해커스랩

美 연방인사관리처 vs 싸이테크 미스터리

작년 전 세계를 떠들썩하게 했던 미국 연방인사관리처(OPM) 해킹 사고를 발견했던 미국 보안회사 싸이테크(CyTech Services)社는 1년이 지났지만 아직도 OPM으로부터 보수를 지급받지 못한 것으로 전해졌다.

미국 버지니아주에 위치한 작은 보안회사 싸이테크는 지난 2015년 4월 자사 보안툴 CyFIR를 OPM에서 시연하는 과정에서 OPM 시스템이 맬웨어에 감염된 것을 발견해 OPM에 이를 알렸고, OPM의 요청으로 5월 1일까지 OPM에서 후속 작업에 참여한 것으로 전해진다.

그로부터 1년 뒤인 2016년 4월 20일. 미국 연방 비즈니스 전문매체인 FCW에  OPM이 아직도 싸이테크에 대금을 지불하지 않았다는  기사가 보도되었다. 싸이테크 CEO 벤 코톤(Ben Cotton)에 의하면 싸이테크는 아직도 돈을 못받아 OPM에 대금을 청구했는데 OPM은 싸이테크가 일했다는 것을 증명할 서류를 요구했다고 한다. 그런데 싸이테크는 당시 비상 구두 계약(Emergency Verbal Purchase Order) 하에 일해서 서면 계약서가 없으며, 유일한 증거였던 CyFIR 서버에 보관된 자료마저 OPM 측에서 일방적으로 삭제했다고 한다.

그날 어떤 일이 있었던 것일까? 싸이테크 코톤 대표는 당시 상황을 이렇게 전한다:

 

싸이테크 빌 코톤 대표.  특수부대 출신 (21년 경력)

 

코톤 대표에 의하면 당시 OPM 보안 책임자 제프 와그너(Jeff Wagner)가 코톤 대표에게 OPM 계약업체인 임페러티스(Imperatis)社와 함께 후속 조치를 해 달라고 비상 구두 계약 오더를 내렸다고 한다. 전문가들은 구두 계약은 법적 구속력을 가질 수 있겠지만 구두 계약이 반드시 서면 계약으로 이어진다는 보장이 없으므로 작은 회사들은 특히 조심해야 한다고 말한다.

FCW는 당시 싸이테크 직원들이 함께 일했다는 Imperatis사 직원들에게 문의했지만 직원들은 이 문제에 관해 함구하라는 지시가 있어 말할 수 없다고 답했다고 한다. 코톤 대표가 OPM에 청구한 대금은 약 80만 달러. OPM 관리들은 싸이테크가 부정청구 방지법을 위반하는지 법무부에 알아봐야 하는지도 모르겠다고 말했다고 FCW는 전했다.

OPM CIO였던도나 세이무어(Donna Seymour)는 작년 여름(2015.6.24일) 열린 미 의회 청문회에서 OPM은 싸이테크로부터 라이센스를 구매했다고 증언한 바 있다. 하지만 FCW가 만난 OPM 직원들에 의하면 OPM에는 해당 계약 기록이 존재하지 않으며 따라서 세이무어의 말은 사실이 아니라고 한다.

작년 9월 미 하원 감독 위원회 의장 제이슨 체페츠(Jason Chaffetz) 의원은 싸이테크의 OPM 작업 관련 세부 자료를 제출해 줄 것을 OPM에 요구했다. 같은 시기 OPM은 OPM에 보관 중이던 CyFIR 서버를 싸이테크로 되돌려 보냈다. 서버에는 싸이테크가 그간 해 왔던 모든 작업 기록이 담겨 있었는데 싸이테크가 받았을 때는 자료가 모두 삭제된 상태였다고 한다. 위원회가 받은 자료를 토대로 올해 2월 청문회가 다시 열릴 예정이었지만 세이무어는 청문회가 열리기 2일 전 사직해 청문회에 참석하지 않았다.

