국세청은 신원이 밝혀지지 않은 해커들이 올해 2월부터 이달 중순까지 약 4개월간 다른 곳에서 입수한 사회보장번호, 생년 월일 등의 개인정보로 웹사이트의 '증명서 발급'(Get Transcript) 시스템에 접속, 세금 환급이나 다른 증빙 서류 등을 요청했다고 밝혔다.
국세청은 해커들이 이처럼 다른 사람의 정보를 이용해 납세자 개인만 알 수 있는 본인 확인 질문에 답하는 등 여러 단계에 걸친 인증 절차를 통과할 수 있었다고 밝혔다.
국세청은 이런 방식으로 해커들이 약 20만 명의 계정에 접근을 시도해 그중 절반 정도인 10만 4천명의 계정을 뚫는 데 성공했다고 설명했다.
이 과정에서 약 1만 5천 건, 5천만 달러(약 553억 9천만 원) 규모에 달하는 허위 세금 환급이 이뤄진 것으로 국세청은 파악했다.
증명서 발급 시스템은 매년 수백만명의 미국인이 온라인에서 세금 납부를 할 때 사용하는 시스템으로, 최근 5년간의 세금 환급 내역 등을 볼 수 있다.
국세청은 해킹당한 시스템이 세금 정산을 담당하는 메인 컴퓨터 시스템과는 별도로 운영되고 있어 메인 시스템의 피해는 없다고 밝혔다.
국세청은 지난주 증명서 발급 시스템을 일시 폐쇄하고 사고 경위 등에 대한 범죄 수사에 착수하는 한편 감사실을 통해 조사를 진행중이다.
특히 해킹이 미국내뿐 아니라 외부에서 이뤄졌을 가능성, 즉 외국 해커의 소행일 가능성에 대해서도 조사를 진행하고 있는 것으로 알려졌다.
존 코스키넨 국세청장은 "아마추어의 소행은 아닌 것으로 확신한다"며 "이번 일은 분명히 조직적인 범죄집단의 소행이며, 우리뿐만 아니라 모든 금융산업을 다루는 집단"이라고 말했다.
미국 금융 기관과 기업 등에 대한 해킹은 최근 자주 발생하고 있다.
지난해 10월에는 미국 최대은행인 JP모건체이스가 해킹을 당해 7천600만 가구, 중소기업 700만 곳 등 8천300만 건의 개인정보가 유출됐다.
당시 러시아나 중국 해커 등의 소행으로 의심됐으며, 올해 3월 미국 수사 당국이 미국과 범죄인 인도협약이 체결된 국가에 거주하는 일부 해커에 대한 기소를 준비하고 있는 것으로 전해졌다.
2013년에는 대형 유통업체를 타깃으로 1억 1천만 명의 고객 정보가 유출됐고, 지난해 주택용품 판매업체 '홈디포'도 해킹을 당했다.
특히 작년 11월에는 영화제작사 '소니 픽처스 엔터테인먼트'가 김정은 북한 국방위원회 제1위원장 살해를 소재로 한 코미디 영화 개봉을 앞두고 북한 소행으로 추정되는 사이버 공격을 당해 내부 자료가 대규모로 유출되는 피해를 봤다.
미 국세청의 경우 해킹 피해는 아니었지만 2013년에도 타인 명의를 도용한 사기범에게 40억 달러에 이르는 대규모 세금 환급 사기를 당한 적이 있어 허술한 보안, 환급 시스템에 대한 비판이 다시금 고조될 것으로 보인다.