민감한 정보를 관리해본 사람이라면, 예멘 공격 과정에서 트럼프 행정부의 고위 관리들이 범한 일련의 실수들을 숨 죽이며 지켜봤을 터다. 참고로 필자는 지난 2011년까지 전직 정보 요원이었음을 밝힌다. 필자는 1976년부터 매일 민감한 기밀 정보를 다뤄왔다. 기밀 작업에는 일정한 절차가 존재하기 마련이다. 정부에서 승인한 기밀 통신 채널을 사용할 수 없는 경우에는 텔렉스, 전용 회선, 무선 전신 또는 연속파를 통해 정보를 전송할 수 있는 암호화 프로토콜이 존재한다.
가령 ‘STU’라고 알려진 보안 전화 장치를 사용해 유선 전화를 통신에 사용할 수 있었다. 기술이 발전함에 따라 보안 모바일 장치가 만들어졌고, 적절한 정부 암호화를 사용하는 정부 통제 네트워크가 마련됐다.
.
그런데 아틀란틱(The Atlantic)의 편집장 제프리 골드버그가 고위 행정관들의 실수를 폭로함에 상황이 24시간 만에 최악으로 치달았다. 아틀란틱 기사를 읽지 않으셨다면 일단 읽어보길 권한다(골드버그의 폭로와 그에 대한 시그널 채팅 내용 공개로 구성된 두 개의 기사가 있다).
위반 사례 #1 – 시그널을 기밀 논의에 사용
암호화 메신저 시그널(Signal)은 오늘날 산업계에서 널리 사용되고 있다. 일부 상황에서는 정부 기관도 사용하는 보안 채팅 앱이다. 실제로 최근 키이우 국제 사이버 보안 회복력 포럼 2025에서 시그널의 활용 현황이 언급된 바 있다. 특히 러시아가 소셜 엔지니어링을 활용해 우크라이나 전쟁 참전 용사들의 그룹 채팅에 침투하여 작전 내용을 미리 입수하려 시도하고 있다는 진단이 있었다.
2025년 1월, 국무부 감사실은 키이우 미국 대사관과 그 기록 보관, 특히 전자 메시지 보관에 대해 실시한 감사 보고서를 발표했다. 이 보고서에는 키이우 대사관이 시그널을 어떻게 사용하는지 설명하면서, 시글널을 통해 이뤄진 공식 업무의 내용이 만족스럽게 보존하고 보호되지 못했다는 점이 지적되어 있다.
보고서는 “키이우 대사관 직원과 미 국무부 직원 모두에 따르면, 미 국무부의 시그널 메시지 보존 절차는 번거롭다. 또 직원들이 메시지를 보존하려고 할 때 겪는 기술적 한계와 정보 보안 취약점이 제대로 해결되지 못하고 있다”라고 밝혔다.
키이우 대사관은 물리적 보안 정보를 신속하게 전달하는 데 시그널을 사용하곤 했다. 이 애플리케이션은 충분히 안전하고, 위협이 높은 환경에서도 쉽게 액세스할 수 있었기 때문이다. 간단히 말해서, “직원들의 이동을 확인하고 공습 지침을 알리는 등 대사관의 중요한 보안 통신에 시그널이 사용되고 있다”라고 보고서는 진단했다. 보고서는 또 현재 국무부가 “시그널을 포함한 전자 메시지 애플리케이션이 전 세계 주재지에서 국무부 업무를 수행하는 데 어느 정도까지 사용되고 있는지 검토하는 작업을” 전 세계적으로 진행하고 있다고 전했다.
다시 최근의 사건을 살펴본다. 이번 문제의 시그널 그룹에서는 7일째 되는 날에 자동으로 콘텐츠를 삭제하도록 설정되어 있었다. 메시지 내용이 널리 퍼졌던 점을 감안할 때, 해당 내용은 그룹 내 행정부 내의 고위층이 저장한 것일 수 있다.
개인적으로 국방부 장관, 국무부 장관, 부통령, CIA 국장, 국가정보국장 등이 포함돼 있던 시그널 채팅의 내용을 검토한 결과, 해당 채팅은 공유 당시 기밀 정보일 뿐 아니라, 공개될 경우 전투원들을 위험에 빠뜨릴 수 있는 작전상 민감한 정보였다.
필자의 의견에 그치지 않는다. 소셜 네트워크에 자신의 관점을 게시한 전직 해병대 F/A-18 조종사 에이미 맥그래스(Amy McGrath)의 의견은 다음과 같다. “이 정보는 작전 전과 작전 중에 기밀로 분류되는 것들이다. 누구나 알고 있는 사실이다. 작전 보안(OPSEC)의 기본이다. 80회 이상의 전투 임무를 수행한 F-18 전투기 조종사로서 단언한다. 공격 임무의 발사 시간은 절대적으로 기밀이다”라고 그녀는 말했다.
시그널은 오늘날 여러 정부 기관에 의해 사용되고 있다. 이들 기관의 수장들이 채팅에 참가하고 있다. 특정 수준의 기밀 정보가 이러한 채팅방에서 논의되어야 하는지 여부가 결정되어야 한다. 향후 적절한 기관에서 추가 조사를 통해 판단해야 할 것이다.
적어도 문제의 그룹 채팅 참여자 중 적어도 한 명의 참가자가 모스크바에 있는 인물이었다는 점을 감안하면, 또 러시아의 통신 정보 수집 능력과 모바일 기기를 해킹하는 능력의 정교함을 고려하면 현재 상황은 꽤 심각하다고 할 수 있다.