OPM과 싸이테크가 껄끄러운 사이가 된 이유는 무엇일까. OPM 해킹 사고를 누가 먼저 발견했는지에 관한 공방이 처음부터 오갔다는 점에 주목할 필요가 있다.  OPM이 해킹 사고를 공식 발표한 것은 2015년 6월 4일이었다. 당시 발표문을 보면 OPM 보안팀이 보안 강화 노력을 기울이다가 해킹당한 사실을 알게 되었다는 말만 있지 싸이테크에 관해서는 언급조차 없다는 것을 볼 수 있다.

 

 

 

싸이테크의 존재를 세상에 처음 알린 건 월스트릿저널이었다. 2015년 6월 10일자 월스트릿저널 기사는 OPM 해킹 사실을 발견한 건 OPM 직원이 아니라 미국 버지니아주의 한 작은 보안회사 싸이테크의 보안툴 CyFIR였다고 전한다. 기사 해당 부분은 다음과 같다:

 

월스트릿저널 기사가 보도되고 나서 이틀 뒤 (2015.6.12) 포춘誌는 월스트릿저널 기사를 인용 보도했다. 그러자 OPM 대변인(Sam Schumach)으로부터 연락이 왔다. 기사에서 싸이테크의 주장을 무시해 달라는 것이다. 대변인은 싸이테크가 제품 시연하면서 OPM 네트워크 침입 사실을 발견했다는 내용은 사실이 아니며, 해킹당한 사실을 발견한 건  (싸이테크가 아니라) OPM 사이버 보안팀이었다고 주장했다. 포춘지는 해당 내용을 기사에 추가했다.

 

OPM이 싸이테크 개입을 최초 인정한 것은 2015년 6월 24일 하원 청문회에서이다. 마이크 터너(Mike Turner) 공화당 의원은 싸이테크社가 악성 코드 발견에 관련이 있느냐고 OPM에 물었다. OPM의 전 CIO 세이무어는 명확힌 대답을 하지 않다가 터너 의원으로부터 수차례 지적을 받고 나서 싸이테크의 개입을 시인했다.  청문회 동영상 해당 부분은  http://www.c-span.org/video/?c4589548/cytech-services-highlights 에서 볼 수 있다.

 

OPM 청문회. 싸이테크의 맬웨어 발견 개입 여부를 질문하는 터너 의원 (동영상 스크린샷)

 

OPM 청문회. 터너 의원 질문에 대답하는 세이모어 (동영상 스크린샷)

 

침입당한 걸 아는데 OPM은 뭐하러 싸이테크에게 시연과 진단을 요청했나? 청문회에서 세이무어는 OPM이 해킹당했다는 걸 싸이테크가 알아내는지 시험해 보려고 싸이테크를 테스트 한 거라고 말했다. 해킹당했다는 걸 발견한 건 OPM 직원이지 싸이테크가 아니며, 싸이테크는 OPM 보안팀이 이미 발견한 것들을 발견했을 뿐이라고 세이무어는 덧붙였다.

 

 

OPM의 이같은 주장에 대하여 싸이테크는 긍정도 부정도 아닌 “중립적”인 입장이다. 당시 싸이테크는 수많은 인터뷰를 통해 “싸이테크는 OPM 직원이 (악성) 프로세스를 이미 알고 있었는지 여부는 알지 못한다“는 입장을 밝힌 바 있다.

 

이 일은 우리에게 여러가지 의문점을 남긴다.

 

1년이 지났지만 풀리지 않는 의문들은 마치 잘 각색된 한편의 첩보 영화를 방불케 한다. 싸이테크 대표 벤 코튼은 해킹 사고를 누가 먼저 발견했는지를 두고 싸움을 벌일 생각은 없으며, 다만 일한 대가는 받아야겠다는 입장이라고 FCW는 전했다.

 

출처:
사건 기록 정리(싸이테크 웹사이트)
FCW 기사