공공기관 겨냥 사이버 공격 잇따라... 이번엔 국가조달등록소 공격당해

2026년 5월 15일(금)

과테말라 공공기관을 겨냥한 사이버 공격이 연이어 발생하면서 정부 정보시스템의 보안 취약성에 대한 우려가 커지고 있다. 이번에는 재무부 산하 국가조달등록소(RGAE)가 해킹됐을 가능성이 제기되며, 수십만 건의 문서와 민감 정보가 유출됐다는 경고가 나왔다.

사이버보안 전문 계정 VECERT Analyzer는 14일, RGAE 시스템이 불법 접근을 당했을 가능성이 있다고 밝혔다. 해당 경고에 따르면 공격자는 API 취약점을 악용해 시스템에 접근했으며, 2020년부터 2026년까지의 기록 13만 건과 PDF 문서 23만5천 개, 총 324.5GB 규모의 정보를 외부로 빼냈을 가능성이 있다.

유출 의혹이 제기된 자료에는 이름, 납세자 식별번호(NIT), 고유식별코드(CUI), 주소, 전화번호, 이메일 등 개인정보가 포함된 것으로 전해졌다. 여기에 DPI 사본, 세무 증명서, 영업허가증, 공증 문서, 은행 계좌 명세서, 재무제표, 행정 계약서 등 민감한 금융·행정 자료도 포함됐을 가능성이 거론된다.

이번 사안은 단일 사건에 그치지 않는다. 지난 4월 7일에는 Digecam이 공격을 받아 약 1만8천 명의 사용자 정보가 노출됐을 가능성이 제기됐다. 이어 4월 27일에는 노동부의 Tu Empleo 포털에서 이력서, DPI, 연락처, 근무 및 급여 이력 등 20만 건 이상의 기록과 40GB 규모의 정보가 유출됐다는 보고가 나왔다.

대학들도 예외가 아니었다. 같은 날 Usac에서는 통합재무정보시스템(SIIF) 관련 정보 노출 우려가 제기됐고, URL에서는 학생과 교직원의 사진 8만4천620장과 개인정보가 유출됐다는 경고가 나왔다.

전문가들은 반복되는 사고의 배경으로 공공 웹사이트와 행정 시스템의 구조적 보안 취약성을 지적하고 있다. 언론인이자 보안분석가인 루이스 아사르도는 앞서 정부 웹사이트 134곳을 분석한 결과, 다수의 사이트가 보안 정책 부재, 암호화되지 않은 접근 허용, 구식 통신 프로토콜 사용 등 기본적인 보호 장치조차 충분히 갖추지 못했다고 밝힌 바 있다.

특히 이번 RGAE 유출 의혹에서는 IDOR/BOLA 유형의 취약점과 인증 없이 노출된 API 엔드포인트가 언급됐다. 이는 내부 자료에 대한 접근 통제가 제대로 작동하지 않았을 가능성을 시사한다.

재무부는 현재 해당 경고의 진위를 확인하고 있다고만 밝혔다. 그러나 잇따른 공격 사례를 고려하면, 단순한 개별 사고 대응을 넘어 정부 차원의 전면적인 보안 감사와 API 접근 통제 강화, 인증 체계 개선, 최소 권한 원칙 적용이 시급하다는 지적이 나온다.

개인정보와 금융 문서가 실제로 유출됐을 경우 피해는 행정 시스템 내부에만 머물지 않을 수 있다. 신원 도용, 피싱, 금전 갈취, 공공조달 관련 사기 등 2차 피해로 이어질 가능성이 있어 시민과 기업의 불안도 커지고 있다.

Prensa Libre