위반 사항 #2 – 부적절한 개인을 포함시킴
백악관 국가안보보좌관인 마이크 월츠가 왜, 어떻게 골드버그를 시그널의 이 비공개 그룹에 추가했는지는 아직 드러나지 않았다. 골드버그는 자신의 글에서 처음에는 장난이라고 생각했다며, 그저 대화를 지켜봤다고 설명했다.
채팅이 활성화되고 정확한 정보가 제공됨에 따라 그는 길가에 차를 세우고 예멘에서 미국에 의한 공격이 발생했다는 증거를 확인했으며, 그 후 자신이 목격한 것이 행정부의 지도부가 자신과 민감한 정보를 공유하는 것임을 알게 되었다고 설명했다. 필자는 판단으로는 이러한 사태가 인간의 실수에 기인한 것으로 보인다. 그러나 내부자의 부주의한 행동이 가장 큰 위험이 되곤 한다. 포네몬 인스티튜가 작성한 2025년 내부자 위험 비용 보고서에 따르면, 사고의 55% 이상이 부주의하고 악의적이지 않은 사용자 행동에서 비롯된 것으로 나타났다.
악의적이진 않았으나 부주의했던 내부자의 행동과 기밀 정보의 무단 공개가 향후 기소가 이루어질지 여부는 시간이 지나야 알 수 있을 것이다. 리얼리티 위너(Reality Winner)가 기밀 정보를 더 미디엄과 공유한 이후 그녀는 결국 징역형을 받았다. 마찬가지로, 기밀 정보가 알 필요가 없는 사람들과 잘못 공유된 사건에해도, 관련자는 수년 동안 징역형을 받은 바 있다.
어떤 사람들은 골드버그의 채팅방 포함이 실수가 아니었을 수 있다고 보기도 한다. 언론에 알리고, 그로 인한 폭로를 활용해 유럽의 동맹국들에게 미묘한 메시지를 전하려는 트럼프 행정부의 계산된 행동이라는 추측이다.
그러나 만약 그런 경우라면, 메시지는 미묘한 뉘앙스를 담아 그렇게 전달됐을 것이다. 전 영국 국방부 장관 그랜트 샤프스는 다음과 같이 말했다. “유럽이 안보에 더 많은 노력을 기울여야 한다는 데 동의한다. 하지만 키어 스타머 경은 미국에 영국이 앞장서서 주도했다는 사실을 상기시켜야 한다. 나는 영국 공군의 후티 반군에 대한 공습을 4회 승인했고, 영국 해군은 홍해 선박을 방어했다. 우리 군은 무역을 보호하기 위해 목숨을 걸었다. 워싱턴의 일부 사람들은 이 사실을 떠올려야 한다.”
위반 #3 – 신뢰가 지켜져야 하지만 행정부는 그것을 파괴했다
이번 ‘실수’가 드러난 진후 CIA 국장, 국가정보국장, 국방부 장관 등 주요 인사들은 이를 부인했다. 그들은 모두 기밀 정보가 논의되지 않았다고 주장했다. 그들의 변명은 전형적이었다. “모든 것을 부인하고 반박하라”는 공식 그대로였다. 그런 다음 그들은 골드버그라는 메신저를 집단적으로 공격했다.
행정부의 무책임한 태도는 통제권을 가진 사람들이 단순히 코스프레에 열중하고 있다는 인상을 줄 뿐이다. 채팅 중 국방부 장관은 “OPSEC이 양호했다”라고 강조했다. 그런데 이제 그는 OPSEC가 존재하지 않았다는 입장을 펼친다.
신뢰가 깨졌다. 책임자들이 속임수를 써서 모든 것이 의심스러워졌다. 사실 신뢰가 깨졌을 뿐만 아니라 산산조각이 났다고 말하고 싶을 정도다.
이 초보적 실수로부터 배울 수 있는 교훈
사이버 보안 리더들이 이 사건에서 배울 수 있는 몇몇 교훈이 있다.
먼저 모든 기업은 의사소통이 필요하며, 의사소통을 위한 수단이 존재해야 한다. 보호해야 하는 데이터에 적절한 수준의 보안을 제공할 수 있는 기술을 선택해야 합니다. 협업을 위해 시그널을 사용하도록 승인할 수 있다. 단 기업의 의사소통을 위한 기술을 선택할 때는 프로세스와 절차가 명확하게 열거되어 있는지 확인한 다음, 이를 꼼꼼하게 따라야 한다.
많은 사람들이 의도치 않게 타협하게 되는 경우를 조사하고, 발견된 후에는 시정 조치를 취해야 한다. 필자는 이 사례가 단발성 사건이 아니라고 느낀다. 좀더 조사한다면 시그널 플랫폼에서 관리 직원들 사이에 민감하거나 기밀 정보가 포함된 대화가 매일 많이 이루어지고 있다는 사실이 밝혀질 것이라고 본다. 시그널 앱을 통한 정보 공유가 보안 프로토콜을 위반하는지 여부를 확인하는 것은 어렵지 않을 것이다.
감사를 담당하는 이들이 소매를 걷어붙이고 국무부의 사례를 참고하여 이 비정부 인스턴트 메시징 앱이 얼마나 널리 사용되고 있는지 파악해야 할 것이다. 또 콘텐츠가 데이터 보존 대상인지도 확인해야 할 것이다.
마지막으로, 실수로 알 필요가 없는 사람과 정보를 공유하게 되었다면, 그 사실을 인정해야만 한다. 아무리 사소하거나 심각한 실수라도 인정하는 태도는 신뢰를 유지하는 데 큰 도움이 된다.
[email protected]
Read More from This Article: 칼럼 | 실수에서 뻔한 은폐까지··· 트럼프 행정부의 터무니없는 안보 실수
Source: News