캐나다 국세청(CRA)에서 지난 수년간 4만2천 건이 넘는 개인정보 유출 사건이 발생한 사실이 드러나면서, 연방 개인정보 보호 체계에 대한 우려가 커지고 있다.

 

연방 개인정보보호위원회(OPC)는 최근 특별 보고서를 통해 2020년 이후 CRA 계정에서 대규모 개인정보 유출이 발생했으며, 일부 납세자의 민감한 정보가 무단으로 열람되거나 변경됐다고 밝혔다.

 

필립 뒤프레네 개인정보보호위원장은 의회에 제출한 보고서에서 CRA의 개인정보 보호 시스템 전반에 구조적인 허점이 존재한다고 지적했다. 그는 특히 개인정보 유출 예방과 탐지, 모니터링, 사건 대응 체계가 충분히 효과적으로 작동하지 못했다고 평가했다.

 

뒤프레네 위원장은 CRA가 내부 추적 시스템의 한계와 방대한 사건 규모로 인해 모든 유출 사례에 대한 세부 정보를 완전히 파악하지 못했다고 설명했다.

 

보고서는 또한 CRA가 계정 보안을 강화하기 위한 핵심 수단인 다단계 인증(MFA)을 적시에 의무화하지 않았으며, 업계 모범 사례 수준의 인증 절차를 일관되게 적용하지 못했다고 지적했다.

 

특히 일부 사건에서는 공격자들이 어떤 방식으로 인증 절차를 우회했는지 CRA 측이 명확히 설명하지 못한 사례도 있었다고 밝혔다. 이는 정부 시스템의 보안 취약점 분석과 재발 방지 조치에 한계를 드러낸 것으로 평가된다.

 

이번 보고서는 CRA의 개인정보 보호 대응 체계 전반에 대한 개선 필요성을 강조하며 총 9가지 권고안을 제시했다. 이 가운데 8개 권고안은 CRA가 전면 수용했고, 1개는 부분적으로 수용한 것으로 나타났다.

 

전문가들은 이번 사안을 단순한 해킹 사건이 아니라 디지털 행정 시스템 전반의 신뢰 문제로 봐야 한다고 지적한다.

 

최근 캐나다 정부 서비스가 점점 더 온라인 중심으로 전환되면서 CRA 계정에는 세금 신고 정보뿐 아니라 소득, 주소, 가족관계, 은행 계좌 정보 등 민감한 개인정보가 대량 저장되고 있다. 이 때문에 보안 체계 강화와 이용자 보호 장치 마련이 더욱 중요해지고 있다는 분석이다.

 

사이버보안 전문가들은 납세자들에게도 계정 보안 점검을 당부하고 있다. 특히 CRA 계정에 다단계 인증을 활성화하고, 동일한 비밀번호를 여러 사이트에서 반복 사용하지 않으며, 의심스러운 로그인 알림이나 이메일에 주의해야 한다고 조언했다.

 

한편 CRA는 개인정보 보호 강화를 위해 보안 시스템 개선과 내부 감시 체계 보완 작업을 진행 중이라고 밝혔다.

 

 

*CTV뉴스의 글을 번역,편집한 것입니다.