미국 CISA 내부 기밀 정보 유출 및 보안 관리 부실
미국 사이버 보안 전담 기관인 CISA가 계약업체 직원의 실수로 내부 시스템 접근 권한과 비밀번호를 외부에 노출했습니다. 기관의 보안 관리 체계에 대한 비판이 제기되는 가운데, 현재 CISA는 국장 공석과 인력 이탈 등 내부적인 어려움을 겪고 있습니다.
주장미국 사이버 보안을 총괄하는 CISA(사이버보안 및 인프라 보안국)가 내부 보안 수칙을 위반하며 민감한 정보를 외부에 노출했습니다. 이는 정부 기관의 보안 관리 체계에 심각한 결함이 있음을 보여줍니다.
팩트보안 연구원 기욤 발라동은 CISA 계약업체 직원이 깃허브 저장소에 공개한 스프레드시트에서 평문 비밀번호를 발견했습니다. 해당 문서에는 정부 클라우드 및 내부 시스템에 접근할 수 있는 토큰과 키가 포함되어 있었습니다.
팩트노출된 정보는 CISA와 상위 기관인 국토안보부 시스템에 접근할 수 있는 권한을 담고 있었습니다. 연구원은 일부 키가 실제로 유효한지 직접 테스트하여 확인했습니다.
교차검증CISA는 민간 연방 네트워크의 사이버 보안을 책임지며 보안 모범 사례를 권고하는 기관입니다. 그러나 이번 사건은 기관 스스로 비밀번호를 안전한 관리 도구가 아닌 보호되지 않은 문서에 저장했다는 점에서 비판을 피하기 어렵습니다.
팩트연구원은 계약업체 측에 먼저 알림을 보냈으나 응답이 없자 보안 기자 브라이언 크렙스에게 이 사실을 제보했습니다. 현재까지 해당 정보를 연구원 외에 다른 사람이 악용했는지는 확인되지 않았습니다.
교차검증CISA 대변인은 이번 노출로 인한 실제 침해 사례가 있는지에 대해 즉각적인 답변을 내놓지 않았습니다. 또한 노출된 자격 증명을 모두 폐기하고 교체했는지 여부도 명확히 밝히지 않았습니다.
주장이번 사고는 계약업체 직원의 실수로 발생했으나, 최종적인 책임은 CISA에 있습니다. 정부 기관은 계약업체의 보안 관리까지 철저히 감독할 의무가 있습니다.
팩트CISA는 2025년 1월 20일 젠 이스터리 국장이 사임한 이후 현재까지 상임 국장직이 공석입니다. 트럼프 행정부 출범 이후 예산 삭감과 인력 감축으로 인해 전체 인력의 약 3분의 1이 이탈했습니다.
교차검증인력 부족과 리더십 공백은 기관의 운영 효율성과 보안 감시 능력을 저하시키는 요인입니다. 이러한 내부적 불안정이 이번 보안 사고의 근본적인 원인일 가능성이 있습니다.
출처테크크런치 보도 및 브라이언 크렙스 보도 자료를 교차 검증했습니다.
본 기사는 전문가의 분석과 공개 자료를 기반으로 AI가 작성 후 다른 AI의 검증을 거쳐 작성됐으며 정보의 정확성과 완전성을 보장하지 않습니다. 기사 내용은 특정 투자·의사결정의 권유가 아니며, Wittgenhaus는 이를 근거로 한 행위의 결과에 책임을 지지 않습니다.