프랑스 FICOBA 은행 계좌 데이터베이스 침해 — 공무원 자격증명 탈취를 통한 국가 금융 DB 접근
사건 개요
2026년 1월 말, 악의적 행위자가 프랑스 국가 은행 계좌 등록 데이터베이스인 FICOBA(Fichier National des Comptes Bancaires et Assimilés)에 무단으로 접근하여 약 120만 개의 계좌 관련 정보를 열람했다. FICOBA는 프랑스 재정경제부 산하 공공재정총국(DGFiP)이 운영하는 시스템으로, 프랑스 내 모든 금융기관에 개설된 계좌 정보를 포함하며 전체 등록 계좌는 3억 개 이상, 관련 개인정보는 8천만 명 이상의 데이터를 보유한다. 프랑스 재정경제부는 2026년 2월 18일 이 사실을 공식 공개했다. 접근은 탐지 즉시 차단됐으며, 프랑스 개인정보보호 감독기관 CNIL에 신고됐다.
기술적 세부사항
공격 메커니즘
공격자는 성간부처 정보 공유 플랫폼(interministerial information exchange)에 접근 권한을 가진 공무원의 자격증명을 탈취하고, 해당 자격증명으로 공무원을 사칭하여 FICOBA 데이터베이스에 접근했다. FICOBA는 세무 조사, 사법 수사 등의 목적으로 특정 공무원에게 접근이 허가된 합법적 경로를 통해 운영된다. 공격자는 이 합법적 접근 경로를 그대로 사용했기 때문에, 초기에는 정상 접근과 구분이 어려웠다. 자격증명 탈취의 구체적인 방법(피싱, 인포스틸러 악성코드, 소셜 엔지니어링 등)에 대한 세부 정보는 공개 보고서에 언급되지 않았다.
노출된 정보
FICOBA는 계좌 존재 여부와 식별자만을 기록하는 시스템으로, 계좌 잔액, 거래 내역에는 접근할 수 없는 구조다. 이번 침해에서 노출된 정보는 국제은행계좌번호(IBAN), 계좌 소유자 성명, 주소, 일부 건의 경우 세금 식별번호(DGFiP 발급)다. 공격자가 계좌에서 직접 자금을 인출하거나 거래를 실행하는 것은 FICOBA 시스템의 구조상 불가능했다.
근본 원인 분석
기술적 원인
단일 자격증명 세트가 120만 건 규모의 민감 금융 데이터에 대한 접근을 허용하는 구조가 핵심 취약점이다. 정상적인 공무원이 업무 목적상 대규모 계좌 정보를 일괄 조회해야 하는 시나리오가 일반적이지 않음에도 불구하고, 해당 접근 수준에 대한 추가적인 이상 탐지나 다단계 인증 체계가 작동하지 않았다.
관리적 원인
민감한 국가 금융 데이터베이스에 접근하는 자격증명에 대한 다중인증(MFA) 적용 여부가 핵심 질문이다. DGFiP는 타협된 계좌에 대한 MFA 적용 여부, 공격이 탐지되기 전 지속된 기간, 접근 로그 분석 결과 등을 공개하지 않았다. 보안 전문가들은 대규모 민감 데이터에 단일 자격증명만으로 접근 가능한 구조적 취약점을 지적했다.
인적 원인
자격증명을 보유한 공무원이 피해를 입은 것이나, 탈취 방법이나 해당 공무원의 보안 인식 수준에 대한 정보는 공개되지 않았다.
영향 분석
직접적 피해
120만 건의 IBAN과 개인정보 노출이 확인됐다. 공격자가 계좌에서 직접 자금을 인출할 수는 없으나, 탈취된 IBAN은 다음과 같은 금융 범죄에 활용 가능하다. 직접출금(SEPA Direct Debit) 사기, 즉 피해자의 IBAN으로 허가되지 않은 구독 서비스나 청구를 발생시킬 수 있다. 또한 계좌 소유자 성명, 주소, 세금 식별번호를 결합한 정교한 피싱 및 사회공학 공격이 가능하다. 프랑스 은행 연합(FBF)은 공격자가 피해자의 IBAN을 이용해 실제 서비스 구독료를 부과하는 방식의 사기 가능성을 특별히 경고했다.
간접적 영향
최근 프랑스에서는 FICOBA 외에도 국가사냥연합(100만 건 이상 탈취) 등 정부 시스템에 대한 연속적인 사이버 공격이 발생하고 있다. DGFiP는 국가사이버보안청(ANSSI)과 협력하여 시스템 보안 강화 작업을 진행 중이다. 사고는 GDPR에 따라 CNIL에 신고됐으며, 관련 조사가 진행 중이다.
