‘막을 수 있었던 배신과 방치’··· 테세이라 유출 사건 이모저모

최근 미 공군의 젊은 사이버 전문가가 군사 기밀 문서를 유출한 사건이 일어났다. 이 사건은 신뢰가 얼마나 쉽게 깨질 수 있는지를 보여준다.

신뢰(Trust)는 정보 보안 분야에서 흔하게 사용되는 단어다. 모든 인스턴스에 데이터를 보호하는 환경과 문화를 조성하는 의미의 ‘제로 트러스트’가 있는가 하면, ‘내부자 신뢰’라는 용어도 있다.
 

신뢰가 깨지면 그 결과는 치명적일 수 있음
최근 공개된 미 공군 예비역인 잭 테세이라 사건에 대한 공군 감찰관의 보고서는 기밀 정보의 잘못된 취급, 최소 권한 접근 위반, 그리고 예상되는 생활 패턴에서 벗어나 방황하는 테세이라를 발견하고도 책임을 다하지 못한 동료들의 이야기를 들려준다. 사이버 방어 작전 전문가인 21살의 테세이라가 소셜 미디어 플랫폼 디스코드에서 우크라이나 전쟁과 관련된 기밀 문서를 유출한 사건은 아무리 엄격한 환경일지라도 신뢰가 쉽게 무너질 수 있음을 시사한다.

테세이라 유출 사건이 국방부 내부자 위험 관리에 대한 신속한 변화를 촉진
무단 유출의 피해를 과소평가하지 않도록 로이드 오스틴 미 국방부 장관은 45일 동안 무단 유출에 대한 보안 검토를 거친 후 후속 조치에 대한 행정 문서를 발표했다. 국방부 내 내부자 위험을 해결하고 사용자 활동 모니터링(UAM)을 보장하기 위해 내부자 위협 및 사이버 역량을 위한 합동 관리 사무소를 신설하는 내용이었다. 이 보고서는 내부자 위험 문제를 해결하는 것 외에도 기밀 자료 관리에 대한 신뢰와 책임, 기밀 공간 내 전자 기기를 포함하는 환경에 대해 더 세심한 주의를 기울여야 함을 강조하고 있다.

하지만 이마저도 모든 유출을 막는 데는 다소 부족할 수 있다고 DTEX 시스템의 공동 설립자이자 CTO인 라잔 쿠는 지적했다. 쿠는 “UAM에 대한 요구사항은 10여 년 전에 만들어졌으며 사용자 감시에 초점을 맞추고 있다. 캡처된 데이터는 데이터 유출이 발생한 후에만 유용하다. 즉, 대부분의 UAM 도구는 첫 번째 인스턴스에서 유출이 발생한 후에도 유출을 막기 위한 조치를 취할 수 없는 사후 대응적인 데이터를 캡처한다”라고 말했다.

개인이 정보 보호의 가장 약한 고리라고 흔히들 말한다. 또 개인이 전체 보호 스키마를 하나로 묶는 핵심축이므로 가장 강력한 연결 고리가 되어야 한다는 주장도 있다. 테세이라 사건 상층부의 이번 조치는 사이버 보안을 위해 ‘개인’을 중시해야 한다는 점을 뚜렷이 보여준다. 단 그것이 전부인 것은 아니다. 공군 감찰관 역시 ‘감독 부족’과 ‘안일함의 문화’를 모두 지적하고 있다.

관심을 가져야 할 사람들이 관심을 갖지 않으면 보안의 사슬은 끊어짐
보고서는 “102d 정보지원대대(102 ISS)의 컴퓨터/IT 전문가인 A1C 테세이라에게는 TS/SCI 플랫폼인 합동세계정보통신시스템(JWICS)을 비롯한 수많은 기밀 시스템에 접근했다. 시스템 유지보수를 위한 권한을 이용했다”라고 지적했다. 테세이라가 기밀 정보를 입수하고 디스코드 채팅방에 게시하기 시작했을 때 이미 정상 범위를 넘어서고 있었던 셈이다 보고서는 그의 보고 체계와 경영진이 알고 있는 “의심스러운 활동의 최소 4가지 사례”가 어떻게 발생했는지 계속해서 설명하고 있다.

