[특집-정보기관 활동] 02. 미국 국가보훈부 직원의 보안사고 분석... 1975년 이후 전역한 군인 2650만명의 개인정보 유출
기초적인 보안규정조차 지키지 않아 발생한 인재... 담당 직원의 보안의식 높여야 원시적 수준의 보안사고 예방 가능
2025-11-10
미국 정부는 1944년 제대군인원호법(GI Bill)을 제정해 참전용사를 다양한 제도로 예우하고 있다. 영국의 식민지로부터 벗어난 독립전쟁, 노예해방을 위해 벌인 남북전쟁, 제2차 세계대전 등에서 국가를 위해 희생한 유공자를 기리기 위한 목적이다.
제대 군인에게 연금, 주택, 의료, 교육 등을 제공해 복지를 강화할 뿐 아니라 존중하는 사회적 분위기를 조성한다. 예를 들어 미국 항공사는 법으로 규정된 것은 아니지만 제대군인이 탑승할 경우에 가능하다면 좌석을 무료로 업그레이드해준다.
해외에서 전사한 미군의 시신을 운구하기 위해 전용기를 보낼 뿐 아니라 대통령이나 최고위급 인사가 직접 공항까지 마중을 나간다. 보수 정당인 공화당이나 진보 정당인 민주당 모두 참전 용사에 대해 소홀하게 대하지 않는다.
미국은 제2차 세계대전 이후에도 한국전쟁, 베트남전쟁, 걸프전쟁, 이라크전쟁, 아프가니스탄전쟁, 리비아전쟁, 시리아전쟁 등 대규모 전쟁에 적극 개입했다. 특히 한국전쟁과 베트남전쟁에서 막대한 피해를 입었다.
2024년 말 기준 해외에 20만 명 정도의 미군이 주둔하고 있으며 일본, 독일, 이탈리아 순으로 많이 배치돼 있다. 제대군일은 관리하는 미국 보훈부가 저지른 어처구니 없는 사건을 통해 방첩활동의 중요성을 알아보자.
▲ 국가정보기관의 이해 - 활동영역과 개혁과제 표지 by 민진규 [출처=엠아이앤뉴스]
◇ 2006년 5월 26일 작성한 칼럼 소개... 1975년 이후 전역한 군인 2650만명의 개인정보 유출
2006년 5월 23일 뉴욕타임스의 보도에 의하면 미국 보훈부가 1975년 이후 전역한 군인 2650만 명의 사회보장번호, 생년월일 등 개인정보가 담긴 전자 데이터 파일을 도난당했다.
이번 사고는 개인정보를 취급할 권한이 없는 보훈부 직원이 이달 초 전역 군인의 개인 신원 파일을 집으로 가져가 작업하다가 컴퓨터를 도난당하면서 벌어졌다.
AP통신에 따르면 볼티모어 연방수사국(FBI)과 지방 검찰청・보훈부가 합동 조사를 진행하고 있다. 짐 니컬슨 보훈차관은 “아직까지 도난당한 개인정보가 악용된 흔적이 발견되지 않았고 분실된 데이터에는 다행히 병력이나 재정 상태 등이 기록돼 있지 않다”며 “2차 범죄를 막기 위해 피해가 예상되는 이들에겐 개인정보 노출 위험을 서면으로 알려줬다”고 밝혔다.
미국 유력 언론인 워싱턴포스트(WP)는 이번처럼 개인정보가 대규모로 유출된 적이 없었다고 밝히고 이번 사고로 전역 군인이 신용카드 사기 범죄 등에 손쉽게 노출돼 2차 범죄에 연루될 위험성이 높다고 지적했다.
어느 국가이든 정부가 관리하는 각종 정보 도난 사고가 끊이지 않고 일어나는 것은 피할 수 없다. 이번 사건은 정부 당국자가 우려한 대로 피해가 확산되지 않을 수도 있다. 단순한 절도범이 해당 컴퓨터를 훔쳐 중고 PC 가게에 팔았을 수도 있다.
