• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

미국정부의 개인정보관리방식에 공무원들 뿔났다! 2015.06.15

도대체 공무원 개인정보 관리를 어떻게 했냐는 비난의 화살

실제로 문서 암호화가 해킹과 큰 연관 없어도 어이없는 사실


[보안뉴스 주소형] 미국 연방정부공무원노조연합(AFGE)이 들고 있어났다. 최근 발생한 미국 연방 인사관리처(OPM) 전산시스템 해킹사건의 영향이다. 연방정부가 그 동안 공무원들의 지극히 개인적인 정보들을 대부분 암호화 시켜놓지 않았다는 사실이 제기되면서 파장이 확산되고 있는 것이다.

 


미국 연방정부공무원노조연합의 데이비드 콕스(David Kox)대표는 연방정부의 총괄 책임자인 캐서린 아츌레타(Katherine Archuleta)에게 공식 편지를 보냈다. 편지내용을 정리해보면 다음과 같다.


“연방정부의 발표에 따르면 해커는 작정을 하고 공무원들의 개인 식별 정보를 노렸다. 여기에는 전·현직 공무원들의 사회보장번호(SSN), 군사기록, 참전병 상태 정보, 주소, 생일, 재정상태, 보험현황, 나이, 인종 등이 포함되어 있다. 즉 개인식별 기밀 문서의 결정판이라고 할 수 있다. 믿고 싶지 않지만 연방정부는 이러한 공무원들의 개인 정보들을 암호화해놓지 않은 것으로 파악하고 있다. 이는 연방정부의 사이버보안 실패를 의미하며 가히 충격적 현실이다.”


AP통신은 이와 관련해 정부의 익명 관계자를 인용하여 암호화되지 않았다는 문서들은 1980년대 전직 연방 공무원들의 파일이라고 보도했다. 


그런데 사실 이와는 별개로 아예 새로운 의문점도 있다. 이번 사건이 실제로는 지난 2014년 12월에 발생했다는 것이다. 무슨 이유 때문인지 정부는 해당 사건이 정확히 어느 시점에서 어떻게 발생했는지 똑 부러진 해명 및 정확한 공식 발표를 하지 않고 있어 더욱 의혹이 증폭되고 있는 상황이다.

 

하지만 또 다른 의혹도 있다. ABC뉴스에 따르면 OPM에 대한 최초의 침입은 1년 전보다 더 이전에 있었으나 당시에는 침입이 있었다는 사실 조차 감지하지 못했으며, 해당 해커는 OPM 시스템의 각기 다른 4개의 세그먼트(segment)를 통해 공격했다는 것. 월 스트리트 저널(Wall Street Journal)의 경우 침입이 발견된 것은 지난 4월 중순 경으로 싸이테크(CyTech)라는 보안업체에 의해 밝혀졌다고 보도하기도  했다.


이번 사건의 실제 피해 규모가 점점 확대되고 있는 가운데 연방정부가 민감한 기밀정보에 대해 암호화를 아예 하지 않았거나 제대로 하지 않았다는 사실로 관심이 쏠리고 있다.


OPM은 그들이 현재 관리하고 있는 공무원 개인 정보는 3,000만 건이 넘는다고 밝혔다. 그런데 해당 문서들을 전부 암호화 작업을 해놓지 않았다는 강한 추궁을 AFGE로부터 받고 있다. 또한 진상규명을 요구하는 그들의 항의는 앞으로 더욱 거세질 것으로 보인다.


“이번에는 확실히 짚고 넘어가야한다. 도대체 정부가 관리하고 있는 민감한 개인정보들을 어떻게 제대로 암호화 해 놓지 않았다는 것인지 확실한 설명이 필요하다. 이는 용납할 수 없는 일이다.” 시큐어 채널(Secure Channels)의 공동설립자이자 CEO인 리차드 블리치(Richard Blech)가 말했다. “정부가 그런 민감 문서들을 암호화하지 않은 채 관리하고 있었다는 것은 변명의 여지가 없는 일이다. 거의 날 잡아잡수 해놓은 것과 다름없다.”


문서 암호화만 했어도 1차적인 방어는 가능하다. 특히 해커가 가능한 로그인 계정 정보를 탈취하여 활용했다 치면 적어도 그에 대한 방어는 이뤄졌을 것이다. 그런데 문서를 암호화시키지 않음으로 인해 해커는 관리자와 완전히 동등한 수준의 정보접근이 가능해지는 것이다.


반면 일각에서는 암호화 여부가 그렇게 중요한 것은 아니라는 의견도 있다. 허가가 된 로그인 정보를 탈취하는 수법을 활용했을 가능성이 높기 때문에 암호화 여부는 이번 사건의 피해를 막을 수 없었을 것이라는 것. “사실 암호화야 말로 보안에 대한 최고의 실천이다. 하지만 연방정부에서 기밀문서에 암호화를 하지 않았다는 사실도 크게 놀랍지는 않다.” IT 하베스트(IT-Harvest)의 수석 연구원인 리치 스티에논(Rich Stiennon)이 말했다.


“암호화의 경우 여타 다른 곳에서도 공격 방어의 가장 마지막 단계로 두거나 이미 많은 기업들이 무시하고 있는 실정이다. 암호화로 인해 키 관리가 상당히 복잡해지기 때문이다. 암호화를 하면 해당 정보들에 접속할 때마다 해독해야 하는 번거로움도 있다.”


“그리고 솔직히 암호화 하나로 완벽한 방어가 되는 것은 아니다. 해킹 성공 여부에 큰 영향을 끼치는 일은 아니라는 말이다. 암호화되어 있어도 어차피 뚫린 곳은 뚫린다. 최근 발생한 미국국세청 해킹 사건의 경우만 봐도 모든 정보에 암호화해두었음에도 불구하고 해킹으로 유출됐기 때문이다.” 

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>