내부자 리스크와 조직 내부에서 일어나는 위협, 그리고 이런 위협이 현실화하기 전에 선제적으로 대응하는 방법에 대해 많은 논의가 이뤄지고 있다.
도널드 트럼프 미국 대통령의 비용 절감 조치에 대한 개인적 견해와 별개로, FBI, CIA, 사이버보안 및 인프라 보안국(CISA) 등 기밀 영역 직원들을 대규모로 해고하기로 한 결정은 내부자 리스크를 크게 증폭시킬 가능성이 높다.
트럼프 대통령은 2021년 1월 임기를 마치고 백악관을 떠날 때도 대량의 기밀 문서를 가져가는 등 이런 리스크에 무관심한 태도를 보였다. 하지만 그 위험성을 간과해선 안 된다. 정부 내부 직원이 초래할 수 있는 리스크는 1989년 이후 가장 높은 수준에 도달했다.
1989년 냉전 종식이 명백해졌을 때, 모든 소련 정보기관과 군 장교들은 변화를 감지하고 직위가 위태롭다는 사실을 깨달았다. 어떤 직급에 있든 상관없이 긴장과 불안이 뚜렷했다.
그중 일부는 생존을 위해 적대국에 손을 내밀었다. “모든 자료를 넘겨주겠다”라고 제안한 이도 적지 않았다. 일부는 새로운 거처를 찾았고, 또 일부는 거절당했다. 이 이야기를 꺼낸 이유는 개인적 위기 상황에서 신뢰의 기준이 무너지기 쉽다는 점을 언급하기 위해서다.
보안 인력의 개인적 위기가 리스크를 키우는 방식
이메일 보안 및 위험 관리 전문 사이버보안 회사 마임캐스트(Mimecast)의 CEO 마크 반 자델호프는 냉정한 의견을 전했다. 그는 “새 행정부의 정부 축소 추진으로 인한 급격한 인력 교체가 데이터 유출 리스크를 높이고 있다”라고 말했다.
그는 이어 “퇴사하는 직원들은 상당한 위험 요소를 갖고 있다. 2024 데이터 노출 보고서에 따르면 퇴사 직원의 80%가 조직을 떠날 때 가치 있는 지적 재산을 가져간다. 정부 직원이 퇴직할 때도 마찬가지지만, 데이터 접근성과 지정학적 가치를 고려하면 잠재적 결과는 훨씬 더 큰 규모일 수 있다”라고 진단했다.
연방 부처에서 실제로 인력 감축이 필요했는지 여부는 부차적인 문제다. 문제는 추진 방식이 극도로 위험해 보인다는 점이다. 일론 머스크의 지시에 따르는 정부효율화부(DOGE)는 인력을 파견해 미국 정부 네트워크와 데이터베이스를 탐색하게 했고, 이는 연방정부 디지털 인프라의 리스크를 증폭시키는 점화제가 됐다.
재무부에서는 한 직원이 DOGE 구성원들의 활동을 경고하는 이메일을 작성해 논란이 됐다. 이 이메일은 DOGE의 활동을 “재정 서비스국이 지금까지 직면한 가장 심각한 내부자 위협“으로 규정했으며, 이 내용이 언론에 널리 보도됐다.
혼란이 리스크를 초래한다는 것은 분명하다. 특히 이번 사태는 사람의 본성과 민감한 정보를 다루는 시스템의 특성이 혼합돼, 재앙을 초래할 수 있는 규모로까지 번질 가능성이 있다.
자델호프는 “전환기에는 주의력 분산이나 환멸로 인해 기밀 정보의 오용과 유출이 발생할 수 있으며, 퇴사하는 직원들이 핵티비즘이나 간첩 행위에 유혹을 느낄 수도 있다. 이런 변화의 혼란이 지속될수록 위협 탐지와 완화가 더욱 어려워진다”라고 지적했다.
역사상 가장 중대한 보안 침해 가능성
해당 이메일 작성자만 이런 우려를 표한 것이 아니다. 보안 전문가 브루스 슈나이어는 포린 폴리시(Foreign Policy)를 통해 “미국 정부는 역사상 가장 중대한 보안 침해를 경험하고 있을 수 있다”라고 경고했다.
문제의 경고 이메일을 작성한 재무부 소속 하청업체 직원과 연관된 부즈 앨런 해밀턴(Booz Allen Hamilton)은 해당 직원을 즉시 해고했다고 발표했다. 부즈 앨런 해밀턴은 미국 정부의 주요 계약업체로, 이 조치는 2024 회계연도에 기록한 106억 6,000만 달러의 수익을 보호하기 위한 것으로 보인다. 4분기 보고서에 따르면 이 회사 수익의 98%가 미국 정부 계약에서 발생한 것으로 조사됐다.
국가 안보 취약성 증가
모든 미국 정부 부처와 기관에는 내부자 리스크 관리(IRM) 팀이 존재한다. 각 팀과 CISO들은 현재 과중한 업무에 시달리고 있다. 전체 직원과 계약업체들은 불안정한 상태에 놓여 있으며, 이를 경고한 사람들은 직위에서 제거되거나 해고되고 있다.
중요한 질문은 행동 분석 도구의 기반이 되는 데이터 세트가 DOGE 구성원들의 개입 이후에도 같은 정확성과 신뢰성을 유지하고 있는지 여부다. 분석을 한 달 전과 같은 충실도로 수행할 수 있을까?
또한 CIA 직원을 비롯해 DOGE의 대규모 퇴직 제안을 수락한 직원 중 기관 차원의 IRM 팀에 소속된 이는 몇 명이었는지, 그리고 자델호프가 언급했듯이 평균적으로 퇴사하는 인력의 80%가 정보를 가져간다면 얼마나 많은 데이터가 유출되고 있는지도 의문이다.
조치로 인한 실제 피해 규모는 언제 드러날까?
수천 명의 정부 직원이 지난 몇 주 동안 직업적, 개인적 혼란을 겪었다. 대부분은 직장에 대한 충성도를 유지하겠지만, 다수의 법칙에 따라 신뢰를 깨는 사람이 발생할 수도 있다. 이들은 민감한 데이터를 훔치거나, 중요 데이터를 파괴하거나, 다른 유해 행위를 저지를 수 있다.
미국 방첩 및 보안 센터(NCSC)가 지난 12일 링크드인에 게시한 “모든 유출은 우리를 약화시킨다”라는 의견은 타당하다. NCSC는 해당 게시물에서 “기밀 정보의 무단 공개로 인한 실제 또는 잠재적 국가 안보 피해를 평가하기 위해 정부 전체에 걸쳐 피해 평가를 수행하고 있다. 정보 무단 공개는 적대국에게 미국의 가장 진보된 정보 출처와 방법을 제공할 수 있다”라고 언급했다.
이것이 예언적 발언인지는 아직 알 수 없으나, 앞으로 몇 달, 몇 년 동안 상당한 수의 피해 평가가 이뤄질 것으로 예상된다.
[email protected]
Read More from This Article: 칼럼 | DOGE의 직원 해고, 심각한 데이터 유출이 우려되는 이유
Source: News