그렇다면 개인정보가 악용되지 않을 가능성이 높다. 개인정보를 노린 의도된 범죄가 아닐 수도 있지만 중고 노트북을 구입한 사람이 우연한 기회에 이런 정보를 발견해 유출할 가능성이 전혀 없는 것은 아니다. 이 사건의 문제점은 2가지로 볼 수 있다.
하나는 개인정보를 다룰 권한을 인가받지 않은 직원이 해당 정보를 다뤘다는 점이다. 각종 중요 문서는 비밀로 분류하고 비밀등급에 따라 해당 문서를 다룰 인원을 구분해 지정하는 것이 보안정책의 기본이다.
하지만 국가보훈부는 이러한 기본 원칙조차 지키지 않았다. 문서보안에 대한 이해가 부족했던 것이 사건의 발단인 셈이다.
아직까지 컴퓨터에 저장한 문서를 문서보안의 영역에서 다룰 것인지 혹은 컴퓨터 보안에서 취급할 것인지도 모호한 실정이다.
다른 하나는 중요 비밀은 인가된 보안지역을 벗어나서는 안 되는 기본 원칙도 위배했다. 인가받지 않은 직원이 보안지역을 벗어나 개인 집으로 중요한 정보를 가져가 작업했다는 것이 상식적으로 이해가 되지 않는다.
업무가 과중하고 시일이 촉박해 일을 빨리 처리하기 위한 순수한 의도일 수도 있지만 보안정책에서 절대로 용납되지 않는 행위다. 문서보안 뿐 아니라 시설보안에 대한 기본적인 통제가 이뤄지지 않은 셈이다.
사소하지 않은 대형 보안사고도 관련 인원의 한순간 실수에 따라 발생한다. 한번 일어난 사고는 원상회복이 불가능하고 피해는 산정하기 어려울 정도로 커진다.
이런 유형의 보안사고가 빈번하게 일어남에도 보안책임자의 보안에 대한 인식이 심각하지 않은 것도 유사 사고의 재발을 초래한다.
국가뿐만 아니라 기업에 발생하는 다양한 유형의 보안사고도 이런 원인과 관련성이 높다. 국가나 기업의 보안담당자의 책임 의식과 직원의 보안 의식이 향상돼야만 원시적 수준의 보안사고라도 예방할 수 있다는 점을 다시 강조한다.
- 계속 -
제대 군인에게 연금, 주택, 의료, 교육 등을 제공해 복지를 강화할 뿐 아니라 존중하는 사회적 분위기를 조성한다. 예를 들어 미국 항공사는 법으로 규정된 것은 아니지만 제대군인이 탑승할 경우에 가능하다면 좌석을 무료로 업그레이드해준다.
해외에서 전사한 미군의 시신을 운구하기 위해 전용기를 보낼 뿐 아니라 대통령이나 최고위급 인사가 직접 공항까지 마중을 나간다. 보수 정당인 공화당이나 진보 정당인 민주당 모두 참전 용사에 대해 소홀하게 대하지 않는다.
미국은 제2차 세계대전 이후에도 한국전쟁, 베트남전쟁, 걸프전쟁, 이라크전쟁, 아프가니스탄전쟁, 리비아전쟁, 시리아전쟁 등 대규모 전쟁에 적극 개입했다. 특히 한국전쟁과 베트남전쟁에서 막대한 피해를 입었다.
2024년 말 기준 해외에 20만 명 정도의 미군이 주둔하고 있으며 일본, 독일, 이탈리아 순으로 많이 배치돼 있다. 제대군일은 관리하는 미국 보훈부가 저지른 어처구니 없는 사건을 통해 방첩활동의 중요성을 알아보자.
▲ 국가정보기관의 이해 - 활동영역과 개혁과제 표지 by 민진규 [출처=엠아이앤뉴스]
◇ 2006년 5월 26일 작성한 칼럼 소개... 1975년 이후 전역한 군인 2650만명의 개인정보 유출
2006년 5월 23일 뉴욕타임스의 보도에 의하면 미국 보훈부가 1975년 이후 전역한 군인 2650만 명의 사회보장번호, 생년월일 등 개인정보가 담긴 전자 데이터 파일을 도난당했다.
