미국 재무부의 결제 서버에는 미국 성인의 세금 신고 정보, 사회보장번호, 은행 계좌 번호 등이 저장돼 있다. 이 서버는 지구상에서 가장 높은 보안 수준을 갖춘 시스템 중 하나일 것이다.

그러나 일론 머스크의 정부효율부(Department of Government Efficiency, DOGE) 직원들은 지난 1월 20일부터 재무부 사무실에 들어가 서버 접근 자격 증명을 요구하는 것만으로도 해당 시스템에 접근할 수 있었던 것으로 보인다.

여전히 모호하고 공식적으로 확인되지 않은 DOGE와 관련한 믿기 어려운 사건들은 최근 미국 지방법원 판사 폴 엥겔마이어가 내린 판결문을 통해 드러났다. 이는 DOGE팀의 조치에 반대해 19개 주가 제기한 소송에 대한 판결이었다.

엥겔마이어는 이번 판결에서 DOGE 직원드의 재무부 결제 서버 접근을 일시적으로 차단하고, 지금까지 팀원들이 다운로드한 모든 데이터를 즉시 삭제할 것을 명령했다.

엥겔마이어는 현재의 형태로 DOGE에 접근을 허용하는 것은 행정절차법(Administrative Procedure Act, APA)이라는 법적 요건을 위반할 뿐 아니라 권력 분립 원칙과 미국 헌법의 ‘성실 집행 조항(Take Care Clause)’에도 반한다고 판결했다.

또한, 승인되지 않은 DOGE 직원들의 추가 접근은 “회복할 수 없는 피해(irreparable damage)”를 초래할 위험이 있다고도 판시했다. ‘회복할 수 없는 피해’란 추후 법적 조치만으로는 구제할 수 없는 심각한 결과를 의미하는 법률 용어다.

판결문에서는 그 이유에 대해 “새로운 정책이 민감하고 기밀인 정보가 유출될 위험을 초래할 뿐 아니라 해당 시스템이 이전보다 해킹에 더욱 취약해질 위험이 증가했기 때문”이라고 설명했다. 즉, 승인되지 않은 사람이 모니터링 없이 해당 서버에 접근하도록 하는 것은 데이터 유출로 이어질 위험이 있다는 의미다.

머스크 “완전히 말도 안 되는 일”

이번 판결은 트럼프 대통령 취임 이후 새롭게 부각된 예상치 못한 정책적 충돌을 반영한다. ‘기존의 보안 관련법과 규정을 위반할 위험이 있음에도 불구하고 대통령이 임명한 관료들은 행정 명령에 따른 권한을 어느 정도까지 행사할 수 있는가?’라는 문제를 제기한다.

적어도 현재로서 엥겔마이어의 답은 먼 곳에 있지 않다. 그는 민감한 시민 및 개인 데이터를 보관하는 서버에는 반드시 재무부 내에서 적절한 보안 인가를 받은 직원만 접근할 수 있어야 한다고 판결했다.

연방 공무원 조직을 개편하고 축소하려는 캠페인을 지속하고 있다는 점을 고려하면 백악관이 이번 판결과 이를 촉발한 소송에 강하게 반발한 것은 놀라운 일이 아니다.

백악관 대변인 해리슨 필즈는 언론에 배포한 성명에서 “정부 효율성을 앞세운 과장된 주장들은 트럼프 행정부와 협력해 정부의 낭비, 사기, 남용을 근절하기 위해 노력하는 것보다 법적 술책으로 절실히 필요한 변화를 지연시키려는 사람들의 본성을 보여준다”라고 말했다.

한편 머스크는 X에서 DOGE팀의 접근을 통해 발견한 재정 낭비를 비난했다. “어제 들은 바로는 현재 연간 1,000억 달러 이상이 사회보장번호나 임시 ID 번호조차 없는 개인들에게 지급되고 있다고 한다. 만약 이게 사실이라면, 매우 수상한 일”이라며 “이건 완전히 말도 안 되는 일이며, 즉각 해결해야 한다”라고 덧붙였다.

머스크 발언에 대해 할 수 있는 반론은 문제의 핵심이 접근의 목적이 아니라, 낭비 조사를 맡은 인물이라 하더라도 보안 인가 절차는 반드시 적용되어야 한다는 원칙이라는 점이다.

‘사실’이 부족한 상태

종종 그렇듯이 이번 판결도 사건의 전체적인 맥락을 완전히 드러내지는 않는다. IT 서비스 및 컨설팅 기업 인텍섹(IntegSec) 창립자 미셸 챔버랜드는 “편의성을 위해 보안이 어느 정도까지 훼손되었는지 판단하기 어려워졌다”라고 지적했다.

챔버랜드는 “어떤 시스템에 접근했는지, 어떤 특정 데이터에 접근했는지, 어떤 수준의 접근 권한이 부여됐는지에 대한 정확한 세부 정보가 없다. DOGE팀이 사회보장번호를 유출했을 가능성이 있다는 주장은 현재로서는 완전히 추측에 불과하다”라고 인터뷰에서 밝혔다.

한 가지 해결책은 DOGE가 자신들의 접근 방식과 범위를 보다 명확하게 설명하는 것이다.

챔버랜드는 “DOGE가 할 수 있는 첫 번째 일은 정확히 어떤 데이터 어떤 방식으로 접근했는지, 어떤 수준의 권한이 부여됐는지 보다 투명하게 공개하는 것이다. 이들 시스템의 보안 등급에 대해서도 확인할 필요가 있다. 정부 기관의 모든 시스템이 높은 보안 등급을 가진 것은 아니다. 보안 인가가 필요한 시스템에 접근하지 않고도 대부분 혹은 모든 작업을 수행했을 수도 있다”라고 덧붙였다.

다만 챔버랜드는 직원에 대한 신원 조사가 필수적이라는 데는 동의했다. DOGE가 이런 정보를 공개하면 현재의 보안 우려를 상당 부분 해소할 수 있을 것이다.

머스크의 DOGE가 법적 조치를 유발할 만큼 논란을 일으킨 것은 이번이 처음은 아니다. 2주 전 제기된 한 집단 소송에 따르면, DOGE팀은 미국 인사관리국(Office of Personnel Management, OPM)의 이메일 시스템을 통해 연방 공무원들에게 이메일을 보냈으며, 이 방식이 2002년 전자정부법(E-Government Act)을 위반했고 보안상 취약했다는 주장이 제기됐다.
dl-itworldkorea@foundryco.com