작년 전 세계를 떠들썩하게 했던 미국 연방인사관리처(OPM) 해킹 사고를 발견했던 미국 보안회사 싸이테크(CyTech Services)社는 1년이 지났지만 아직도 OPM으로부터 보수를 지급받지 못한 것으로 전해졌다.
미국 버지니아주에 위치한 작은 보안회사 싸이테크는 지난 2015년 4월 자사 보안툴 CyFIR를 OPM에서 시연하는 과정에서 OPM 시스템이 맬웨어에 감염된 것을 발견해 OPM에 이를 알렸고, OPM의 요청으로 5월 1일까지 OPM에서 후속 작업에 참여한 것으로 전해진다.
그로부터 1년 뒤인 2016년 4월 20일. 미국 연방 비즈니스 전문매체인 FCW에 OPM이 아직도 싸이테크에 대금을 지불하지 않았다는 기사가 보도되었다. 싸이테크 CEO 벤 코톤(Ben Cotton)에 의하면 싸이테크는 아직도 돈을 못받아 OPM에 대금을 청구했는데 OPM은 싸이테크가 일했다는 것을 증명할 서류를 요구했다고 한다. 그런데 싸이테크는 당시 비상 구두 계약(Emergency Verbal Purchase Order) 하에 일해서 서면 계약서가 없으며, 유일한 증거였던 CyFIR 서버에 보관된 자료마저 OPM 측에서 일방적으로 삭제했다고 한다.
그날 어떤 일이 있었던 것일까? 싸이테크 코톤 대표는 당시 상황을 이렇게 전한다:
- 싸이테크는 4월 21일 오후 4시 경 OPM에서 CyFIR 시연을 했으며, OPM 시스템을 스캔한 건 그 다음날인 4월 22일이다.
- 스캔 결과 OPM 시스템 RAM에서 의문의 프로세스 3개가 실행되고 있었으며, 이 사실을 알리자 OPM은 후속 조치를 해 달라고 요청했다.
- 이에 코톤 대표와 싸이테크 엔지니어들은 5월 1일까지 OPM에 머물며 침해당한 것으로 보이는 RAM과 하드 디스크 이미지를 뜨는 등의 공격 완화 작업을 수행했다.
- 동 기간 동안 싸이테크는 FBI와 US-CERT는 물론 OPM 보안 담당자에게 현장 지원도 제공했다.
- OPM측은 대금을 지불하지 않았으며, 싸이테크는 지난 1월 OPM에 대금 결제를 요청하는 공문서를 보냈다.
- 3월 10일 OPM으로부터 답이 왔다. OPM에서 일했다는 사실을 뒷받침할 문서나 서류를 보내라는 내용이었다. 싸이테크는 비상 구두 계약(Emergency Verbal Purchase Order)에 의거해 일했기 때문에 계약서나 서류가 존재하지 않는다.
코톤 대표에 의하면 당시 OPM 보안 책임자 제프 와그너(Jeff Wagner)가 코톤 대표에게 OPM 계약업체인 임페러티스(Imperatis)社와 함께 후속 조치를 해 달라고 비상 구두 계약 오더를 내렸다고 한다. 전문가들은 구두 계약은 법적 구속력을 가질 수 있겠지만 구두 계약이 반드시 서면 계약으로 이어진다는 보장이 없으므로 작은 회사들은 특히 조심해야 한다고 말한다.
FCW는 당시 싸이테크 직원들이 함께 일했다는 Imperatis사 직원들에게 문의했지만 직원들은 이 문제에 관해 함구하라는 지시가 있어 말할 수 없다고 답했다고 한다. 코톤 대표가 OPM에 청구한 대금은 약 80만 달러. OPM 관리들은 싸이테크가 부정청구 방지법을 위반하는지 법무부에 알아봐야 하는지도 모르겠다고 말했다고 FCW는 전했다.
