앞으로 미국 연방정부에서 일하려면 트위터나 페이스북, 스냅챗, 인스타그램 등의 소셜 미디어에 본인이 올린 게시물도 검열 받게 될 예정이다. 이같은 사실은 지난 주(2016.4.8) 미국 정부 전자입찰 사이트인 FBO(Federal Business. Opportunities)에 한 입찰 공고문이 게시되면서 알려졌다. 미국 연방인사관리처(OPM)가 올린 이 공고문은 연방직원 신원조회 시 페이스북이나 트위터, 인스타드램 등의 소셜 미디어 게시물 등의 PAEI를 자동으로 찾아 주는 프로그램을 만들어 줄 업체를 찾고 있으니 관심있는 없체는 4월 15일까지 신청해 달라는 내용을 담고 있었다.
PAEI(Publicly Available Electronic Information)란 무엇인가? OPM은 다음과 같이 설명하고 있다:
출판물, 발표문, 간행물, 방송된 내용, 정보공개 요청이 필요한 정보, 온라인 접속 가능한 정보, 회원 가입이나 구매해야 볼 수 있는 정보, 현행법상 접속이 가능한 정보로, 예를 들어 뉴스 사이트, 미디어 사이트, 소셜 미디어 사이트, 마이크로 블로그, 소셜 네트워킹 사이트, 블로그, 포럼, 온라인상으로 공개된 재판 기록을 포함하는 법원 웹사이트 데이터, 사진과 동영상 공유 웹사이트, 온라인 전자상거래 웹사이트 등에 올라 있는 정보가 이에 해당된다.
여기에 또 하나 더 있다. OPM은 일반 검색 엔진이 인덱스하지 않는 특정 유형의 온라인 문서와 데이터베이스.. 소위 “deep web” 정보도 원한다. 또한 1주일에 3-5일 간격으로 20-50개의 주제를 선정해 주면 해당 정보를 찾아다 주는 기능도 필요로 하고 있다.
OPM이 신원조회에 소셜 미디어를 포함시키는 이유는 무엇일까? 여기에는 여러 복합적인 이유가 작용한다. OPM은 연방 기관 직원의 95%에 해당되는 신원조회 업무를 담당하며 전담 부서는 FIS다. FIS는 매년 100개 이상의 연방기관에 소속된 60만명이 넘는 직원과 계약직에 대하여 신원조회를 수행한다. 40만명이 넘는 직원의 적성검사도 실시한다. 신원조회 통과자는 10년에 1번 재심사를 받는다.
백악관은 지난 2016.1.22일 연방직원 신원조회 관련 파일을 앞으로는 OPM이 아닌 국방부에서 보관할 것이며, 새로운 신원조회 시스템을 개발하고, 신원조회를 전담할 NBIB(National Background Investigations)를 신설하겠다고 발표했다. FIS는 NBIB로 통합되며 새로운 신원조회 시스템은 국방부가 개발을 맡을 예정이다.
OPM이 어떤 곳인가? 작년 미국 정부기관에 대한 해킹 사건으로는 사상 최대 규모인 2150만명의 공무원과 일반 시민의 신상정보를 도난당한 곳이다. 작년 4월 미국 보안업체 CyTech Services사가 보안툴 CyFIR를 국토안보부에서 시연하면서 OPM 네트워크를 진단하기 전까지 OPM은 해킹당한 사실을 모르고 있었다.
해킹당한 시스템은 연방 공무원 채용과 비밀취급 인가에 사용되는 신원조회 데이터베이스였다. 발견 당시 공격자는 이미 수백만개의 파일을 다운로드 받아 갔으며, 수십만개의 민감한 비밀정보 사용허가(Security Clearance) 관련 파일이 삭제된 상태였다.
신원 조회 데이터베이스에는 연방 직원 개개인에 관한 세세한 정보(1인당 약 127페이지 분량)가 수록되어 있다. 이 정보는 전 현직 연방 직원, 계약직, 신원조회 신청자의 개인정보는 물론 친구, 배우자, 가족 정보도 포함된다. 외교관이나 비밀정보 접속 허가를 받은 직원인 경우는 해외 첩보 활동 내역과 해외 연락책의 정보도 수록되어 있다. 만일 중국 정부가 이 기록을 입수했다면 어떻게 될까? 스파이 처벌은 물론 해당 공무원을 협박해 비밀을 빼내는 것도 가능할 것이다.