보고서에 따르면 102 ISS에는 테세이라와 같은 직책을 가진 사람들이 포함되어 있었다. 즉 이들은 임무와 네트워크 운영의 범위를 잘 이해하고 있었다. 감찰관은 그의 행동이 “알아야 할 필요성”을 넘어섰다고 전했다. 그는 네트워크를 통해 전달되는 기밀 정보에 대한 정보 분석을 수행하는 것이 아니라 시스템을 유지하는 것이 임무인 IT 전문가였다. 이 사실이 중요하다. 그리고 그의 상관들도 이를 알고 있었다.

그가 기밀 내용을 메모하는 것이 관찰되었고, 기밀 정보에 대해 구체적인 질문을 하는 것 또한 관찰됨에 따라 의문이 제기됐다. 이러한 비정상적인 행동은 ‘기록 문서’에도 언급돼 있다, 그의 동료/상사는 그를 질책하긴 했지만, 정작 필요했던 조치는 이뤄지지 않았다. 이 사건은 ‘적절한 보안 담당자에게 보고되지 않았다.’ 102 ISS 내 사람들은 이 사건을 대대 차원에서 내부 비밀로 유지했다. 마치 기밀 자료, 그것도 이들 개인이 작성자가 아닌 자료가 침해되었을 가능성이 있다는 사실을 사무실 외부에 알릴 필요가 없다는 듯이 말이다.

공군 보고서는 모든 수준에서 연쇄적인 보안 실패를 찾아냄
공군 보고서의 조사 결과는 냉정하다. 
 

“무단 공개 사건의 주요 원인은 A1C 테세이라는 한 개인의 고의적인 행동으로 추정된다. 그러나 무단 공개가 발생하고 장기간에 걸쳐 지속될 수 있었던 데에는 직간접적인 여러 가지 요인도 작용했다.”

“각종 증거에 따르면 A1C 테세이라의 감독 체계에 속한 3명의 개인이 보고해야 할 보안 사고와 잠재적 내부자 위협 지표에 대한 4건의 개별 인스턴스에 대한 정보를 가지고 있었다. 이 세 사람 중 한 명이라도 사건 발생 당시 보유하고 있던 정보를 제대로 공개했더라면 무단 유출의 길이와 깊이를 몇 달 정도 줄일 수 있었을 것이다.”

워싱턴 포스트 보도에 따르면 공군 방위군 소속 15명이 IG 조사 이후 징계를 받았다. 

최근 국방정보국(DIA)이 주최한 DoDIIS 월드와이드 컨퍼런스에서 국방정보국의 CIO인 더글라스 코사는 인공지능(AI)을 사용하여 사용자의 비정상적인 행동을 감지하고 직원에게 사전 예방적으로 경고하는 정보대응/방첩 활동에서 JWICS의 업데이트가 어떻게 도움이 되는지 설명했다.

그는 테세이라를 예로 들며, 초기에 그의 비정상적인 행동이 어떻게 위험을 증가시켰는지 파악하고 선제적으로 대응할 수 있는 기회였을 수 있다고 주장했다. 그는 JWICS의 구조가 글로벌, 상시 가동, 상시 사용 가능(광역 네트워크를 그려보라)이며 원거리 네트워크는 로컬의 책임이 된다는 점을 강조했다.

DIA의 최고 데이터 책임자 대행인 맥 타운센드는 또한 업데이트된 JWICS가 생활 패턴의 이상 징후를 감지할 수 있게 됨에 따라 사전 예방적 참여의 기회를 제공할 것이라고도 강조했다.

테세이라 사건의 교훈 
보안 문화가 부실하다면, 개인이 보호 대상 정보에 대한 위험을 증가시키는 행동을 할지라도 이를 식별하도록 설계된 프로세스, 절차, 신원 조회 및 기술만으로는 부족하다. 매 경우 바람직한 일을 하려는 의지가 없다면 실제로는 자의적인 행동과 의사 결정의 토대 위에 세워진 엉성한 계획에 불과하다. 신뢰는 모든 보안 체제의 기초이다. 보안에 대해 지속적이고 일관되게, 그리고 양심적으로 생각하지 않는 사람일지라도 자신의 고용 안정성은 신경쓰고자 할 것이다. 

* Christopher Burgess는 보안 분야를 다루는 전문 기고가다. 시스코에서 보안 자문을 역임했고 데이터 및 보안 분야의 여러 기업에서 CEO와 COO 직무를 수행했다. ciokr@idg.co.kr