OPM CIO였던도나 세이무어(Donna Seymour)는 작년 여름(2015.6.24일) 열린 미 의회 청문회에서 OPM은 싸이테크로부터 라이센스를 구매했다고 증언한 바 있다. 하지만 FCW가 만난 OPM 직원들에 의하면 OPM에는 해당 계약 기록이 존재하지 않으며 따라서 세이무어의 말은 사실이 아니라고 한다.
작년 9월 미 하원 감독 위원회 의장 제이슨 체페츠(Jason Chaffetz) 의원은 싸이테크의 OPM 작업 관련 세부 자료를 제출해 줄 것을 OPM에 요구했다. 같은 시기 OPM은 OPM에 보관 중이던 CyFIR 서버를 싸이테크로 되돌려 보냈다. 서버에는 싸이테크가 그간 해 왔던 모든 작업 기록이 담겨 있었는데 싸이테크가 받았을 때는 자료가 모두 삭제된 상태였다고 한다. 위원회가 받은 자료를 토대로 올해 2월 청문회가 다시 열릴 예정이었지만 세이무어는 청문회가 열리기 2일 전 사직해 청문회에 참석하지 않았다.
OPM과 싸이테크가 껄끄러운 사이가 된 이유는 무엇일까. OPM 해킹 사고를 누가 먼저 발견했는지에 관한 공방이 처음부터 오갔다는 점에 주목할 필요가 있다. OPM이 해킹 사고를 공식 발표한 것은 2015년 6월 4일이었다. 당시 발표문을 보면 OPM 보안팀이 보안 강화 노력을 기울이다가 해킹당한 사실을 알게 되었다는 말만 있지 싸이테크에 관해서는 언급조차 없다는 것을 볼 수 있다.
- “OPM은 작년(2014년)에 사이버보안 업데이트를 위하여 OPM 네트워크에 많은 툴과 기능을 추가하며 적극적인(aggressive) 노력을 기울였습니다. 그 결과 2015년 4월 OPM은 IT 시스템과 데이터가 침입 당했다는 것을 발견했습니다.”
(기사 원문: https://www.opm.gov/news/releases/2015/06/opm-to-notify-employees-of-cybersecurity-incident/
싸이테크의 존재를 세상에 처음 알린 건 월스트릿저널이었다. 2015년 6월 10일자 월스트릿저널 기사는 OPM 해킹 사실을 발견한 건 OPM 직원이 아니라 미국 버지니아주의 한 작은 보안회사 싸이테크의 보안툴 CyFIR였다고 전한다. 기사 해당 부분은 다음과 같다:
- 지난 주 OPM은 해커들이 네트워크에 침입한 사실을 발견했고 약 4백만명의 전현직 공무원 개인기록을 도난당했을 수 있다고 밝혔다. 당시 OPM은 OPM이 많은 툴들과 기능을 네트워크에 추가하며 사이버보안을 업데이트하기 위해 적극적인 노력을 기울이는 과정에서 침입 사실을 발견했다고 밝혔다.
- 하지만 이 사건 수사에 정통한 4명의 관계자에 의하면 침입 사실은 4월 중순에 CyTech Services라는 보안회사가 CyFIR라는 네트워크 포렌식 플랫폼을 OPM에서 시연하는 과정에서 발견되었다고 한다. 이 회사는 OPM에서 자사 제품 작동 원리를 설명하면서 시범적으로 OPM 네트워크 보안을 진단했는데 OPM 네트워크에 맬웨어가 있다는 걸 발견했다는 것. …… OPM은 이 일에 관하여 (월스트릿저널의) 질문에 대답하지 않았다. (기사 원문: http://www.wsj.com/articles/u-s-spy-agencies-join-probe-of-personnel-records-theft-1433936969 )
월스트릿저널 기사가 보도되고 나서 이틀 뒤 (2015.6.12) 포춘誌는 월스트릿저널 기사를 인용 보도했다. 그러자 OPM 대변인(Sam Schumach)으로부터 연락이 왔다. 기사에서 싸이테크의 주장을 무시해 달라는 것이다. 대변인은 싸이테크가 제품 시연하면서 OPM 네트워크 침입 사실을 발견했다는 내용은 사실이 아니며, 해킹당한 사실을 발견한 건 (싸이테크가 아니라) OPM 사이버 보안팀이었다고 주장했다. 포춘지는 해당 내용을 기사에 추가했다.
