전직 수감자 해커 쌍둥이 해고 - 몇 분 만에 정부 데이터베이스 96개 삭제 시도

전직 수감자 해커 쌍둥이 해고 - 몇 분 만에 정부 데이터베이스 96개 삭제 시도

고용주에게 알림: 형제 직원 두 명이 해킹으로 복역한 전직 수감자이며 미국 국무부를 해킹한 사실을 알게 되면, 그들의 접근 권한을 완전히 비활성화해야 합니다.

2025년 2월, 쌍둥이 형제인 무니브와 소하이ب 악터는 일상적인 해고를 최근 미국 정부 역사상 가장 대담한 내부자 사보타주 사건 중 하나로 만들었습니다. 워싱턴 D.C. 지역의 계약업체인 Opexus에서 해고된 지 불과 몇 분 만에 - 이 업체는 45개 이상의 연방 기관에 중요한 사례 관리 소프트웨어를 제공합니다 - 형제들은 약 96개의 정부 데이터베이스를 삭제하는 신속한 디지털 공격을 감행했다고 알려졌습니다. 이 데이터베이스에는 민감한 FOIA 기록, 조사 파일 및 납세자 데이터가 포함되어 있었습니다.
무니브와 소하이ب 악터

이 사건이 특히 충격적이었던 이유는 형제들의 과거 이력이었습니다. 두 사람 모두 10년 전에 연방 시스템을 해킹한 혐의로 징역형을 살았습니다.

10년 된 범죄 기록

버지니아주 알렉산드리아에 거주하는 34세의 악터 형제는 Opexus가 완전히 놓친 범죄 경력이 있었습니다. 그들이 하는 일을 고려할 때, 이는 좋지 않습니다. 2015년, 계약자로 일하던 중, 그들은 공모, 보호된 컴퓨터에 대한 무단 접근 및 관련 혐의에 대해 유죄를 인정했습니다. 그들의 범죄에는 미국 국무부 시스템 및 민간 회사 해킹, 동료, 지인, 심지어 연방 조사관의 개인 데이터 절도가 포함되었습니다.

무니브는 39개월, 소하이ب는 24개월의 징역형을 선고받았습니다. 두 사람 모두 복역을 마치고 석방되었습니다.

하지만...

2023-2024년까지 형제들은 FedRAMP 인증 사례 관리 플랫폼을 전문으로 하는 회사인 Opexus(이전 AINS)에서 엔지니어 역할을 맡았습니다. 이 회사의 주력 제품인 FOIAXpress와 eCASE 제품군은 기관이 정보 공개법 요청, 감사, 조사, EEO 불만 및 의회 서신을 처리하도록 돕습니다. Opexus 시스템은 버지니아주 애쉬번의 서버에 민감한 정부 데이터를 호스팅합니다.

이 회사는 약 7년간의 표준 신원 조회를 실시했지만, 2015년의 유죄 판결을 놓쳤습니다. Opexus는 나중에 "추가적인 조사가 이루어졌어야 했다"고 인정했으며, 쌍둥이를 채용한 책임자는 더 이상 회사에 없습니다.

해고 당시 Opexus는 알지 못했지만, 형제들은 몇 주 동안 접근 권한을 남용하고 있었습니다. 무니브는 회사 네트워크에서 약 5,400개의 사용자 이름과 비밀번호를 수집하고 사용자 지정 스크립트를 구축하여 외부 사이트(Marriott 및 DocuSign 포함)에 대해 테스트했습니다. 그는 성공적으로 계정에 로그인했으며, 일부 경우에는 피해자의 항공 마일리지를 사용했습니다.

2025년 2월 1일 - 해고되기 2주 이상 전 - 무니브는 소하이ب에게 EEOC 공개 포털을 통해 불만을 제기한 개인의 평문 비밀번호를 요청했습니다. 소하이ب는 데이터베이스 쿼리를 실행하여 제공했고, 무니브는 해당 자격 증명을 사용하여 불만 제기자의 이메일에 무단으로 접근했습니다. 이 사건은 나중에 소하이ب의 비밀번호 거래 혐의의 중심이 되었습니다.

