[심층-내부고발과 경영혁신] 47. 미국 국가안보국(NSA)의 스노든 사건 사례연구... 법원 영장없이 일반인 통화 무차별 감청 사실 드러나
CIA·NSA 등 정보기관 거치며 중요 비밀정보 획득... 부실한 신원조사 및 DB 보안정책 전면 보완해야
2025-05-22
2017년 개봉된 영화 '스노든(Snowden)'은 미국 국가안보국(NSA) 요원인 에드워드 조셉 스노든(Edward Joseph Snowden)의 실화를 다뤘다. 스노든은 2013년 영국 언론사인 가디언에 NSA의 기밀문서를 공개헸다.
공개된 내용은 미국 내 통화감찰 기록과 프리즘(PRISM) 감시프로그램 등이다. NSA가 테러나 범죄와 연관되지 않은 일반인의 전화번호, 이메일, 통화기록 등을 무차별적으로 수집했다는 사실이 밝혀졌다.
스노든으로부터 비밀 문서를 넘겨 받은 가디언의 글렌 그린월드 기자는 2014년 5월 '더 이상 숨을 곳이 없다(No Place to Hide)'라는 책을 출간했다. NSA의 내부고발 사건의 내역을 살펴보자.
▲ 미국 국가안보국(NSA) 요원인 스노든의 내부고발 진행 내역 [출처=국가정보전략연구소(iNIS)
◇ CIA·NSA 등 정보기관 거치며 중요 비밀정보 획득... 법원 영장없이 일반인 통화 무차별 감청 사실 드러나
스노든은 고등학교를 졸업한 후 2004년 특수부대인 그린베레에 입대했다. 훈련 과정에서 부상을 당해 2004년 제대하고 2005년 국방부 산하 고등언어연구센터의 경비원으로 입사했다.
2006년 중앙정보국(CIA)에 들어가며 컴퓨터 전문가로서 길을 걷게 된다. 6개월 동안 해킹, 사이버보안 등의 교육을 받고 정보보안 전문가로 성장했다.
2009년 CIA를 그만둔 후에 NSA와 계약을 맺은 델(Dell)에 입사했다. 델의 소속 직원이었지만 실제 수행하는 업무는 NSA의 시스템 관리자로 일했다. 4년 동안 NSA의 컴퓨터 시스템을 관리했다.
2011년부터 델의 수석기술자로 CIA의 계정을 관리했다. CIA의 고위 관리자에게 기술자문을 제공하며 고급 정보를 다룰 기회를 얻었다. 2013년 델을 떠나 방첩 컨설팅업체인 부즈 앨런 해밀턴(Booz Allen Hamilton)으로 직장을 옮겼다.
2013년 홍콩으로 이동해 영국 가디언에 관련 사실을 제보했다. 21개 국가에 망명을 신청했지만 미국과 외교적 관계를 맺은 모든 국가가 거절했다.
결국 러시아로 망명을 시도했다. 러시아는 2020년까지 망명을 허용했다가 2022년 10월 영주권을 부여했다. 러시아 푸틴 대통령은 2022년 9월 스노든에게 러시아 시민권을 제공했다.
스노든이 공개한 비밀정보는 프리즘에 관련된 것이다. 프리즘은 2007년부터 가동된 NSA의 국가보안전자감시체계 중 하나다. 2001년 9.11 테러 이후 개발된 테러리스트 감시 프로그램의 일환이다.
실제 미국 정부는 프리즘을 통해 수집한 정보로 다양한 테러를 예방했다고 밝혔다. 2001년부터 2013년까지 잠재적 테러 위험의 90% 이상을 막았다는 주장도 내놓았다.
하지만 법원의 영장을 발부받지 않고 개인정보를 수집할 수 있다는 측면에서 비판을 받았다. 대통령의 행정명령만으로 전화, 이메일, 인터넷 기록 등을 확인한다.
프리즘이 잠재적 테러리스트를 감시하는 당연하지만 일반 대중의 정보를 수집한다는 것이 밝혀진 것이다. 평범한 국민도 NSA가 판단하는 '위험하고 범죄적인' 활동과 연루되면 조사를 피하기 어렵다.
미국 NSA는 1950년대부터 영국, 캐나다, 오스트레일리아, 뉴질랜드 등 4개국과 협력하고 있다. 국제적으로 이러한 동맹 관계를 파이브 아이즈(Five Eyes)라고 부른다.