OPM이 싸이테크 개입을 최초 인정한 것은 2015년 6월 24일 하원 청문회에서이다. 마이크 터너(Mike Turner) 공화당 의원은 싸이테크社가 악성 코드 발견에 관련이 있느냐고 OPM에 물었다. OPM의 전 CIO 세이무어는 명확힌 대답을 하지 않다가 터너 의원으로부터 수차례 지적을 받고 나서 싸이테크의 개입을 시인했다. 청문회 동영상 해당 부분은 http://www.c-span.org/video/?c4589548/cytech-services-highlights 에서 볼 수 있다.
침입당한 걸 아는데 OPM은 뭐하러 싸이테크에게 시연과 진단을 요청했나? 청문회에서 세이무어는 OPM이 해킹당했다는 걸 싸이테크가 알아내는지 시험해 보려고 싸이테크를 테스트 한 거라고 말했다. 해킹당했다는 걸 발견한 건 OPM 직원이지 싸이테크가 아니며, 싸이테크는 OPM 보안팀이 이미 발견한 것들을 발견했을 뿐이라고 세이무어는 덧붙였다.
OPM의 이같은 주장에 대하여 싸이테크는 긍정도 부정도 아닌 “중립적”인 입장이다. 당시 싸이테크는 수많은 인터뷰를 통해 “싸이테크는 OPM 직원이 (악성) 프로세스를 이미 알고 있었는지 여부는 알지 못한다“는 입장을 밝힌 바 있다.
이 일은 우리에게 여러가지 의문점을 남긴다.
- OPM 해킹 사실을 제일 먼저 발견한 것은 누구일까? OPM 보안팀일까? 아니면 싸이테크일까?
- OPM은 왜 싸이테크에 대금을 지불하지 않는 걸까? 만일 OPM이 먼저 발견한 게 맞는 거라면 싸이테크는 OPM 사고를 회사 홍보에 이용하는 셈인데 그것이 대금 지불을 미루는 이유가 될 수 있을까? 어쩌면 OPM이 해킹을 제일 먼저 발견했다고 싸이테크가 거들어 주지 않아 괘씸해서일까? 아니면 비상구두계약으로 일을 시킬 정도로 급박한 상황이었다는 걸 인정하는 모양새가 되면 OPM 관계자들에 불리하기 때문일까? 책임 질만한 사람이 모두 그만둬서일까?
- 싸이테크 직원들과 같이 일했다는 임페러티스 직원들은 왜 입을 굳게 다물고 있는 걸까?
- 세이무어는 CyFIR를 구매하지도 않았는데 왜 구매했다고 청문회에서 말했을까?
- 세이무어가 청문회를 이틀 앞두고 돌연 사직한 이유는 뭘까? 이유가 무엇이든 사직만 하면 더 이상 조사도 추궁 받지 않는 것일까?
- 싸이테크의 해킹 최초 발견설은 강력히 부인하면서 국토안보부 보안 시스템 EINSTEIN이 맬웨어를 발견했다는 언론의 오보에는 왜 아무런 조치가 없었을까?
- 구속되었다는 중국 해커들은 정말로 OPM을 해킹한 해커들이 맞을까?
1년이 지났지만 풀리지 않는 의문들은 마치 잘 각색된 한편의 첩보 영화를 방불케 한다. 싸이테크 대표 벤 코튼은 해킹 사고를 누가 먼저 발견했는지를 두고 싸움을 벌일 생각은 없으며, 다만 일한 대가는 받아야겠다는 입장이라고 FCW는 전했다.