CISA, 1억 3천 8백만 달러 규모의 사이버 보안 유지 자금 부실 관리 논란: 자격 미달 인력에게 인센티브 지급

미국 사이버 보안 및 인프라 보안국(CISA)이 사이버 보안 인력 유지 자금을 부적절하게 관리했다는 보고서가 발표되어 논란이 일고 있습니다. DHS 감사관실(OIG)의 보고서에 따르면 CISA는 2020년부터 2024년 사이에 받은 1억 3천 8백만 달러 이상의 연방 자금을 비효율적으로 사용했으며, 자격 미달 인력에게 인센티브를 지급하는 등 심각한 문제점을 드러냈습니다.

부실한 자금 관리와 감독 부족

OIG는 CISA가 사이버 보안 유지 인센티브 프로그램을 제대로 설계, 구현 및 관리하지 못했다고 지적했습니다. 그 결과, 미션 크리티컬 또는 높은 자격 기준을 충족하지 못하는 직원들에게 인센티브가 지급되었으며, 심지어 사이버 보안과 관련 없는 행정직 직원들도 포함되었습니다. 또한, 348명의 개인에게 허용되지 않은 141만 달러의 소급 지급이 이루어졌다는 사실도 밝혀졌습니다.

정확하지 않은 기록 및 자격 요건 확대

CISA의 최고 인적 자본 책임자 사무실은 수혜자 또는 지급에 대한 정확한 기록을 유지하지 않았으며, 적절한 절차 없이 자격 요건을 확대했습니다. DHS의 감독 또한 불충분했던 것으로 드러났습니다. 이러한 문제점들은 CISA가 핵심 사이버 보안 인력을 유지하는 데 어려움을 겪게 만들었습니다.

사이버 보안 인력 유출 위험 증가

OIG는 희석된 인센티브 프로그램이 자격을 갖춘 사이버 보안 전문가들의 사기를 저하시키고, CISA가 핵심 인력을 유지하는 능력을 저해한다고 주장했습니다. CISA가 프로그램의 의도를 우회하여 광범위한 인력에게 사이버 인센티브를 계속 제공할 경우, 인력 유출과 사이버 위협에 대한 취약성이 증가할 뿐만 아니라 불필요한 지출이 발생할 위험이 있습니다.

개선 조치 및 미해결 과제

OIG는 프로그램의 건전성을 개선하기 위해 8가지 단계를 권고했으며, CISA는 모든 권고에 동의했습니다. 7가지 권고는 이미 구현된 것으로 보이지만, 8번째 권고는 여전히 해결되지 않은 상태이며, 이는 부적격 직원에게 지급된 부적절한 지급금을 회수하는 것과 관련이 있습니다.

맺음말

이번 보고서는 CISA의 자금 관리 및 감독 시스템에 대한 심각한 우려를 제기하며, 사이버 보안 인력 유지에 대한 잠재적인 위험을 강조합니다. CISA는 OIG의 권고를 완전히 이행하고, 효과적인 자금 관리 및 감독 시스템을 구축하여 사이버 보안 역량을 강화해야 할 것입니다.