일론 머스크가 지난 10일간 ‘정부효율부(Department of Government Efficiency, DOGE)’ 프로젝트를 통해 보여준 놀라운 일련의 행동은 미국 정부에서 가장 민감한 컴퓨팅 시스템의 사이버보안 위험을 급격히 높였다는 평가를 받고 있다.

머스크와 머스크의 젊고 경험이 부족한 엔지니어팀(구성원 중 최소 한 명은 미국 시민이 아닌 것으로 알려짐)은 사이버보안 및 개인정보 보호 전문가들 사이에서 심각한 우려를 불러일으키는 여러 가지 공개적인 조치를 취했다.

전문가들은 이런 행동이 몇 가지 기본적인 보안 원칙을 위반하는 것이며, 미국 정부의 매우 민감한 시스템을 멀웨어에 노출시킬 수 있고 사이버 범죄자 및 국가적 적대 세력에 새로운 공격 경로를 열 수 있다고 주장했다.

DOGE가 한 일

지난 31일(현지시간) 미 재무부 재정차관 데이비드 레브릭이 갑작스럽게 자리에서 물러났다. 이는 트럼프와 연관된 관료들이 특정 단체에 대한 연방 정부의 지원금 지급을 중단하는 데 관심을 표명한 이후 발생한 것으로 알려졌다. 레브릭 퇴사 후 재무부는 결국 머스크의 측근들에게 미 재무부의 연방 지불 시스템에 대한 전면적인 접근 권한을 부여했다. 이 시스템은 수조 달러의 정부 지출을 처리하는 핵심 인프라다.

같은 날 머스크의 측근들은 미국 인사관리국(Office of Personnel Management, OPM) 소속 일부 고위 공무원들이 ‘통합 인적자원 시스템(Enterprise Human Resources Integration)’에 접근하지 못하도록 차단하고, 그 대신 DOGE 직원들이 접근할 수 있도록 허용했다. 이 시스템에는 연방 공무원 수백만 명의 개인정보가 포함돼 있으며, 생년월일, 사회보장번호, 인사 평가, 자택 주소, 급여 등급, 근무 기간 등의 민감 정보가 저장돼 있다.

해당 기관 내에서는 우려가 커지고 있으며, 일부 관료들은 이번 사태가 “실질적인 사이버보안 및 해킹 위험을 초래한다”라고 지적했다.

이전에도 OPM과 관련한 논란이 있었다. 당시 머스크와 그 팀은 ‘HR.gov’라는 이메일 주소를 설정해 마치 머스크와 관련한 이메일 시스템이 OPM에서 발송된 것처럼 보이도록 했다. 이후 머스크의 팀은 연방 정부에서 사직 의사를 밝힌 직원들에게 ‘사직(resign)’이라는 단어를 회신하도록 요청하는 이메일을 발송했으며, 이로 인해 일각에서는 악의적인 행위자가 이 응답을 위조하면 본인도 모르게 연방 공무원직에서 강제로 사직 처리될 수 있다는 우려를 표명했다.

해당 이메일에 대한 회신은 연방 정부가 아닌 머스크의 직원 아만다 스케일스에게 전달됐다. 당시 머스크의 AI 기업 xAI에서 근무하던 스케일스는 이후 OPM의 비서실장으로 임명됐다. 이 사건으로 인해 공무원 출신이자 OPM의 CIO였던 멜빈 브라운이 사임했다.

1일에는 미국 국제개발처(US Agency for International Development, USAID)의 보안 책임자와 부책임자가 DOGE 직원들의 USAID 보안 시스템 접근을 거부했다가 행정 휴직 처분을 받았다. 소식통에 따르면, DOGE 팀은 기밀 정보에 접근할 수 있는 보안 수준을 갖추지 않은 직원 일부를 포함해 인사 파일과 보안 시스템, 심지어 기밀 시스템까지 접근을 시도했다. 해당 시스템에는 USAID 직원들의 보안 인가 정보도 포함돼 있었다.

