"민감 시설에 휴대폰 무단 반입"··· 미 공화당 의원 보안 위반 논란

미국 하원의원(공화당 소속 앨라배마주 대표)이자 하원 국토안보위원회 간부 회원인 마이크 로저스가 최근 사이버톡크 회의 연설에서 몇 가지 고민해 볼 만한 발언을 했다. 그중 가장 시의적절했던 내용은 민감특수정보시설(SCIF)에는 아무도 휴대폰을 들고 들어가서는 안 된다는 것이었다. SCIF는 기밀정보나 민감 정보에 대한 전자 도청을 방지하기 위한 보안 시설이다.
 

SCIF 내부에 휴대폰이 반입됐다는 사실은 최근 미국 정가에서 많은 논란을 일으켰다. 하원 정보위원회 위원장 아담 쉬프(캘리포니아 주 대표 민주당 소속 의원)가 탄핵 심리를 열고 있던 하원 내 SCIF에 30명 이상의 공화당 소속 의원이 강제로 들어온 것이 발단이 됐다. 이들 중 일부는 휴대폰을 갖고 SCIF에 들어가는 모습이 사진에 찍혔고 몇 명은 SCIF에서 직접 트위터 메시지를 게재한 것으로 보인다. 하원의원 알렉스 무니(공화당 소속 웨스트버니지아 주 대표)는 본인의 트위터 계정에 음성 파일을 올리기도 했다.

고도로 보안을 유지해야 할 장소에서 안전하지 않은 것으로 여겨지는 기기가 SCIF 내에 반입된 이번 사태로 인해 국토안보위원회 위원장 베니 톰슨(민주당 소속 미시시피 주 대표 의원)은 SCIF 내부로 휴대폰을 반입한 의원을 ‘노골적인 보안 위반’으로 문책할 것을 요구하는 서한을 하원 수위관 폴 어빙에게 보냈다.

사이버톡스 회의의 공식 연설 이후 기자들과 나눈 대화에서 로저스는 의원들이 SCIF 내부로 휴대폰을 반입한 것이 문제가 있느냐는 질문에 “당연하다. 문제가 있다”라고 답했다. 그러나 SCIF에 휴대폰을 반입한 의원이 어떤 처벌을 받아야 하느냐는 질문에는 “본인은 지도부가 아니다”라며 구체적으로 답변하지 않았다.

의원이 소유한 휴대폰에 외국 악성코드가 심어질 위험
SCIF 내부에 휴대폰을 전화를 금지하는 중요한 이유는 외국의 적들이 악성코드를 휴대전화에 심어 도청 장치 또는 감시 장치로 악용하기 쉽기 때문이다. 기밀 회의나 다른 민감한 회의에서 정보를 캐내려는 해커(특히 국가의 지원을 받는 해커) 입장에서는 고위급 의원의 휴대폰이 훌륭한 표적이 된다.

로저스는 해외의 적에게 미국 국회의원의 휴대폰이 얼마나 탐나는 표적인지 잘 알고 있다. 그는 기자들에게 “3년 전 동유럽에 다녀왔더니 휴대폰에 러시아의 온갖 쓰레기 같은 것이 설치돼 있었다. 결국, 그 휴대폰은 폐기해야 했다. 지금은 그쪽에 갈 일이 있으면 일회용 전화기를 가져간다”라고 말했다.

SCIF 내 휴대폰 반입 사건이 엄청난 논란을 불러일으켰으나, 해당 트위터 메시지는 실제로 SCIF 내에서 올린 것이 아닐 가능성이 있다. 한 소식통은 배경 설명을 하면서 SCIF에 들어온 의원이 실제로 본인의 휴대폰을 이용해 외부와 통신할 수는 없었을 것이라고 주장했다. SCIF는 통신을 차단하는 휴대폰 전파방해 기술을 사용하기 때문이다.

