by Wizard

국방부 ‘시그널게이트’ 스캔들: 무허가 메시지 앱 사용, 보안 및 규정 준수의 그림자

미국 국방부에서 발생한 ‘시그널게이트’ 스캔들은 단순히 Pete Hegseth 국방장관 개인의 일탈이 아닌, 조직 전체에 만연한 무허가 메시지 앱 사용에 대한 경종을 울리고 있습니다. 상원 군사위원회의 조사 결과는 이러한 우려를 뒷받침하며, 기업의 IT 보안 담당자(CISO)들이 오랫동안 씨름해 온 문제, 즉 섀도우 IT와 무허가 앱의 위험성을 다시 한번 상기시켜 줍니다.

'시그널게이트' 사건의 발단

사건의 발단은 Hegseth 장관이 3월 15일 예멘 군사 작전 개시 두 시간 전에 Signal 앱을 통해 작전 세부 사항을 19명의 그룹에 공유한 사실이었습니다. 여기에는 실수로 추가된 기자도 포함되어 있었습니다. 상원 보고서는 Hegseth 장관의 행위가 개인 기기에서 민감한 정보를 전송하고, 승인되지 않은 Signal 앱을 사용하여 중요한 작전 정보를 사전에 노출함으로써 보안 정책을 위반했다고 결론지었습니다.

국방부 내 섀도우 커뮤니케이션 문화

더욱 심각한 문제는 이 사건이 국방부 내에 만연한 섀도우 커뮤니케이션 문화의 단면을 보여준다는 점입니다. 코로나19 팬데믹 기간 동안 비디오 회의 앱의 광범위한 사용을 포함하여 다양한 방식으로 무허가 앱이 사용되고 있었음이 드러났습니다. 위원회의 보고서는 이러한 앱 사용이 합법적인 업무 필요에 의한 것이었는지, 아니면 보안 위협을 초래했는지 명확히 판단하기 어렵다고 밝혔습니다.

무허가 앱 사용의 이유와 위험성

보고서는 국방부 직원들이 무허가 메시지 앱을 사용하는 이유 중 하나로 편리한 대안의 부족을 지적했습니다. 또한, 일부 직원은 보안성이 높다는 인식 때문에 이러한 앱을 사용했을 가능성이 있습니다. 그러나 이러한 앱 사용은 민감한 국방부 정보를 적에게 노출할 위험을 증가시키고, 공식 기록 보존 의무를 위반할 수 있다는 점을 강조했습니다.

상원 군사위원회의 권고 사항

상원 군사위원회는 문제 해결을 위해 다음과 같은 권고 사항을 제시했습니다. 첫째, 승인된 앱을 개발하여 무허가 앱 사용의 필요성을 제거해야 합니다. 둘째, 기존 통신 규정을 준수하도록 교육 프로그램을 시행해야 합니다. 셋째, 특정 상황에서만 고위 직원이 메시지 앱을 사용할 수 있도록 권한을 제한해야 합니다.

기업 환경에 주는 교훈

'시그널게이트' 스캔들은 정부 기관뿐만 아니라 기업 환경에서도 섀도우 IT와 무허가 앱 사용이 얼마나 심각한 문제인지 보여줍니다. 직원들은 업무 편의성을 위해 승인되지 않은 앱을 사용하고, 이는 기업의 보안, 규정 준수, 데이터 보존 정책을 위협할 수 있습니다. BYOD(Bring Your Own Device) 환경과 클라우드 서비스의 확산은 이러한 문제를 더욱 심화시키고 있습니다.

섀도우 IT 문제 해결을 위한 노력

기업은 섀도우 IT 문제 해결을 위해 다음과 같은 노력을 기울여야 합니다. 첫째, IT 정책을 명확하게 수립하고, 직원들에게 교육해야 합니다. 둘째, 승인된 앱과 서비스를 제공하여 직원들이 안전하게 업무를 수행할 수 있도록 지원해야 합니다. 셋째, IT 시스템을 지속적으로 모니터링하여 무허가 앱 사용을 탐지하고, 위험을 평가해야 합니다. 넷째, 최신 보안 기술을 도입하여 섀도우 IT로 인한 보안 위협을 예방해야 합니다.