DOGE 대변인은 “적절한 보안 인가 없이 기밀 자료에 접근한 사람은 없다”라고 주장했다. 머스크는 X에 USAID를 “없애야 한다”라고 게시하며 별다른 증거 없이 해당 독립 기관을 “범죄 조직”이라고 비난했다. 이후 머스크는 트럼프와 자신이 USAID를 폐쇄하고 기관 직원들에게 출근하지 말라고 지시했다고 말했다.

또한 지난 한 주 동안 미국 총무청(General Services Administration, GSA) 산하 기술 혁신 서비스(Technology Transformation Services, TTS) 직원들은 머스크 팀과의 회의에 소환돼 현재 작업 중인 코드와 프로젝트에 대해 논의했다. TTS는 분석 도구, API 플러그인 등 정부 기관이 기술을 보다 신속하게 배포하도록 지원하는 플랫폼과 도구를 개발하는 조직이다. 현재 TTS의 수장은 테슬라에서 근무했던 토마스 셰드가 맡고 있다. 일부 DOGE 직원들은 아직 GSA에서 제공하는 노트북을 지급받지 못한 상태였는데, 이는 개인 기기를 이용해 정부 시스템에 접속했다는 의미다.

권한을 쥔 머스크

재무부 자금 지급 중단이나 USAID 폐지 결정과 같은 머스크의 조치, 혹은 머스크가 의도한 조치는 법적으로 논란의 여지가 있을 수 있지만, 트럼프가 DOGE 운영을 위해 서명한 행정명령에 따른 것이다. 이 행정명령에 따라 머스크가 기밀 정보에 접근할 수 있는 권한은 사실상 무제한인 것으로 보인다.

보안 엔지니어 매튜 개럿은 연방 정부에서 근무한 경험은 없지만 관련 인사들과 접촉해 왔으며, 해당 행정명령이 연방 기관이 시스템에 적용하는 모든 기술적 보안 장치를 무력화하는 것으로 이해하고 있다고 말했다.

개럿은 필자와의 인터뷰에서 “아무리 보안이 철저한 시스템을 구축했다 하더라도 누군가에게 접근 권한을 부여하라는 명령을 받으면 선택지는 2가지뿐이다. 권한을 넘겨주거나, 정직이나 해고 등의 불이익을 감수하는 것이다. 결국 다음 사람이 그 일을 대신할 뿐이다”라고 설명했다.

사이버 위협 얼라이언스(Cyber Threat Alliance) 회장 겸 CEO 마이클 다니엘은 머스크의 전례 없는 조치들이 법적으로 어떻게 해석될지 예측하기 어렵다고 인정하면서도 머스크와 직원들, 그리고 이에 협조한 정부 관료들이 심각한 법적 결과에 직면할 수 있다며 “개인정보 보호법을 포함해 각종 법률 위반 가능성이 있다”라고 말했다.

다니엘은 “사이버보안의 기술적인 문제를 논의하기 전에, 기본적인 거버넌스 자체가 불투명한 상황이다. 좋은 사이버보안의 기본 원칙은 네트워크에 누가 로그인하는지, 그들이 어떤 역할을 맡고 있는지 명확히 아는 것이다. 지금 상황에서는 개인정보 침해, 데이터 오남용, 금전적 이득을 위한 악용, 정치적 보복 등의 위험이 무수히 존재한다”라고 경고했다.

민주주의 수호 재단(Foundation for the Defense of Democracies) 산하 사이버·기술 혁신 센터(Center on Cyber and Technology Innovation)의 선임 디렉터 마크 몽고메리는 “연방 시스템 접근에는 엄격한 거버넌스 통제가 적용된다. 이런 통제가 면제되거나 무시되는 정도에 따라 위험이 발생하는데, 이는 용납할 수 없는 일이다. 이런 접근이 너무 빠르게 이뤄진 점이 우려된다. 거버넌스 통제가 제대로 준수되지 않았을 수도 있다는 생각이 든다”라고 말했다.

