전문가칼럼

[전문가기고] 미국 기밀문서 유출은 관리적 보안의 중요성 일깨워

박춘식 아주대 사이버보안학과 교수
글: 박춘식 아주대 사이버보안학과 교수

물리적 보안, 기술적 보안, 관리적 보안을 통해서 일반적으로 보안 활동을 수행한다. 대부분의 사람들은 해킹이나 방화벽 등 기술적 보안에 대해서 많은 이야기를 하지만 이번 미국 기밀 문서 유출 사건에서 보는 바와 같이 문서나 인원 보안 등의 관리적 보안이 훨씬 더 중요함을 인식할 수 있다.

관리적 보안은 보안 조직이나 보안 전문 인력에 관한 것은 물론이고 법률 준수 등의 컴플라이언스 그리고 인원 보안이나 문서 보안은 물론이고 위험 평가나 위험 관리, 보안 감사 등 물리적 보안과 기술적 보안을 제외한 대부분의 조직이나 국가에서 일상적으로 행하고 있는 보안 활동은 대부분 관리적 보안 영역에 해당된다.

현재까지 언론을 통해서 알려진 이번 미국 국방부 기밀문서 유출 사건을 보면, 도청, 해킹, 인공지능(AI) 이용 등의 첨단 사이버 공격 등을 이용하여 유출된 것이 아니며, 러시아나 중국 등의 외부로 부터의 어떠한 공격으로 인한 것도 아니며, 정보 기관의 스파이 활동 등에 의한 고도의 준비된 공격에 의한 것도 아닌 것으로 알려지고 있다.

아무리 강력하고 첨단화된 고도의 고성능의 기술적 보안으로 점철된 조직의 보안 시스템(?)이라 할지라도, 너무나 깊이 신뢰하는 내부의 공격자에 의해서, 간단한 컴퓨터 사용 수준이라면, 언제든지 쉽게 유출될 수 있다는 사실을 이번 사고로 우리는 알 수 있다.

이번 기밀문서 사고로 짐작할 수 있는 미국 기밀문서 관리에서의 관리적 보안에서의 문제점으로, 첫 번째 비밀 분류의 부적절함과 과다 분류, 두 번째 허용 비밀 접근자 수의 과다와 접근자의 접근 문서 허용 범위의 과다, 세 번째 기밀문서 접근 통제와 반출 통제 등의 기밀문서 보안 관리에 대한 부재 등으로 추정된다.

첫 번째 비밀 분류의 부적절함과 과다 분류에서는 1급이나 2급 등의 기밀문서가 너무 많은 것은 아닌지 의심이 든다. 즉 언론에 알려진 유출된 비밀 내용을 보면 그 정도가 1급이나 2급으로의 분류가 적정한 지 비밀 분류가 얼마나 철저하게 이루어지는지, 다소 과다 분류된 느낌을 가지게 된다.

두 번째 비밀 접근자에 대한 과다에서는 2019년 기준 1급 비밀(Top Secret) 접근자가 125만 명, 2급 비밀(Secret) 접근자가 169만 명으로 공무원, 군인, 계약관련자, 기타 등 제대로 보안 관리하기에는 너무도 규모가 크다고 생각된다. 신원조회 등을 통한 최초의 비밀 취급 인가 시에만 검증을 엄격히 할 뿐 그 후의 지속적인 관리는 제대로 되고 있지 않음은 물론이고 비밀 접근자의 최소화 원칙, 비밀 접근자에 대한 최소한의 접근 원칙이나 접근마다의 실시간 통제나 관리가 이루어지고 있지 않은 것으로 추정된다.

세 번째는 잭 테세이라 일병이 300여건의 1급 기밀 문서 등을 출력하여 인쇄하고 외부로 반출하여 사진을 찍어 SNS에 올리는 황당무계한 일이 일어나고 있는데도 그 어떠한 제제나, 접근 통제나 반출 통제 등의 관리적 보안이 작동하고 있지 않았다는 것은 보안의 기본 중의 기본도 지켜지고 있지 않은 것으로 추정된다. 보안에서 신뢰라는 것이 얼마나 무섭고 위협적인 리스크 인지 그리고 기술적 보안만이 아니라 관리적 보안도 얼마나 중요한 것인지를 우리에게 새삼 일깨워주는 사고로 판단된다.

그럼, 우리나라 기밀문서 관리는 잘 관리되고 있을까. 보안을 잘하고 있어서 기밀이 유출되지 않거나 공격을 당하지 않는 것이 아니라 보안 사고를 제대로 인지하지 못하여 보안을 잘하고 있는 것으로 많이들 착각하고 있는 것이다. 보안은 사고가 발생하지 않으면 어떻게 관리되고 있는지 잘 모른다.

이번 미국 기밀 문서 유출 사고를 타산지석으로 삼아, 제로 트러스트 개념을 관리적 보안에도 적용하는 등 다시 한번 더 보안 점검과 예방 활동을 강화하면서 관리적 보안의 중요성에 대한 올바른 인식이 다시 한번 더 되새기는 기회로 삼았으면 한다.
박춘식 아주대 사이버보안학과 교수
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널