"영국 예산자료 URL 혹시 이거 아닐까"…OBR이 밝힌 유출 전말






(뉴욕=연합인포맥스) 최진우 특파원 = 영국 가을 경제·재정 전망(EFO) 자료의 사전 유출 사고는 예산책임청(OBR)이 웹사이트에 자료를 '미리 업로드→해제(공개)'하는 관행 때문으로 1일(현지시간) 밝혀졌다. 특히, OBR은 외부에서 추정 가능한 URL에 자료를 올려놓는 허술함도 보였다.

OBR은 독립 재정 감시기관으로서 영국 정부가 내놓을 정책을 미리 받아 효과를 분석해 1년에 두 번(봄·가을) EFO를 제시한다. 영국 정부의 정책이 그대로 반영된 만큼 시장에 미치는 영향력이 크다.

이날 OBR이 발표한 '2025년 11월 EFO 공개 오류에 대한 조사 보고서'를 보면 이 기관은 레이철 리브스 영국 재무부 장관이 예산안을 연설하기 1시간 전인 오전 11시 35분께 사고(자료 유출)가 발생한 것으로 확인했다.

자료를 받은 웹 개발자가 오전 11시경에 PDF 파일을 웹사이트에 업로드를 해놨고, '혹시 이렇지 않을까' URL 패턴을 유추한 사용자에게 털렸다고 한다.

이번에 EFO가 올라온 URL은 'OBR_Economic_and_fiscal_outlook_November_2025.pdf'였고, 그간 연도와 월(月)만 바꿔서 업로드했다는 의미로 추정된다.

OBR은 오전 11시 35분부터 오후 12시 7분까지 약 30분 동안 32개의 IP에서 총 43회의 다운로드가 이뤄졌다고 설명했다.

URL를 입력하면 PDF에 직접 접근이 가능하다는 점을 모르고 있던 OBR은 한동안 문제의 원인도 파악하지 못했다.

결국, 외신 보도로 유출을 알아차린 OBR은 PDF 파일을 삭제하고 웹사이트를 차단하려고 했지만, 트래픽 폭증으로 그마저도 쉽지 않았다.

이런 가운데 대규모 증세로 재정 여유분이 크게 확충됐다는 EFO 자료가 퍼지면서 영국 국채(길트) 금리는 급락했고, 파운드는 강세 압력을 받았다.

다만, 이번 조사의 기술 고문으로 차명한 키어런 마틴 옥스퍼드대 교수는 "외국의 해킹 공격이나 사이버 범죄, OBR 내부자의 고의적 유출 때문이라는 정황은 없다"고 평가했다.

놀라운 점은 OBR은 지난 3월에도 비슷한 상황이 겪었다고 한다. 당시에도 한 IP가 공개 시점보다 30분 이르게 자료에 접근한 것으로 나타났다.

OBR은 "가장 시급한 과제는 EFO(연 2회) 게시 시스템을 완전히 개편하는 것"이라며 "OBR은 인력도 자원도 부족하며, 외부 1인 개발자에게 의존하는 구조도 큰 위험"이라고 설명했다.

이어 "2026년 봄 EFO는 재무부의 시스템에 게시하는 잠정 조치도 고려해야 한다"면서 "다음 게시 시기에는 조기 접근을 노리는 시도가 더 많아질 것이므로 보안이 최우선"이라고 강조했다.

jwchoi@yna.co.kr



<저작권자 (c) 연합인포맥스, 무단전재 및 재배포 금지, AI 학습 및 활용 금지>