예방 및 대응 방안
사전 예방
대규모 민감 데이터베이스에 대한 접근은 자격증명 외에 MFA를 필수 적용해야 한다. 특히 정부 간 정보 공유 플랫폼처럼 여러 시스템에 걸쳐 접근 권한이 부여된 자격증명은 더 높은 수준의 인증이 요구된다. 또한 비정상적인 대량 조회, 비업무 시간대 접근, 특정 데이터 유형의 집중적 조회 등을 실시간으로 탐지하는 이상 행위 모니터링이 필요하다. 특정 공무원이 필요한 최소 범위의 데이터에만 접근할 수 있도록 역할 기반 접근 제어(RBAC)를 세분화하는 것도 중요하다.
피해자 대응
프랑스 재정부는 영향받은 개인들에게 직접 통보하고, 금융기관에 고객 경계 강화를 요청했다. 피해자들은 계좌 거래 명세를 주간 단위로 점검하고, 금융기관이나 정부 기관을 사칭한 소통에 특히 주의해야 한다.
컨설팅 관점
고객사 커뮤니케이션 전략
기술팀 대상
이 사건은 제로 트러스트 원칙의 실제 적용 사례다. 합법적 자격증명으로 접근했더라도 접근 패턴이 비정상적이면 탐지되어야 한다는 원칙이 작동하지 않았다. 민감 데이터 시스템에 대한 UEBA(User and Entity Behavior Analytics) 도입 또는 강화를 권고할 수 있다.
경영진 대상
단일 직원의 자격증명 탈취가 조직 전체의 민감 데이터에 대한 접근으로 이어지는 구조적 위험을 설명해야 한다. 이는 인력 관리 문제가 아니라 아키텍처 설계 문제다. 최소 권한 원칙과 접근 세분화에 대한 투자는 단일 자격증명 탈취의 피해 범위를 제한하는 핵심 통제 수단임을 강조해야 한다.
공공기관 고객사 특화
정부 시스템은 특히 성간부처 정보 공유 구조에서 접근 권한 범위가 과도하게 광범위해지는 경향이 있다. 업무 목적별 접근 권한의 정기적 검토와 재인증 프로세스를 도입하는 것이 실효성 있는 예방 수단이다.
예상 질문 및 답변
Q: 공격자가 계좌에서 돈을 직접 빼갈 수 없다면 위험하지 않은 것이 아닌가?
A: IBAN, 성명, 주소의 결합은 피해자를 정확히 특정한 정교한 금융 사기를 가능하게 한다. 특히 SEPA 직접출금 사기는 피해자가 며칠 내에 인지하지 못하면 실제 금전 피해로 이어진다. 또한 세금 식별번호가 포함된 경우 더 심각한 신원 도용으로 발전할 수 있다.
Q: 합법적 자격증명을 사용한 공격은 어떻게 탐지할 수 있는가?
A: 정상 사용자 행동 기준선(baseline)을 수립하고, 이를 벗어나는 접근 패턴을 탐지하는 UEBA가 핵심 수단이다. 업무 시간 외 접근, 비정상적인 조회 건수, 평소와 다른 데이터 유형 조회 등이 탐지 지표가 된다.
Q: MFA가 이 공격을 막을 수 있었는가?
A: MFA는 자격증명 탈취 공격의 성공 가능성을 크게 낮춘다. 그러나 자격증명과 함께 MFA 수단(OTP 기기 등)이 함께 탈취된 경우에는 우회될 수 있다. MFA는 필수이지만, 접근 후 이상 행동 탐지도 병행되어야 한다.
학습 내용 및 시사점
이 사건의 가장 중요한 학습은 합법적 자격증명을 통한 공격이 기술적으로 탐지하기 가장 어려운 유형이라는 점이다. 방화벽, 침입탐지 시스템 등 경계 보안은 이 공격에 대해 사실상 무력했다. 이는 현대 보안 아키텍처가 경계 방어에서 접근 후 행동 기반 탐지로 패러다임을 전환해야 하는 이유를 명확히 보여준다. 또한 단일 자격증명이 국가 규모의 민감 금융 데이터에 대한 광범위한 접근을 허용하는 구조 자체가 최소 권한 원칙에 위배되며, 이러한 설계 결함이 침해 피해를 극대화했다.