가장 큰 우려는 멀웨어와 인증 정보 악용

개럿이 가장 우려하는 사이버보안 문제는 머스크의 일부 직원들이 개인 기기를 사용해 민감한 정부 시스템에 접속하고 있다는 점이다. 개럿은 “사용자의 컴퓨터에 악성코드가 실행되고 있다면, 다운로드한 모든 파일이 악성코드 운영자에게 전송될 수 있다”라고 설명했다.

정부 정책은 신뢰할 수 있는 기기만 네트워크에 연결할 수 있도록 명확하게 규정하는 것이 이상적이다.

그러나 개럿은 “해당 기관의 기술 리더십에 충분한 영향력을 행사할 수 있다면, 이런 보안 조치를 해제하고 누구에게든 접근 권한을 부여할 수 있는 위치에 서게 된다. 외부에서 가져온 개인용 PC를 부서 네트워크에 직접 연결했다는 주장이 이미 여러 차례 제기된 상황이다. 해당 기기들이 어떤 보안 정책을 따르고 있는지조차 알 수 없다”라며, 머스크의 직원들과 정부 기관이 적절한 보안 정책을 준수하지 않는다면 “다운로드한 모든 데이터가 유출된 가능성이 있다고 가정해야 한다”라고 강조했다.

사이버 공격자가 머스크 팀의 인증 정보를 악용할 수도 있다. 개럿은 “공격자는 사용자가 시스템에 로그인할 때까지 기다렸다가 해당 기기를 거쳐 시스템에 직접 로그인한 뒤, 사용자가 보고 다운로드한 자료뿐 아니라 사용자가 접근할 수 있는 모든 데이터를 가로챌 수 있다”라고 말했다.

사이버 위협 얼라이언스의 다니엘은 “모든 우려가 타당해 보이지만, 가장 근본적인 질문이 있다. 도대체 어떤 기업이 사람들이 그냥 들어와 기기를 네트워크에 연결하도록 내버려두는가? 이 사람들은 도대체 누구인가, 실제 연방 공무원인가? 계약직인가? 신분도 불분명하고 이런 일을 할 권한이 있는지도 알 수 없는 사람들이다”라고 언급했다.

이어 “어떤 기업이 사전 조사를 하지 않고 이력서도 확인하지 않은 사람을 채용하겠는가? 민간 기업 관점에서 보더라도 단순히 모든 데이터를 넘겨주는 것은 말도 안 되는 일이다. 어느 기업의 법률 고문도 이런 결정을 긍정적으로 평가하지 않을 것”이라고 강조했다.

문서 기록의 필요성

개럿이 제기한 또 다른 주요 우려사항은 머스크가 단순히 정부 데이터를 범죄자나 국가 후원의 적대 세력에게 노출시킬 수 있다는 점뿐 아니라, “정부 부처 시스템이 랜섬웨어에 감염될 경우 어떤 영향을 미칠지 고려해야 한다”라고 지적했다.

개럿은 “현재 이 데이터가 적절한 방식으로 백업되고 있다고 신뢰할 수 있는가? 기존의 기술적 운영이 정상적으로 이뤄지고 있는가? 고위 권한을 가진 사람이 이 데이터를 읽고 있다면, 그들 중 얼마나 많은 사람이 수정 권한을 갖고 있는가? 국가 차원의 적대 세력이 이 데이터를 의도적으로 조작한다면, 그 결과는 어떻게 될 것인지 고려해야 한다”라고 말했다.

정보 보안이 불안정한 상황에서 연방 정부 내 사이버보안 담당자들은 DOGE 팀의 활동을 면밀히 감시하며 모든 사건을 철저히 기록해야 한다. 자신들을 보호하기 위한 최소한의 조치이기도 하다.

개럿은 “그런 상황에 처한 사람이라면 이 사태가 자신이 아닌 다른 사람의 책임이라는 점을 입증할 수 있도록 모든 증거를 남기려고 할 것”이라고 덧붙였다.
dl-itworldkorea@foundryco.com