해고와 56분간의 광란

2025년 2월 18일, FDIC는 잠재적인 새로운 역할에 대한 신원 조회 중 소하이ب의 이전 유죄 판결을 적발했습니다. Opexus는 원격 Microsoft Teams/HR 회의에서 두 형제를 해고했으며, 이 회의는 오후 4시 50분-4시 55분경에 종료되었습니다.

퇴사 절차가 잘못되었습니다. 무니브의 계정은 활성 상태로 남아 있었습니다. ARS Technica는 타임라인을 가지고 있습니다.

오후 4시 56분, 무니브는 회사가 유지 관리하던 미국 정부 데이터베이스에 접근했습니다. 그는 "다른 사용자가 데이터베이스에 연결하거나 변경하는 것을 방지하기 위해 명령을 내렸고, 그런 다음 데이터베이스를 삭제하기 위한 명령을 내렸다"고 정부는 밝혔습니다.

오후 4시 58분, 그는 "DROP DATABASE dhsproddb" 명령을 사용하여 국토안보부 데이터베이스를 삭제했습니다.

오후 4시 59분, 그는 AI 도구에 "데이터베이스를 삭제한 후 SQL 서버에서 시스템 로그를 어떻게 지우나요?"라고 물었습니다. 그는 나중에 "Microsoft Windows Server 2012에서 모든 이벤트 및 애플리케이션 로그를 어떻게 지우나요?"라고 물었습니다.

단 한 시간 만에 무니브는 미국 정부 정보가 포함된 약 96개의 데이터베이스를 삭제했습니다. 그는 EEOC에 속한 1,805개의 파일을 다운로드하여 USB 드라이브에 보관했고, 최소 450명의 연방 세금 정보를 확보했습니다.

형제들은 실시간으로 공격을 논의했습니다. 소하이ب는 무니브가 "데이터베이스 백업을 정리하는 것"을 지켜보았습니다. 그들은 SQL 서버 로그와 Windows 이벤트 로그를 지우는 방법에 대해 AI 도구에 문의하기도 했습니다. 그들은 나중에 증거를 없애기 위해 회사 노트북의 운영 체제를 재설치했습니다.

그리고 또 무엇을 했는가?

법원 문서(보충 기소 + 2026년 4월의 무니브 악터의 상세 사실 진술서)에 따르면, 형제들은 상당히 많은 장난을 치고 있었습니다.

대규모 추가 데이터 획득 (120만 줄): 무니브는 Opexus에서 약 5,400개의 사용자 이름/비밀번호만 훔친 것이 아닙니다. 그는 또한 전체 이름, 이메일 주소, 전화번호, 실제 주소 및 비밀번호 해시가 포함된 약 120만 줄의 별도 파일을 소유하고 있었습니다. 이는 개인 노트북, Android 휴대폰, 외장 하드 드라이브 및 클라우드 계정에 저장되었습니다.

자격 증명 남용은 해고 후 10개월 동안 지속되었습니다: 데이터베이스 삭제는 2025년 2월 18일에 발생했지만, 무니브는 2025년 5월부터 체포된 2025년 12월 3일까지 도난당한 자격 증명을 계속 적극적으로 사용했습니다. 그는 사용자 지정 Python 스크립트(하나는 실제로 marriott_checker.py라고 명명됨)를 작성하고, 호텔, 항공사 및 은행에 대한 자격 증명 채우기 공격을 실행했으며, 수백 명의 피해자 계정에 성공적으로 로그인했습니다.

자신의 도메인을 이용한 정교한 계정 탈취: 그는 단순히 로그인한 것이 아니라, 항공사, 호텔 및 은행 계정에서 피해자의 복구 이메일 주소를 자신이 통제하는 주소(예: [VictimName]@wardensys.com 또는 @wardensystems.com (그가 소유한 도메인))로 변경했습니다. 이를 통해 실제 소유자를 잠그고 계정을 계속 사용할 수 있었습니다.

