파나마 문서(Panama Papers)는 파나마 법률 사무소로 조세 피난처 관련 세계 최대 업체인 모색 폰세카(Mossack Fonseca)가 지난 40년에 걸친 업무 내용 관련 데이터를 기록한 것이다. 국제탐사보도언론인협회(ICIJ)가 독일 신문인 쥐트도이체차이퉁(Sddeutsche Zeitung)을 통해 얻어 공개했다. 데이터 용량만 2.6TB에 달한다.

해외 기업(Offshore corporation)은 익명성을 구축할 목적으로 자국 법률이 미치지 않는 해외에 만든 기업은 오리지널 기업 조직의 존재를 숨겨 불법적인 행위를 비밀리에 하는 방패 역할을 하기도 한다. 불법으로 얻은 자금을 숨기는 것도 예로 들 수 있다.

이렇게 기업의 실체를 숨기기 위해 다른 기업을 설립하고 이 기업을 숨기려고 다시 새로운 기업을 만드는 등 기업 실체를 몇 겹으로 숨긴다. 언뜻 보면 실제로 어떤 사업을 하는 기업인지 모르게 해서 기업이나 조직의 본질을 교묘하게 숨기는 것이다.

이런 기업이 숨기는 자금이 도대체 누구의 것인지 항상 의문이 있을 수 있지만 해답을 하기는 쉽지 않다. 해외 기업 소재지는 기업이 실제로 사업을 하고 있는 곳이 아니라 세이셀제도나 사모아, 아랍에미리트, 미국 와이오밍 등 일명 조세피난처라는 지역에 있다. 자세히 살펴보면 돈을 숨긴 해외 기업 소유주 이름을 알 수 있지만 실제로 누가 갖고 있는 돈인지 분명하게 아는 건 쉽지 않다.

이런 기업의 예를 들면 파나마에 있는 법률 사무소가 회사(HIDE-MONEY LIMITED)를 만들었다면 이곳에는 사장과 비서, 회계 관리자 같은 직원이 있다. 이 직원은 지명 이사(nominee directors)라고 한다. 지명 이사는 재산 소유자에게 고용되어 고용주가 시키는 대로 행동한다. 예를 들어 은행 계좌 관리와 부동산 구입 등을 대리한다.

이 회사는 또 지구 반대편에 다른 회사(DOUBLE TROUBLE LIMITED)를 보유하고 있다. 이 회사는 다시 다른 회사(GOTCHA ENTERPRISES)를 산하에 두고 있다. 이들 3개사 사이에는 수백만 달러 이후 큰 돈이 거래된다. 대기업이 토지를 구입한다면 부동산에 대한 세금을 회피하거나 신원을 감추기 위해 이런 기업을 이용할 수 있다. 파나마 문서에선 국가 독재자나 정치인, 재정 담당자, 탈세자 등이 돈을 숨기기 위해 이런 기업을 활용한 것으로 밝혀지고 있다. 세무서나 법 집행 기관은 원래 징수할 수 있었던 세금을 걷지 못한 셈이다. 앞으로 세금 징수를 더 엄격하게 적용할 움직임이 나올 가능성도 있다.



한편 파나마 문서의 유출 원인으로 내부자에 의한 유출설 외에도 유출이 아니라면 해킹이라는 설도 나오고 있다. 아직 진상은 불분명하지만 만일 해킹이라면 워드프레스 플러그인이 원인일 가능성도 부각되고 있다.

이 플러그인의 명칭은 레볼루션 슬라이더(Revolution Slider). 워드프레스 보안 업체인 워드펜스(Wordfence)에 따르면 모색 폰세카가 웹사이트를 워드프레스로 구축했으며 레볼루션 슬라이더 이전 버전을 사용 중이었다는 것. 이를 통해 파일 업로드나 서버에 스크립트 공격을 누구나 쉽게 할 수 있는 상태에 있었다고 한다.



Mossack Fonseca Slider Revolution Vulnerability Demo from Wordfence on Vimeo.

인터넷 보안 전문가들은 워드프레스 같은 CMS는 항상 외부 공격에 노출되어 있으며 타사 플러그인을 많이 사용할수록 안전을 확보하는 건 쉽지 않은 일이라고 말한다. 워드펜스에 따르면 모색 폰세카는 메일 서버도 웹과 같은 서버에서 관리하고 있으며 레볼루션 슬라이더의 취약점을 파고 들어 악의적인 스크립트를 서버에 올려 손쉽게 정보를 빼낼 수 있는 상태에 있었다고 한다. 방화벽 같은 기본 지원도 하지 않아 보안 측면에선 형편이 없었다고 한다.

그 뿐 아니라 IT 매체인 와이어드에 따르면 모색 폰세카는 웹사이트 로그인 기능을 3년 동안 방치한 상태였으며 사용자에 대한 정기적인 비밀번호 변경 요구도 없었다는 점을 지적하고 있다. 백엔드에서 사용 중인 또 따른 CMS인 드루팔 역시 3년 전 버전을 그대로 쓰고 있었다고 한다. 마이크로소프트 아웃룩 로그인 기능 역시 2009년 이후 바꾸지 않았다. 아직까지 정확한 유출 이유는 알 수 없지만 웹사이트의 보안 대책에 대한 중요성을 일깨우기에는 충분하지 않을까 싶다.관련 내용은 이곳에서 확인할 수 있다.