OPM 시스템은 그동안 해킹 당하지 않았던 게 신기할 정도로 취약했다. 2013년도까지 OPM에는 IT 보안 담당 직원이 존재하지 않았다. 2014년 11월에서야 7명을 채용, 이후 4명을 충원했지만 OPM 시스템의 일부분만 담당했다. 많은 시스템이 외부 계약자들에 의해 운영되었고, 일부는 계약 만료, 암호화 미적용, 부서들은 보유 장비 현황을 파악하지 못하고 있었고, 서버와 데이터베이스 목록은 업데이트 되지 않았고, OPM 네트워크에 연결되는 모든 서버와 기기의 목록도 없었다. 직원이 외부에서 접속하는 경우 2중 인증을 적용하지 않았고, 정기적 시스템 보안 점검도 없었다.
보안 인력 부족 문제는 해결되었을까? OPM은 작년 겨울 사이버 신규 인력 채용 허가 공문을 연방 관보(Federal Register)에 게시한 바 있다. 공문서에 의하면 OPM이 소속된 미 국토안보부는 2015.11~2016.6.30일 사이에 사이버보안 담당 직원 1000명을 신규 채용할 수 있다. 당시 내부 사정을 잘 아는 전문가들은 현실성이 없다고 비판했다. 국토안보부는 1000명이 넘는 지원자를 검토하고 인터뷰 진행할 여력이 없으며, 있다 해도 채용 절차에 오랜 시간이 소요되고, 1000명을 다 뽑았다 해도 합격자 전원이 신원조회를 마치려면 3주에서 1년 걸린다는 것. 해외 거주한 경험이 있거나 이중 국적자라면 그보다 더 오래 걸린다.
내부 보안은 많이 개선되었을까? 토니 스캇 미국 최고정보책임자(CIO)는 6월 12일 연방기관들의 사이버보안 개선을 위한 사이버보안 스프린트 작전을 실시했고, 10월 사이버보안 스프린트와 행정부 조치 덕분에 현재 연방 사이버보안은 최상으로 강화되어 있는 상태라고 발표했다. 하지만 작년 11월 실시된 사이버보안 감사에서 OPM은 여전히 보안이 취약하고 개선할 것들이 많다는 지적을 받았다. 가장 최근 들어서는 지난 3월 보안 전문가들로부터 DROWN 공격 취약점을 지적받고 나서 해결했다. 신원조회 관련 데이터의 국방부 이전은 이런 배경에서 비롯된다.
지난 3월 14일 열린 2017 회계연도 OPM 예산에 관한 미 하원 청문회에서 OPM 국장 직무대행 Beth Cobert는 NBIB 신설은 추가적인 예산 없이 연방 회전 자금으로 충당할 것이라고 밝혔다. 또한 국방부가 개발하게 되는 NBIB의 새로운 신원조회 시스템은 2017년 회계연도 안에 완성되기는 어렵고 2018 회계연도까지 이어질 것으로 보이며, NBIB 인수위원회는 3월 안으로 구성할 거라고 Cobert 직무대행은 밝혔다.
OPM은 그간 비밀취급 인가와 신원조회 절차 관련해 시대에 뒤떨어진다는 비판을 자주 받아왔다. 지난 2월 25일 열렸던 하원 청문회에서 미 공화당 하원의원 Jason Chaffetz는 “신원조회를 하면서 대상자의 페이스북이나 트위터 게시물, 인스타그램, 스냅챗 등을 조사하지 않는다는 게 말이 되느냐”며 “십대들한데 이 일을 맡기면 우리보다 훨씬 잘 할 것”이라고 일침을 가했다.
미 하원 청문회에서 발언하는 공화당 하원의원 Jason Chaffetz
신원조회에 소셜 미디어 검열 포함은 NBIB 발표 이후 첫 행보로, 국방부가 개발하는 NBIB 신원조회 시스템에는 많은 기능이 추가될 예정이다. OPM이 입찰공고 한 이 툴은 단순히 신원조회용일까? 아니면 좀 더 복잡한 툴을 위한 초석일까? 미국 소비자 단체와 프라이버시 보호 단체들은 어떻게 반응할지 귀추가 주목된다.