◇ 조직 내부에서 문제 제기해 해결 시도했어야... 부실한 신원조사 및 DB 보안정책 전면 보완해야
미국은 2001년 9·11 테러 이후 20년 이상 '테러와의 전쟁'을 수행하고 있다. 아프가니스탄전쟁, 이라크전쟁, 리비아전쟁 등을 벌였다. NSA의 내부고발의 쟁점과 판단을 정리하면 다음과 같다.
첫째, 내부고발자인 스노든이 우선 CIA나 NSA 조직 내부에 문제를 제기했으면 좋았다. 이들 조직이 법률이 허용하는 범위 내에서 업무를 수행했다는 측면에서 아쉬움이 남는다.
미국 정부는 자체 감사실이나 감독기관에 내부고발하는 것은 장려하는 편이다. 정부 차원에서 내부고발자로 보호하는 절차나 방법도 정해져 있다.
둘째, 미국 정부가 스노든의 망명을 저지하는 과정에서 동맹국과 불협화음을 빚은 점도 아쉽다. 스노든은 미국 정부의 영향력이 약한 홍콩에서 내부고발을 단행했지만 안전하지 않았다.
21개 국가에 망명을 신청했지만 거절당했다. 결국 적성국가인 러시아로 도피한 스노든은 안전을 담보로 각종 비밀정보를 넘겨줬을 가능성이 높다.
차라리 중립국가나 우방국에 망명하도록 배려했으면 비밀 보호가 용이했을 것으로 추정된다. 강력한 단죄나 처벌만이 능사가 아니라는 점을 확인할 수 있었다.
셋째, 스노든의 실력이 뛰어날 수 있었지만 신원조사가 부실했다는 비판에서 자유롭지 못했다. 조부모와 부오의 배경이 좋았지만 고등학교를 졸업하고 다양한 프리랜스 직업을 갖는 동안 행실은 좋지 않았다.
실제 다양한 기업으로 이직하는 과정에서 제출한 이력서의 내용이 거짓이라는 것이 밝혀졌지만 걸러내지 못했다. 신원조사를 철저하게 진행했다면 고급 정보에 접근할 기회를 차단했을 것이다.
마지막으로 스노든이 공식적으로 서버 시스템 관리자였지만 서버에 저장된 데이터베이스(DB)에 대한 접근권을 제한했어야 했다.
서버 관리자가 당연하게 서버에 저장된 자료를 관리해야 하지만 원천 소스(source)에 접근해 내용까지 학인하는 것은 바람직하지 않다. DB 보안 측면에서 기존 보안정책을 전면 재검토할 필요성이 높다.
- 계속 -
공개된 내용은 미국 내 통화감찰 기록과 프리즘(PRISM) 감시프로그램 등이다. NSA가 테러나 범죄와 연관되지 않은 일반인의 전화번호, 이메일, 통화기록 등을 무차별적으로 수집했다는 사실이 밝혀졌다.
스노든으로부터 비밀 문서를 넘겨 받은 가디언의 글렌 그린월드 기자는 2014년 5월 '더 이상 숨을 곳이 없다(No Place to Hide)'라는 책을 출간했다. NSA의 내부고발 사건의 내역을 살펴보자.
▲ 미국 국가안보국(NSA) 요원인 스노든의 내부고발 진행 내역 [출처=국가정보전략연구소(iNIS)
◇ CIA·NSA 등 정보기관 거치며 중요 비밀정보 획득... 법원 영장없이 일반인 통화 무차별 감청 사실 드러나
스노든은 고등학교를 졸업한 후 2004년 특수부대인 그린베레에 입대했다. 훈련 과정에서 부상을 당해 2004년 제대하고 2005년 국방부 산하 고등언어연구센터의 경비원으로 입사했다.
2006년 중앙정보국(CIA)에 들어가며 컴퓨터 전문가로서 길을 걷게 된다. 6개월 동안 해킹, 사이버보안 등의 교육을 받고 정보보안 전문가로 성장했다.
2009년 CIA를 그만둔 후에 NSA와 계약을 맺은 델(Dell)에 입사했다. 델의 소속 직원이었지만 실제 수행하는 업무는 NSA의 시스템 관리자로 일했다. 4년 동안 NSA의 컴퓨터 시스템을 관리했다.
2011년부터 델의 수석기술자로 CIA의 계정을 관리했다. CIA의 고위 관리자에게 기술자문을 제공하며 고급 정보를 다룰 기회를 얻었다. 2013년 델을 떠나 방첩 컨설팅업체인 부즈 앨런 해밀턴(Booz Allen Hamilton)으로 직장을 옮겼다.
