미 국방부는 새로운 사이버 유행인 디스코드 유출을 막지 못했을 수 있다

수백 건의 국가 기밀 문서가 인터넷에 유출되는 충격적인 사건이 발생하면서 국방부의 국가 기밀 처리 방식이 다시금 주목을 받고 있다. 아이러니하게도 이 사건은 국방부가 조직의 네트워크에 대한 사용자의 액세스를 지속적으로 인증하는 '제로 트러스트'라는 새로운 보안 표준을 적극적으로 추진하고 있는 가운데 발생했다. 

국방부는 최근 기밀 문서 유출을 방지하기 위해 취할 수 있었던 원인과 예방 조치를 추측하기에는 "너무 이르다"고 말했지만, 국방부 관리와 분석가들이 Breaking Defense에 제로 트러스트 개념에 실질적인 한계가 있음을 인정했듯이 이번 사건은 정보 기업 전반에 제로 트러스트를 완전히 구현해야 하는 이유를 조명한다.

국방부 관리들은 제로 트러스트 구현의 필요성에 대해 목소리를 높여 왔으며, 2027 회계연도까지 국방부 전체에 '목표' 수준의 역량을 구현한 다음 '고급' 수준을 구현한다는 야심찬 일정을 제시했다. 지난 11월, 국방부는 오랫동안 기다려온 제로 트러스트 전략을 발표하면서 정보 기업이 개인부터 국가가 후원하는 공격자에 이르기까지 광범위하고 지속적인 공격에 취약하다며 우려스러운 그림을 그렸다. 

국방부의 최고 정보 보안 책임자인 데이비드 맥키언은 4월 19일 Breaking Defense에 보낸 성명에서 "합법적인 권한과 정보 접근 권한을 가진 내부자 위협은 정보 보호에 있어 가장 어려운 과제 중 하나"라고 말했다.

"제로 트러스트를 구현하면 비정상적인 활동을 식별 및 탐지하고, 데이터를 보호하며, 임무를 수행할 수 있는 국방부 정보 기업의 능력이 향상될 것입니다."라고 그는 덧붙였다. 

그러나 전문가들은 제로 트러스트가 목표로 삼을 만한 가치가 있는 목표이기는 하지만, 궁극적으로 미래에 발생할 수 있는 이러한 상황을 방어할 수 있는 유일한 방법은 기술과 인력 검증을 혼합하는 것이라고 Breaking Defense에 말했다. 누군가가 심사를 거쳐 시스템 내부에 들어가면 제로 트러스트가 도움이 될 수는 있지만, 결코 만병통치약이 될 수는 없다는 것이 현실인 것 같다. 

데이터 보호 회사 Varonis의 사고 대응 수석 디렉터 Matt Radolec는 Breaking Defense에  "누군가가 잠재적으로 매우 가치 있는 인텔리전스 데이터에 액세스할 때 감시하는 기본 사항을 다루지 않았다면 지금 당장 이러한 제어 기능을 구축하고 이러한 제어 기능이 계속 유지되도록 해야 합니다."라고 보호 회사 Varonis의 사고 대응 수석 디렉터 Matt Radolec는 Breaking Defense에 말했다.

내부자 위협 

이달 초, 매사추세츠 주 방위군 소속으로 '사이버 수송 시스템 여행자'로 근무하던 21세의 잭 테이세이라는 소셜 미디어 플랫폼 Discord에서 러시아-우크라이나 전쟁에 관한 기밀 정보를 공유했다는 혐의로 두 건의 연방 기소를 당했다. 

일급 기밀 보안 허가를 받고 민감한 구획된 접근 권한(TS/SCI)을 보유하고 있던 테이세이라에 대해 제기된 공식 고소장에 따르면, 그는 지난해 12월부터 문서 내용을 필사하기 시작했으며, 적발될 것을 우려한 이후부터 기밀을 유출하기 시작했다고 한다. 그 후 그는 실제 문서를 자신의 집으로 가져가기 시작했고, 그 사진을 디스코드 그룹에 공유했다.

이후 국방부는 유출 이후 45일 동안 "보안 프로그램, 정책 및 절차"에 대한 검토에 착수했습니다. 로이드 오스틴 국방부 장관은 정보 및 보안 담당 국방부 차관을 국방부 최고 정보 책임자 및 행정 및 관리 책임자와 협력하여 검토를 주도하도록 지정했다. 

