선거 전날 터진 정부 보안 스캔들

헝가리 정부 이메일 주소 795개와 연동 비밀번호가 온라인 유출 데이터베이스에서 유통되고 있는 것으로 드러났다. 오픈소스 인텔리전스(OSINT) 전문 매체 벨링캣(Bellingcat)이 유출 데이터를 분석한 결과, 헝가리 13개 부처 가운데 12개가 피해를 입었으며 일부는 해외 파견 군 인력과 공무원의 기밀 정보까지 노출된 것으로 확인됐다.

피해자 목록에는 정보보안을 총괄하는 고위 군 장교, 외교부의 대테러 조정관, 국가에 대한 하이브리드 위협을 식별하는 임무를 맡은 직원이 포함돼 있다. 이번 보고서는 빅토르 오르반(Viktor Orbán) 총리가 5선 연임 여부를 결정하는 선거 직전에 공개됐다. 헝가리 정부 대변인과 총리실은 확인 요청에 응답하지 않았다.

왜 이 사건이 중요한가

단순한 정보 유출로 보기 어렵다. 외교·국방·재정·거버넌스를 직접 담당하는 핵심 부처 직원들이 다수 포함돼 있으며, 특히 해외 파견 군 인력의 자격증명(credential) 노출은 개인정보 침해를 넘어 국가 안보 위협으로 이어질 수 있다.

유출 데이터에는 이메일과 비밀번호 외에도 전화번호, 주소, 생년월일, 사용자명, 인터넷 프로토콜(IP) 주소가 다수 포함됐다. 이 정보들이 조합되면 표적 피싱이나 사회공학(social engineering) 공격의 기반이 된다.

더 심각한 것은 악성코드(멀웨어) 감염 흔적이다. 분석에 따르면 헝가리 정부 기관 전반에서 97대의 컴퓨터가 로그인 자격증명을 탈취하는 스틸러(stealer) 악성코드에 감염됐으며, 가장 최근 기록은 보고서 작성 직전 달까지 거슬러 올라간다.

문제의 본질: 해킹이 아닌 허술한 디지털 위생

이번 유출은 고도의 해킹 기술에 의한 침투 결과가 아니다. 원인은 더 단순하고, 그렇기에 더 충격적이다. 많은 직원들이 정부 이메일 주소를 데이팅 앱, 음악 스트리밍, 스포츠, 음식 배달 사이트 같은 업무와 무관한 서비스에 동일하게 사용했다.

비밀번호 수준도 심각하다. 일부 직원은 'Password'의 변형이나 '1234567' 같은 숫자 나열을 사용했다. 2012년 링크드인(LinkedIn) 해킹 때 노출된 한 직원의 비밀번호는 'linkedinlinkedin'이었다. 국방부 소속 직원은 자신의 성(姓)을 비밀번호로 사용했고, 외교부 직원의 경우 'embassy13hungary'라는 비밀번호가 유출됐다.

이는 기술적 취약점이 아닌 조직 문화와 보안 교육 부재를 드러낸다.

이 흐름은 언제부터: 헝가리 사이버 보안의 연대기

헝가리 정부의 정보기술(IT) 보안 취약성이 드러난 것은 이번이 처음이 아니다.

2022년, 헝가리 선거를 앞두고 조사 매체 디렉트36(Direkt36)은 러시아 정보기관이 헝가리 외교부 컴퓨터 네트워크에 접근했다고 보도했다. 내부 통신 채널은 물론 기밀 외교 문서 전송용 암호화 네트워크까지 침투 대상이 됐다. 당시 외교부는 해킹 사실을 부인했다.

그러나 2024년, 헝가리 매체 444가 공개한 내부 서한에 따르면, 국가안보국(National Security Service)은 해킹이 처음 보도되기 6개월 전 이미 외교부에 경고를 보냈다. 서한은 공격 배후로 러시아를 지목하고 4,000대 이상의 워크스테이션과 930대의 서버를 '신뢰할 수 없는 상태'로 분류했다.

러시아의 사이버 공격은 최소 10년 이상 지속됐다는 것이 당시 보도의 핵심이었다. 헝가리의 보안 취약성은 이번 선거 주기에 갑자기 등장한 문제가 아닌, 수년간 누적된 구조적 문제다.

앞으로의 전망 [AI 분석]

이번 사태는 복합적인 함의를 지닌다.

정치적 파장: 오르반 총리의 5선 도전이라는 민감한 시점에 이 정보가 공개된 것은, 우연이든 아니든 정치적 파장을 불러올 가능성이 높다. 야권과 시민사회는 정부의 보안 무능을 선거 쟁점으로 활용할 가능성이 높다.

동맹국 신뢰 문제: 헝가리는 북대서양조약기구(NATO) 회원국이다. 핵심 안보 담당자의 자격증명이 유출됐다는 사실은 동맹국들이 헝가리와의 정보 공유 수준을 재검토할 근거가 될 수 있다. 이미 헝가리-러시아 관계가 유럽연합(EU) 내에서 논란인 상황에서, 추가적인 외교적 균열이 발생할 가능성이 있다.

보이지 않는 빙산: 이번 분석에는 세금·관세 당국이나 경찰처럼 별도 도메인을 쓰는 기관이 포함되지 않았다. 실제 피해 규모는 더 클 가능성이 높다.

가장 근본적인 문제는 기술이 아니라 문화다. 고위직 보안 담당자조차 취약한 비밀번호를 쓰는 조직에서 시스템 강화만으로는 한계가 있다. 보안 인식 교육과 제도적 강제 적용 없이는 다음 유출도 시간문제일 가능성이 높다.