2013년 홍콩으로 이동해 영국 가디언에 관련 사실을 제보했다. 21개 국가에 망명을 신청했지만 미국과 외교적 관계를 맺은 모든 국가가 거절했다.
결국 러시아로 망명을 시도했다. 러시아는 2020년까지 망명을 허용했다가 2022년 10월 영주권을 부여했다. 러시아 푸틴 대통령은 2022년 9월 스노든에게 러시아 시민권을 제공했다.
스노든이 공개한 비밀정보는 프리즘에 관련된 것이다. 프리즘은 2007년부터 가동된 NSA의 국가보안전자감시체계 중 하나다. 2001년 9.11 테러 이후 개발된 테러리스트 감시 프로그램의 일환이다.
실제 미국 정부는 프리즘을 통해 수집한 정보로 다양한 테러를 예방했다고 밝혔다. 2001년부터 2013년까지 잠재적 테러 위험의 90% 이상을 막았다는 주장도 내놓았다.
하지만 법원의 영장을 발부받지 않고 개인정보를 수집할 수 있다는 측면에서 비판을 받았다. 대통령의 행정명령만으로 전화, 이메일, 인터넷 기록 등을 확인한다.
프리즘이 잠재적 테러리스트를 감시하는 당연하지만 일반 대중의 정보를 수집한다는 것이 밝혀진 것이다. 평범한 국민도 NSA가 판단하는 '위험하고 범죄적인' 활동과 연루되면 조사를 피하기 어렵다.
미국 NSA는 1950년대부터 영국, 캐나다, 오스트레일리아, 뉴질랜드 등 4개국과 협력하고 있다. 국제적으로 이러한 동맹 관계를 파이브 아이즈(Five Eyes)라고 부른다.
◇ 조직 내부에서 문제 제기해 해결 시도했어야... 부실한 신원조사 및 DB 보안정책 전면 보완해야
미국은 2001년 9·11 테러 이후 20년 이상 '테러와의 전쟁'을 수행하고 있다. 아프가니스탄전쟁, 이라크전쟁, 리비아전쟁 등을 벌였다. NSA의 내부고발의 쟁점과 판단을 정리하면 다음과 같다.
첫째, 내부고발자인 스노든이 우선 CIA나 NSA 조직 내부에 문제를 제기했으면 좋았다. 이들 조직이 법률이 허용하는 범위 내에서 업무를 수행했다는 측면에서 아쉬움이 남는다.
미국 정부는 자체 감사실이나 감독기관에 내부고발하는 것은 장려하는 편이다. 정부 차원에서 내부고발자로 보호하는 절차나 방법도 정해져 있다.
둘째, 미국 정부가 스노든의 망명을 저지하는 과정에서 동맹국과 불협화음을 빚은 점도 아쉽다. 스노든은 미국 정부의 영향력이 약한 홍콩에서 내부고발을 단행했지만 안전하지 않았다.
21개 국가에 망명을 신청했지만 거절당했다. 결국 적성국가인 러시아로 도피한 스노든은 안전을 담보로 각종 비밀정보를 넘겨줬을 가능성이 높다.
차라리 중립국가나 우방국에 망명하도록 배려했으면 비밀 보호가 용이했을 것으로 추정된다. 강력한 단죄나 처벌만이 능사가 아니라는 점을 확인할 수 있었다.
셋째, 스노든의 실력이 뛰어날 수 있었지만 신원조사가 부실했다는 비판에서 자유롭지 못했다. 조부모와 부오의 배경이 좋았지만 고등학교를 졸업하고 다양한 프리랜스 직업을 갖는 동안 행실은 좋지 않았다.
실제 다양한 기업으로 이직하는 과정에서 제출한 이력서의 내용이 거짓이라는 것이 밝혀졌지만 걸러내지 못했다. 신원조사를 철저하게 진행했다면 고급 정보에 접근할 기회를 차단했을 것이다.
마지막으로 스노든이 공식적으로 서버 시스템 관리자였지만 서버에 저장된 데이터베이스(DB)에 대한 접근권을 제한했어야 했다.
서버 관리자가 당연하게 서버에 저장된 자료를 관리해야 하지만 원천 소스(source)에 접근해 내용까지 학인하는 것은 바람직하지 않다. DB 보안 측면에서 기존 보안정책을 전면 재검토할 필요성이 높다.
- 계속 -
저작권자 © 엠아이앤뉴스, 무단전재 및 재배포 금지