검토의 일부는 국방부와 다른 기관에서 누가 민감한 정보에 액세스할 수 있는지에 초점을 맞출 것이며, 국방부는 "기밀 정보 보호와 관련된 국방부의 정책 및 절차를 개선하는 방법"에 대한 오스틴의 권고 사항을 제공할 것으로 예상된다고 국방부 공보 담당 부차관보 Sabrina Singh은 4월 17일 기자들에게 말했다.

그렇다면 제로 트러스트가 디지털 정보와 물리적 정보가 모두 포함된 이번 유출을 막을 수 있었을까?

라돌렉은 4월 19일 인터뷰에서 "제로 트러스트가 완전히 도입되었다면 이번 유출을 막았거나 감지했을 수도 있다고 생각합니다."라고 말했다.

하지만 그는 제로 트러스트는 추가적인 보안 모니터링 없이는 그 자체로 많은 것을 할 수 없다고 지적했다. 

라돌렉은 "따라서 잭[테이시에라]은 여전히 일부 데이터를 훔쳤을 테지만, 그 정도에 이르기 전에 잡아냈을 것입니다. 결국 제로 트러스트 환경에서도 액세스 권한을 완전히 제거하지 않고는 파일을 원하는 사람이 보안 시설에서 파일을 가져오는 것을 막을 수 없기 때문입니다."라고  말하며, 국방부는 테이세이라가 액세스하는 특정 데이터를 모니터링하고 그가 권한을 남용하지 않는지 확인하는 데 더 집중했어야 한다고 덧붙였다. 

국방부의 제로 트러스트 포트폴리오 관리 사무소의 책임자인 랜디 레스닉은 Breaking Defense와의 인터뷰에서 국방부의 제로 트러스트 전략은 "네트워크에 합법적으로 액세스할 수 있는 사용자조차도 신뢰할 수 없다는 것을 인식하고 있다"고 말했다.

그는 성명에서 "이는 기술적, 문화적 변화가 모두 필요한 중대한 패러다임의 전환"이라고 말했다. "제로 트러스트 기능은 강력한 이벤트 로깅 및 분석, 데이터 보호, 세분화된 액세스 제어를 통해 국가의 방어를 강화할 것입니다." 

그는 특히 사용자 행동 모니터링, 데이터 모니터링, 데이터 손실 방지와 같은 기능에 중점을 둔 부서의 제로 트러스트 구현 로드맵에 명시된 몇 가지 구체적인 기능, 즉 회계연도 27년까지 기준 기능을 달성하기 위한 몇 가지 구체적인 기능을 지적했다. 

예를 들어, 역량 7.4인 "사용자 및 엔터티 행동 모니터링"에서는 국방부가 "분석을 사용하여 사용자 및 엔터티의 활동을 프로파일링하고 기준선을 설정하며 사용자 활동과 행동의 상관관계를 파악하고 이상 징후를 탐지"할 것이라고 명시하고 있다. 또 다른 역량인 4.4. "데이터 모니터링 및 감지"에서는 "데이터 자산의 액세스, 공유, 변환 및 사용에 대한 정보를 포함하는" 메타데이터를 캡처할 것이다. 

 

'누락된 요소' 

하지만 Radolec은 "제로 트러스트의 나머지 절반, 즉 사용자가 설정한 제어가 제대로 작동하고 사람들이 권한을 남용하지 않도록 보장하는 것이 이 사례에서 누락된 요소"라고 지적했다.

그는 계속해서 "누군가는 이 관리자가 이 데이터를 가져온다는 사실을 알아차렸어야 합니다."라고  말했다. "정기적으로 상호 작용하는 데이터는 아닐 가능성이 높습니다. 실제 데이터 자체에도 같은 일이 일어났다면 경종을 울렸을 것이고, 작은 콘텐츠 하나하나가 더 적절하게 잠겨 있었다면 이렇게 많은 콘텐츠를 축적할 수 없었을 것입니다."

전략 및 국제 연구 센터의 국제 보안 프로그램 부국장 겸 선임 연구원 에밀리 하딩은 Breaking Defense와의 인터뷰에서 일반적으로 제로 트러스트에 대해 이야기할 때 사용자가 네트워크의 다양한 부분에 액세스할 수 있는지에 대해 이야기한다고 말했다. 하지만 테이세이라의 경우 "우리는 네트워크의 요소에 대해 이야기하는 것이 아니라 정보의 조각에 대해 이야기하고 있습니다."라고 말했다. 