이러한 전파방해 기술은 미국에서 불법이지만 특정 상황에서 사법 당국이 사용하는 것은 허용된다. 미국 의회의 안전한 활동을 책임지는 하원 수위관은 이러한 기술을 사용해도 무방한 면책권을 갖고 있을 가능성이 있다. 단, SCIF에 전파방해 기술이 적용돼 있다면, 어떻게 공화당 소속 의원이 SCIF 내부에서 보좌관을 비롯한 다른 사람과 통화할 수 있었는지는 확실치 않다.

배경 설명을 해 준 소식통에 의하면 의원 보좌관은 엄격한 보안구역 바깥쪽의 복도 안에 있었으며 의원과 얼굴을 보고 이야기를 나눈 후 SCIF 외부로 트위터 메시지를 전송할 수 있었다고 한다. 단, 그러한 메시지 전달이 구체적으로 어떻게 이루어지는지 역시 명확하지 않다. 무니가 트위터에 올린 소리 파일의 경우 본인이 해당 파일에서 직접 해명한 것처럼 휴대폰으로 한 것이 아니라 SCIF 내의 모종의 안전한 전화기를 이용한 것이었다.

수위관과 하원 정보위원회는 SCIF 내부의 전파방해 기술이 있는지, 어떻게 트위터를 통한 통신이 발생했는지 해명해 달라는 CSO의 요청에 답변하지 않았다.
 
지나치게 많은 연방 사이버 보안 기관
SCIF 보안 침해 사건이 관심을 끈 와중에, 로저스는 사이버톡스 회의의 공식 연설에서 큰 그림의 사이버 보안 정책 우선순위에 집중하는 모습을 보였다. 그중 한 가지는 새로 설립된 사이버 보안 및 인프라 보안 기관(CISA)을 강화하는 것이다. CISA는 로저스가 대변하는 미국 국가안보부 소속 부문이다. 그는 “이 시점에서 미국 의회와 행정부는 CISA가 원활히 운영될 수 있도록 최선을 다해야 한다. 모든 연방 정부 기관에 대해 CISA가 한목소리가 되도록 노력할 것이다"라고 말했다.

이런 목표를 달성하기 위해 로저스는 다른 정부 부서와 기관에 존재하는 사이버 보안실을 없애거나 CISA 내에 두고 싶은 것 같다. 그는 “개인적으로 우려되는 것은 다른 부서와 기관이 자체적인 사이버 보안실을 만드는 것이다. 여러 기관이 서로 기반을 약화하도록 두고 볼 수는 없다"라고 말했다.

이후 기자들과의 대화에서 로저스는 일례로 에너지부의 사이버보안, 에너지 보안 및 비상사태 대응실(CESER)은 CISA의 전국 사이버보안 및 통신 통합 센터(NCCIC)의 기능과 중복되므로 없앨 수 있다고 지적했다. 그는 “CISA가 책임을 맡아야 한다. 3~5곳의 여러 기관이 있을 필요가 없다. 그 기관은 CISA 산하에 있는 한, 보안 시스템을 갖출 수 있다. 따라서 하나의 독립체이다”라고 말했다.

선거 보안 입법은 “불필요”
마지막으로, 기자들과의 대화에서 로저스는 하원에서 통과된 3건의 선거 보안 법안에 대한 상원의 심의를 막기로 한 상원 원내대표 미치 맥코넬(켄터키 주 대표 공화당 소속 의원)의 최근 동의한다고 밝혔다. 문제의 법안들은 각각 정직한 광고법, 선거 보안법, 미국연방선거안전보장(SAFE)법이다. 2016년 대선 중에 문제를 일으킨 선거 보안의 여러 가지 측면을 다루고 있다.

그는 “최근의 기억으로는 그 어떤 주에도 어떤 선거 부정이 있었다는 증거는 없었다. 그 부분에 쓸데없이 참견할 필요가 없다. 우리가 동의하는 것은 언론 플랫폼을 통해 허위정보를 전파하려는 나쁜 행위자(일부는 정부의 지원을 받는 사람들이다)의 시도가 지난 수십 년간 있었다는 점이다. 그러나 선거 부정의 증거는 전혀 없었다. 따라서, 맥코넬은 그 부분에 손댈 필요가 없다는 것을 강하게 느꼈을 뿐이다"라고 말했다. ciokr@idg.co.kr