 접근 권한을 가진 사람이라면 “해고를 최대한 갑작스럽게 하고 접근 권한을 즉시 끊는” 걸 안 하는 쪽이 무능임. 이런 직무에서는 완전히 표준이고 반드시 그래야 함
      내가 일한 곳에서는 대부분의 IT 직원에게 늘 그랬음. HR과 면담하는 동안 누군가 책상을 정리하고, 보안 담당자가 밖까지 동행함
    • 지금도 이미 그렇게 함
      미국에서는 Teams 회의 중 뒤에서 접근 권한을 끊고, 이력서에 공백이나 문제, 작은 흠집이라도 있으면 어떤 AI 에이전트가 휴지통으로 던져버림
    • 악의적인 에이전트형 AI 시대에 이런 수준의 접근 권한은 부주의함. 이런 일이 아예 일어나지 않게 막는 공학적 통제가 없었다면, 단순한 피싱이나 공급망 공격만으로도 같은 결과나 더 나쁜 결과가 쉽게 났을 것임
    • 직원은 언제나 마지막에 알게 됨. 이건 표준적인 절차임

  • 애초에 이런 사람들이 어떻게 채용됐는지 신기함. 미국인도 아닌 것처럼 보이는데, 어떻게 민감한 시스템에서 일할 수 있었는지 의문임
    오후 4시 58분에 “DROP DATABASE dhsproddb” 명령으로 Department of Homeland Security 데이터베이스를 지웠고, 4시 59분에는 AI 도구에 “데이터베이스 삭제 후 SQL 서버 시스템 로그를 어떻게 지우나?”라고 물음. 나중에는 “Microsoft Windows Server 2012의 모든 이벤트와 애플리케이션 로그를 어떻게 지우나?”도 물었음
    한 시간 안에 Muneeb은 미국 정부 정보가 담긴 데이터베이스 약 96개를 삭제함

    • 둘은 Maryland에서 태어났고, 꽤 유능했던 것 같음. 적어도 공부를 속여 통과하는 데는 능숙했고, 진짜 기술적으로도 능했을 수 있음
      https://www.somdnews.com/archive/news/19-year-old-twins-high...
    • DHS잖음. 유능하거나 최고의 인재를 뽑는 기관으로 알려진 척할 필요는 없음. 넥타이와 총을 든 과장된 침팬지들에 가까움
    • 입사지원서에서 중범죄 전과를 숨겼고, 어떤 평범한 이유로든 신원조회 업체가 걸러내지 못했거나, 계약업체가 너무 무능해서 아예 확인하지 않았을 것 같음
    • “미국인이 아닌 것처럼 보인다”는 결론은 어떻게 낸 건지 궁금함. 그냥 이름만 보고 그런 건가?

  • 2025년 3월 12일 Alexandria의 Sohaib 자택에서 수색영장이 집행됐고, 요원들은 여러 기술 장비뿐 아니라 총기 7정과 .30 구경 탄약 370발도 발견함. 이전 범죄 전력상 Sohaib은 이런 걸 갖고 있으면 안 됐음
    제발 범죄를 저지르는 와중에 또 다른 범죄를 저지르지는 말아야 함

    • “이전 범죄 전력상 Sohaib은 이런 걸 갖고 있으면 안 됐다”는 정도가 아니라, 누구도 개인 무기고를 가져서는 안 됨
    • 뒷문으로 뛰쳐나갔는데 마침 주 경계선이 있어서, 모든 걸 덮으려고 총기를 자기 집으로 우편 발송하는 장면을 조금 기대했음
    • 멍청한 범죄자가 잡히는 쪽으로 강한 선택 편향이 있음
    • 범죄는 한 번에 하나만 저질러야 함

  • 미국 정부는 기본적인 소프트웨어 구축도 너무 무능해서, 이런 사건을 오히려 좋은 일로 볼 수밖에 없음. 이전의 수천 건 침투는 이렇게 쉽게 탐지되지 않았을 거라고 봄

  • 오후 4시 58분에 “DROP DATABASE dhsproddb” 명령으로 Department of Homeland Security 데이터베이스를 날렸다는 대목이 너무 웃김. 티격태격하는 두 형제가 Casey Affleck과 Scott Caan이 연기한 Oceans 영화 속 인물들을 떠올리게 함
    이들이 민감한 데이터에 이렇게 가까이 갔다는 게 놀라움

    • 오후 4시 59분에 AI 도구에 “데이터베이스 삭제 후 SQL 서버 시스템 로그를 어떻게 지우나?”라고 묻고, 나중에 “Microsoft Windows Server 2012의 모든 이벤트와 애플리케이션 로그를 어떻게 지우나?”라고 물은 건 위험 신호가 너무 많아서 말이 안 나옴
    • “남자인가요?” “네, 19.” “살아 있나요?” “네, 18!” “Evel Knievel.”
      이 둘은 약간 Rosencrantz and Guildenstern 같은 느낌도 남
    • 영화에서 그 둘은 늘 하이라이트였음. 특히 한 명이 멕시코 공장 폭동에서 다른 한 명과 합류하는 장면이 좋았음
    • 영상 속 인물이 이들인 것 같음: https://youtu.be/Rx19zOzQeis