이번 사고는 개인정보를 취급할 권한이 없는 보훈부 직원이 이달 초 전역 군인의 개인 신원 파일을 집으로 가져가 작업하다가 컴퓨터를 도난당하면서 벌어졌다.
AP통신에 따르면 볼티모어 연방수사국(FBI)과 지방 검찰청・보훈부가 합동 조사를 진행하고 있다. 짐 니컬슨 보훈차관은 “아직까지 도난당한 개인정보가 악용된 흔적이 발견되지 않았고 분실된 데이터에는 다행히 병력이나 재정 상태 등이 기록돼 있지 않다”며 “2차 범죄를 막기 위해 피해가 예상되는 이들에겐 개인정보 노출 위험을 서면으로 알려줬다”고 밝혔다.
미국 유력 언론인 워싱턴포스트(WP)는 이번처럼 개인정보가 대규모로 유출된 적이 없었다고 밝히고 이번 사고로 전역 군인이 신용카드 사기 범죄 등에 손쉽게 노출돼 2차 범죄에 연루될 위험성이 높다고 지적했다.
어느 국가이든 정부가 관리하는 각종 정보 도난 사고가 끊이지 않고 일어나는 것은 피할 수 없다. 이번 사건은 정부 당국자가 우려한 대로 피해가 확산되지 않을 수도 있다. 단순한 절도범이 해당 컴퓨터를 훔쳐 중고 PC 가게에 팔았을 수도 있다.
그렇다면 개인정보가 악용되지 않을 가능성이 높다. 개인정보를 노린 의도된 범죄가 아닐 수도 있지만 중고 노트북을 구입한 사람이 우연한 기회에 이런 정보를 발견해 유출할 가능성이 전혀 없는 것은 아니다. 이 사건의 문제점은 2가지로 볼 수 있다.
하나는 개인정보를 다룰 권한을 인가받지 않은 직원이 해당 정보를 다뤘다는 점이다. 각종 중요 문서는 비밀로 분류하고 비밀등급에 따라 해당 문서를 다룰 인원을 구분해 지정하는 것이 보안정책의 기본이다.
하지만 국가보훈부는 이러한 기본 원칙조차 지키지 않았다. 문서보안에 대한 이해가 부족했던 것이 사건의 발단인 셈이다.
아직까지 컴퓨터에 저장한 문서를 문서보안의 영역에서 다룰 것인지 혹은 컴퓨터 보안에서 취급할 것인지도 모호한 실정이다.
다른 하나는 중요 비밀은 인가된 보안지역을 벗어나서는 안 되는 기본 원칙도 위배했다. 인가받지 않은 직원이 보안지역을 벗어나 개인 집으로 중요한 정보를 가져가 작업했다는 것이 상식적으로 이해가 되지 않는다.
업무가 과중하고 시일이 촉박해 일을 빨리 처리하기 위한 순수한 의도일 수도 있지만 보안정책에서 절대로 용납되지 않는 행위다. 문서보안 뿐 아니라 시설보안에 대한 기본적인 통제가 이뤄지지 않은 셈이다.
사소하지 않은 대형 보안사고도 관련 인원의 한순간 실수에 따라 발생한다. 한번 일어난 사고는 원상회복이 불가능하고 피해는 산정하기 어려울 정도로 커진다.
이런 유형의 보안사고가 빈번하게 일어남에도 보안책임자의 보안에 대한 인식이 심각하지 않은 것도 유사 사고의 재발을 초래한다.
국가뿐만 아니라 기업에 발생하는 다양한 유형의 보안사고도 이런 원인과 관련성이 높다. 국가나 기업의 보안담당자의 책임 의식과 직원의 보안 의식이 향상돼야만 원시적 수준의 보안사고라도 예방할 수 있다는 점을 다시 강조한다.
- 계속 -
저작권자 © 엠아이앤뉴스, 무단전재 및 재배포 금지