삭제 광란 중 실시간 협박 브레인스토밍: 2월 18일 오후 5시 12분경 - 무니브가 여전히 데이터베이스를 삭제하는 동안 - 형제들은 실제로 Opexus를 협박하는 것에 대해 논의했습니다. 소하이ب는 "킬 스크립트가 있었어야지, 돈을 뜯어내려고..."라고 말했습니다. 무니브는 그것이 유죄의 명백한 증거가 될 것이라고 말하며 거절했습니다. 그들은 또한 고객에게 연락할지 여부에 대해 논쟁했습니다.

"다른 집에서 물건을 치워": 같은 대화 중에 소하이ب는 "다른 집에서 물건도 치워야 해, 친구."라고 말했습니다. 이는 그들이 두 번째 장소에 증거 또는 도난당한 데이터가 있음을 강력하게 시사합니다.

무니브는 정부 발급 PIV 카드를 가지고 도주했습니다: 2025년 2월 24일 무니브가 텍사스로 운전했을 때, 그는 개인 노트북, 휴대폰, 그리고 미국 정부 기관에서 발급한 개인 신원 확인(PIV) 카드를 가지고 갔습니다. (PIV 카드는 연방 직원/계약자가 시스템 접근에 사용하는 고보안 스마트 카드입니다.)

기타 작지만 놀라운 내용

"공범"(공개 문서에 신원 미상)이 2월 21-22일에 OS를 재설치하여 두 회사 노트북을 모두 삭제했습니다.
무니브는 도난당한 American Airlines 마일리지를 두 번 사용했습니다: 실제 비행(2025년 11월 29일 SLC → DC)에 29,000마일, 예약했지만 사용하지 않은 다른 티켓에 14,500마일.
무니브는 2022년 8월(Opexus 이전)에 누군가의 여권 및 개인 정보와 관련된 별도의 가중 신원 도용 혐의가 있었습니다.
총기도!

2025년 3월 12일 알렉산드리아 자택에 대한 연방 수색 영장이 집행되어 M1 및 M1A 소총, Glenfield Model 60 .22 소총, Ruger .22 권총, Colt .38 Special 리볼버를 포함한 7개의 총기와 약 378발의 .30구경 탄약이 발견되었습니다. 당시 버지니아 법에 따르면, 이러한 총기와 탄약은 금지되지 않은 개인이 소유하는 데 완전히 합법적이었습니다 - 공격 무기 금지, 탄창 제한, 특정 모델에 대한 제한이 없었습니다. 유일한 금지 사항은 소하이ب의 전과자 신분이었는데, 이는 연방법(18 U.S.C. § 922(g))에 따라 소지가 불법이었습니다.

형제들은 2025년 12월 3일에 체포되었습니다. 무니브는 결국 컴퓨터 사기 및 기록 파기 등 주요 혐의에 대해 유죄를 인정했습니다. 소하이ب는 재판에 회부되었습니다.

2026년 5월 7일, 알렉산드리아의 연방 배심원은 소하이ب 악터에게 컴퓨터 사기 공모, 비밀번호 거래, 금지된 사람의 총기 소지 등 세 가지 혐의로 유죄를 평결했습니다. 그는 최대 21년의 징역형에 처해질 수 있으며, 2026년 9월 9일에 선고될 예정입니다. 무니브는 추가 혐의와 최대 45년의 잠재적 처벌에 직면해 있습니다.

그래서, 이런...

덧붙여, 하원 민주당이 Awan 형제가 13년 동안 네트워크에서 마음껏 날뛰게 하고, 의심스러운 무단 서버 접근, 조달 규정 위반 및 잠재적인 데이터 유출 혐의로 해고되었으며, 그 중 한 명은 대출 신청에 대한 허위 진술 혐의로 유죄를 인정하고 복역한 시간만큼의 형을 선고받은 후, 이 사건에 관련된 다섯 명의 파키스탄계 미국인 기술 근로자로부터 85만 달러의 부당 해고 합의금을 받은 것을 기억하십니까? 미쳤어요!

타일러 더든
2026년 5월 13일 수요일 - 14:30