  • 어디서부터 말해야 할지 모르겠지만, 이 두 광대가 DHS의 운영 데이터베이스에 접근할 수 있는 보안 인가를 받았을 리는 없음. 그 수준의 인가를 가진 다른 직원의 자격 증명을 훔쳤다고 보는 수밖에 없음
    게다가 세금 기록은 DHS 도메인에 저장되지 않음. 세부 사항을 가리려고 이야기가 정제된 것 같고, 그럴 수는 있겠지만 배경 설명은 믿기 어려움

  • 약 25년 전 내가 다니던 회사에서 정리해고가 있었음. DBA 한 명도 다른 사람들과 함께 해고됐는데, 그 시절에는 접근 권한을 즉시 회수하지 않았고 업무용 컴퓨터도 하루 끝까지 쓸 수 있었음. 대부분은 짐을 싸서 떠났음
    그런데 해고된 그 DBA는 남아서 자신이 맡은 데이터베이스 백업 작업을 끝까지 마쳤고, 일이 끝난 뒤 짐을 싸서 나갔음. 실화임

  • 5천 개 비밀번호에 어떻게 접근했는지 모르겠음. 평문 비밀번호로 전송되거나 저장되고 있었던 건가? 기사에서 가장 이해하기 어려운 부분임
    또 하나 불분명한 건, 고용 종료와 동시에 계정 접근 권한을 끊지 않으면서 어떻게 SOC 2를 통과할 수 있느냐는 것임

    • 기사만 보면 비밀번호가 실제로 평문으로 저장된 것처럼 들림
      “2025년 2월 1일, Muneeb Akhter는 Sohaib Akhter에게 Equal Employment Opportunity Commission의 Public Portal에 불만을 제출한 개인의 평문 비밀번호를 요청했다. 이 포털은 Akhter 형제의 고용주가 유지관리했다. Sohaib Akhter는 EEOC 데이터베이스에 쿼리를 실행한 뒤 해당 비밀번호를 Muneeb Akhter에게 제공했다. 이후 그 비밀번호는 해당 개인의 이메일 계정에 무단 접근하는 데 사용됐다.”
    • 정책과 실제 실행은 다를 수 있음. 이 회사와 전체 경영진은 향후 조달에서 누군가의 블랙리스트에 올라야 함
    • SOC 2가 뭔지 잘 이해하지 못한 것 같음
      첫째, SOC 2는 바이러스처럼 퍼지고, 자체 기술적 장점 때문에 채택되는 경우는 거의 없음. 둘째, 여러 수준이 있음. 첫 단계는 “우리가 보안을 어떻게 할지 계획을 문서로 썼다”는 수준임
      두 번째 수준은 구현을 시작하거나 추적을 시작하는 정도일 수 있음. 핵심은 첫 단계임. 회사의 SOC 2 부서가 SOC 2 준수를 위해 멍청한 일을 해야 한다고 말한다면, 그 멍청함은 회사 내부 누군가가 만든 것이고 그 사람을 해고해야 함. 그래도 그 바보 같은 계획을 따라야 하는데, 그게 절차이기 때문임
      이 경우 “사람을 어떻게 해고할 것인가”와 “하나의 대규모 언어 모델이 한 세션에서 운영 데이터베이스 96개를 DROP하지 못하게 어떻게 막을 것인가”에 대한 답이 계획에 있었고, 그 계획이 구현됐을 수도 있음. 그러면 회사는 여전히 SOC 2 준수 상태이고, 이게 작동하는 SOC 2 절차가 보이도록 되어 있는 모습일 수도 있음
    • 오프보딩 정책에 달렸음. 정책이 72시간 같은 식이라면 정책 위반은 아닐 수 있음
    • 평문이 아니라면 비밀번호를 정확히 어떻게 저장하길 원하는 건가? 물론 그다음 암호화해야 함. 5천 개는 많고, 권한 부여 절차가 망가진 건 맞지만 비밀번호 저장 방식과는 별개임
      유일한 해법은 올바른 접근 분리와 배스천임

  • “해고된 직원이 회사 시스템 접근 권한을 가진 건 보안 위험”이라는 건 아님. 데이터베이스 96개를 지울 수 있는 직원 자체가, 재직 중이어도 보안 위험
    물론 제대로 고치는 것보다 고용 종료 시 모든 걸 끊는 비인간적인 경로가 더 쉽긴 함

  • 우리 회사에서도 최근 정리해고가 있었음. 아직 젊은 회사라 최소 권한 원칙이 적용되지 않았고, 지원 요청 때문에 사람들이 운영 데이터베이스에 접근할 수 있었음. 그래도 아무도 나쁜 짓을 하지 않았음
    사람들은 무슨 일이 벌어질지 알고 있었지만 보복은 없었음. 첫째, 법적 문제 없이 다음 직장으로 가려면 부담을 만들지 않는 게 낫고, 행동은 추적 가능함. 둘째, 왜 그래야 하나? 왜 동료들의 작업물을 망가뜨려야 하나?

답변달기