GAO, 미 국방부 백그라운드 확인 시스템이 해킹 위험에 노출되어 있다고 경고

감시 보고서에 따르면 연방 직원을 조사하는 국방부 기관이 IT 시스템과 이들이 저장하는 민감한 개인 데이터를 보호하기 위해 충분히 노력하지 않았다고 한다.

보고서는 "[국방 방첩 및 보안국]은 [국가수사국 시스템] 및 레거시 시스템에 대한 보안 위험을 관리하기 위한 조치를 취했지만, 국방부의 위험 관리 프레임워크의 주요 과제를 완전히 해결하지 못했는데, 이는 주로 감독 프로세스가 부족하기 때문"이라고 말했다. "이러한 핵심 작업에는 정보 수명 주기의 모든 단계 식별, 보안 및 개인 정보 보호 요구 사항 정의 및 우선 순위 지정, 조직 및 시스템 수준에서 위험 평가 수행, 적절한 시스템에 보안 및 개인 정보 보호 요구 사항 할당 등이 포함됩니다."

2015년 인사관리처가 해킹당한 후 신원 조사에 대한 책임이 DSCA로 이관되었다. 국방부로의 이전은 주로 연방 근로자의 개인 데이터에 대한 사이버 보안을 개선하고 오래된 IT 시스템을 대체하기 위한 방법으로 여겨졌다. 그러나 새로운 국가수사국 시스템을 구축하기 위한 노력은 아직 완료되지 않았고, DSCA는 구형과 신형 IT를 혼용하여 사용하고 있다.

6월 20일 GAO의 보고서에 따르면 DCSA는 16개의 사이버 위험 관리 단계 중 5개 단계를 해결하지 못했다.

예를 들어, 기관은 조직 전체 또는 시스템 수준에서 위험 평가를 완료하지 않았다.

또한, DCSA는 GAO가 평가한 시스템에 대한 접근, 사고 추적, 필요한 보안 인식 교육 등의 정책과 절차를 수립하는 등 부분적으로만 개인정보 보호 통제를 시행했다.

보고서는 "해당 기관은 적절한 개인정보 통제가 완전히 구현되도록 돕는 감독 절차가 부족하다"며 "DCSA가 이러한 감독 절차를 수립하고 개인정보 통제를 완전히 구현하기 전까지는 신원조사 시스템에 대한 민감한 정보가 공개되거나 변경되거나 손실될 위험이 불필요하게 증가한다"고 지적했다

보고서에 따르면 DCSA는 올해 말 모든 오래된 배경 조사 시스템을 없앨 계획이다.

GAO는 필요한 모든 작업과 통제가 완료되도록 더 많은 감독을 만드는 것을 포함하여 13개의 권고 사항을 발표했다.

국방부는 국방부의 최고 정보 책임자가 미국 국립표준기술연구소의 보안 및 개인 정보 통제에 대한 최신 IT 표준을 포함하도록 위험 관리 정책을 업데이트하도록 하는 것을 제외한 모든 권고에 동의했다.

이에 대해 국방부는 "기존의 부서 정책은 NIST Pub 800-53을 강제하고 DOD CIO는 이 감사의 범위를 벗어났다"며 GAO에 권고를 삭제할 것을 요청했다

보고서에 따르면 GAO는 모든 권고사항을 준수하고 있다.