미국 국세청(IRS)이 올해 초 데이터 보안 사고를 겪은 후 웹 애플리케이션을 보호하려고 했으나 반복적으로 공격이 발생한 것으로 파악됐다.
IRS 세금 문서 1040. Credit : IRS
반복 공격 이후, 미국 국세청은 납세자가 온라인으로 소득세를 신고할 때 사용했던 개인식별번호(PIN) 취득용 웹 기반 툴을 사용하지 않기로
결정했다.
지난주 IRS는 의심스러운 활동 때문에 국세청 웹사이트에서 전자신고 시 PIN을 더는 이용할 수 없다고 발표했다.
올 2월 국세청은 해커들이 IRS 웹사이트에서 PIN을 알아내고자 이름, 사회보장번호, 생년월일 등 훔친 납세자 정보를 이용했다고 밝혔다.
해커들은 자동봇을 이용해 46만 4,000개의 고유한 SSN에 해당하는 PIN을 획득하고자 했다. 하지만 이 봇은 10만 1,000개의 PIN 획득에 성공한 후 차단됐다.
이 사건 이후 IRS는 추가로 적절하게 방어 조치했지만 여전히 자동봇 공격은 계속 증가하고 있다. 추가로 탈취된 PIN 숫자는 적지만 안전을 이유로 IRS는 이 툴을 퇴출하기로 결정했다.
이 웹 애플리케이션으로 연결된 링크가 대부분 상용 세금 소프트웨어 제품에 임베디드 돼 있기 때문에 이는 몇 가지 문제를 야기할 수 있다. 납세자들은 전년도 납세 신고서 복사본에서 총 소득을 조정해 IPN 없이 온라인으로 소득세를 신고할 수 있다. IRS 웹사이트에서 별도의 애플리케이션으로 소득세 신고서의 사본을 확인할 수도 있다. ciokr@idg.co.kr