즉, 이 특정 상황에서는 테이세이라가 네트워크에 접속할 수 있는 적절한 자격 증명을 가지고 있는 것처럼 보이지만, 그의 정확한 동선과 그가 어떤 정보에 액세스했는지는 모니터링되지 않았다. 

국방부 내 제로 트러스트 구현 현황은 불분명하다. 로드맵 자체는 23회계연도에 일부 기능을 구현하기 시작하는 시점을 가정하고 있으며 목표 및 고급 수준을 모두 달성하기 위한 상당히 광범위한 일정을 제시하고 있다. 예를 들어, 로드맵에 따르면 이번 회계연도에 국방부는 "네트워크, 데이터, 애플리케이션, 디바이스 및 사용자 로그"의 트래픽을 기록하고 해당 로그를 적절한 컴퓨터 네트워크 방어 서비스 제공업체(CNDSP) 또는 보안 운영 센터(SOC)에서 사용할 수 있도록 하는 기능 7.1에 대한 작업을 시작할 것이다. 그러나 국방부가 이러한 기능을 어느 정도까지 확보하고 있는지, 그리고 이러한 기능이 유출을 최소화하는 데 영향을 미쳤는지는 아직 불분명하다.

라돌렉은 제로 트러스트와 관련하여 보안 시설 및 네트워크와 같은 것들에 대해서는 "많은 소문"이 있지만 "어떻게 감시하고 그런 상태를 유지할 수 있는지에 대해서는 그다지 강조하지 않는다"고 덧붙였다. 

"컴퓨터가 약점을 가지고 있고, 그 약점을 악용하여 악성 코드가 심어지면 어떻게 되는지, 멀웨어처럼 상상할 수 있습니다."라고 라돌렉은 말했다. "국방부 직원 누구에게나 이 문제에 대해 이야기하면 악성 코드를 발견하는 모든 방법을 알려줄 것이며, 악성 코드는 나쁜 컴퓨터 동작이라고 말할 것입니다. 하지만 같은 질문을 던진다면 나쁜 행동을 식별하는 데도 같은 원칙을 적용할 수 있느냐고 묻는다면 같은 대답이 나오지 않을 것입니다. 그다지 강력하지 않을 것입니다."

하딩에 따르면 테이세이라가 TS/CSI 허가를 받았다고 해서 그가 특정 정보를 볼 수 있어야 했는지는 명확하지 않다.

"네, 네트워크의 백본에 액세스할 수 있어야 할 수도 있지만, 그렇다고 해서 예를 들어 WIRe를 읽을 수 있어야 한다는 의미는 아닙니다."라고 그녀는 Breaking Defense에 말했다. "그는 WIRe에 로그인할 이유가 없어야 하고, 당신도 그것을 인쇄할 이유가 없어야 합니다. 그는 필사부터 시작했고, 가방에 구겨진 종이 조각을 들고 건물을 나설 때 물리적으로 수색하는 것 외에는 막을 방법이 없지만 유출량을 최소화할 수는 있습니다."

그녀는 제로 트러스트 측면 외에도 이번 사건은 국방부의 신원 조사 방법론이 "시대에 뒤떨어졌다"는 점을 강조한다고 덧붙였다. 

"그들은 마약 사용과 미국에 대한 충성심에 대해 질문합니다."라고 그녀는 말했다. "하지만 온라인 활동은 어떤지에 대해서는 묻지 않죠? 기밀 정보에 관한 한 무엇을 보호하는 것이 중요한지 어떻게 생각하시나요? 이 사람은 미국의 방향을 바로잡아야 한다고 생각하나요? 이러한 질문은 목록에 추가할 만한 질문입니다."

라돌렉은 현재 존재하는 공백에도 불구하고 국방부가 문제를 완화하여 이와 같은 일이 다시 발생하지 않도록 할 수 있다고 믿는다.

"이러한 문제는 지금 당장 해결할 수 있습니다."라고 그는 말했다. "저는 국방부가 이번 사태를 초래한 통제 공백에 대해 오늘 진전을 이룰 수 있고, 이러한 조치의 결과로 내일과 2027년까지 이런 일이 발생할 가능성을 줄일 수 있다고 확신합니다."