IT 관리자가 직원에게 보안 관련 베스트 프랙티스를 끊임없이 강조하는 이유를 떠올려보자. 어떤 앱을 써야 하는지, 어떤 앱을 피해야 하는지, 기업 네트워크에 연결할 수 있는 기기는 무엇인지 일일이 지침을 내리는 이유는 무엇일까?

IT 관리자가 이렇게까지 하는 이유는 무심코 위험한 행동을 할 수 있는 직원으로부터 기업의 데이터와 기밀 정보를 지키기 위해서다.

대표적인 사례가 최근 논란의 중심에 선 미국의 국방부장관 피트 헤그세스다. 헤그세스는 국가안보 고위 관계자들과 군사 공격을 논의하기 위해 시그널(Signal) 앱에 비공식 고위급 대화방을 개설했다. 그런데 어떻게 된 일인지, 대화방에는 국무장관, 재무장관, CIA 국장, 미국 부통령 J.D. 밴스뿐만 아니라 자유주의 성향 매체 ‘디 애틀랜틱(The Atlantic)’ 편집장 제프리 골드버그도 초대됐다. 믿기 힘들 정도로 어처구니없지만 실제로 벌어진 일이다.

필자는 첩보 영화를 좋아한다. 에서 게리 올드먼이 연기한 조지 스마일리 같은 인물을 보고 있노라면 몰입해서 숨을 쉴 수 조차 없다. 하지만 요즘은 첩보 영화를 보지 않는다. 현실에서 너무 어이없고 멍청한 일이 발생하다 보니 ‘현실에서는 이럴 리가 없어’라는 믿음이 무너졌다. 첩보극 같은 픽션이 더 이상 픽션처럼 보이지 않는다.

헤그세스와 일행이 벌인 일은 아직도 믿기 어렵다. 디 애플랜틱 편집장 골드버그도 마찬가지였다. 골드버그는 “미국의 국가안보 수뇌부가 임박한 전쟁 계획을 논의하면서 시그널이라는 대중적인 암호화 메신저를 사용할 거라고는 상상도 하지 못했다. 대통령의 국가안보 보좌관이 그런 대화에 디 애틀랜틱 편집장을, 그것도 미국 부통령까지 포함된 고위 관계자들의 대화방에 포함할 만큼 무모하다는 사실도 믿기 힘들었다”라고 말했다.

믿기 힘들겠지만 사실이다. 골드버그는 ‘후티 PC 소그룹(Houthi PC small group)’에 추가됐다. 이 가상 그룹은 예멘의 후티 반군을 대상으로 한 군사 공격 계획을 논의하기 위해 만들어진 방이다. 골드버그는 참여 의사를 묻는 절차 없이 일방적으로 추가됐다. 만약 이 대화방에 관리자가 있었다면, 그 사람은 자신이 무엇을 하고 있는지 전혀 인지하지 못한 채 행동한 셈이다.

처음에 골드버그는 이게 정교한 장난이 아닐까 의심했다. 그런 대화에 자신 같은 사람을 초대한 게 도대체 누구일까 싶었다. 그러나 곧 그 대화방에서 논의했던 대로 예멘의 반군을 향해 폭탄이 떨어지기 시작했다. 결국 골드버그는 이 고위 관계자들이 도대체 무슨 생각으로 이런 일을 벌인 것인지 따져 물을 수밖에 없었다.

미국 국가안보회의(National Security Council, NSC) 대변인 브라이언 휴스는 “이 메시지 체인은 실제로 존재했던 것처럼 보이며, 실수로 번호가 추가된 경위를 조사하고 있다”라고 밝혔다.

이어 “이 메시지 스레드는 고위 관계자 사이의 깊이 있고 신중한 정책 조율 과정을 보여주는 사례다. 후티 작전이 성공적으로 진행된 것을 보면, 관련 상황이 미군이나 국가안보에 위협이 되지 않았다는 점을 알 수 있다”라고 덧붙였다.

정말 그럴까?

만약 편집장이 아니라 스파이가 대화방에 있었으면 어땠을까? 예를 들어, 후티 반군에게 특정 시간에 특정 방향으로 대공미사일을 조준하라고 알려줄 수 있었을 것이다. 아니면 민간인 피해를 노리고 학교의 학생들이나 병원 환자들을 공격 예정 지역으로 옮기라고 지시했을 수도 있다. 그런 뒤 미군이 무고한 시민을 죽였다고 주장하며 진짜 테러리스트는 미국이라고 여론전을 벌이는 일도 충분히 가능하다.

사실 그보다 더 심각한 문제가 있다. 골드버그에 따르면, 대화에서 중동 지역에 있는 미국 정보요원(즉 스파이)을 위협할 수 있는 내용 일부가 무심코 언급됐다. 스파이가 중동에서 어떤 운명을 맞이하는지 아는가? 운이 좋으면 7.62mm 탄환 한 발과 조용히 인사를 나누는 선에서 끝난다.

미 해병대 출신이자 매사추세츠주 민주당 하원의원 세스 몰턴은 X에서 “헤그세스는 자신의 이해 범위를 한참 넘어서는 일을 하고 있으며 이 나라와 복무 중인 장병들에 위협이 된다. 그의 무능은 미국인을 죽게 만들 수도 있었던 심각한 문제다”라고 비판했다.

미국 대통령 도널드 트럼프는 자신은 무슨 일이 있었는지 전혀 몰랐다고 주장하며 사태를 대수롭지 않게 여겼다. 하지만 이후 디 애틀랜틱은 대화방에 대한 더 많은 세부 내용을 보도했고, 이는 트럼프와 국가안보 관계자들이 바로 전날 의회에 보고한 내용의 신빙성을 흔들어 놓았다.

물론 시그널은 비교적 안전한 오픈소스 기반의 암호화 메신저이지만, 미국 정부에서 공식적으로 사용을 승인한 앱이 아니다. 시그널은 종단간 암호화를 지원해 메시지를 주고받는 당사자만 내용을 볼 수 있도록 설계됐다. 하지만 어디까지나 이론상 완벽하게 작동할 때의 이야기다.

문제는 시그널이 항상 완벽하게 작동하는 것은 아니라는 점이다. 실제로 지난 2월 미국 국가안보국(National Security Agency, NSA)은 시그널에 취약점이 존재한다며 내부 직원에게 경고했다. 또한 NSA는 직원에게 “소셜미디어나 인터넷 기반 도구, 애플리케이션을 통해 민감한 정보를 절대 보내지 말고 모르는 사람과 연결을 맺지도 말 것”을 당부했다. 이론적으로 미국을 방어하는 책임을 지는 사람에게도 이 내용을 꼭 알려줘야 할 것 같다.

또한 최근 구글 연구팀은 러시아 측 해커들이 시그널 계정을 침해하려 시도한다는 사실을 밝혀냈다. 해커들은 누구를 노리고 있는 것일까? 말하지 않아도 알 것 같다.

필자 역시 시그널을 사용한다. 하지만 어떤 방식이든, 어떤 형태로든 시그널이 정부의 은밀한 작전에 사용돼서는 안 된다고 본다. 이번 사건은 잘못된 점이 너무 많아서, 그 심각성을 아무리 강조해도 부족할 정도다. 작전 보안이 무너진 이번 사태에서 미국인에게 실제 피해가 없었던 것은 어처구니없는 행운 덕분이다. 하지만 언제나 운에 기댈 수는 없다.

적어도 한 가지는 확실하다. 정부의 일부 고위 임원들은 앞으로도 보안 전문가의 조언을 가볍게 무시하고 제멋대로 행동할 가능성이 높다.
dl-itworldkorea@foundryco.com