FedRAMP 인증 허위 보고로 군 계약 따내려다 발각
법무부, 사이버 보안 위반 개인 형사 기소...“민사 넘어 단호 대응”
[보안뉴스 김형근 기자] 미국 IT 서비스 제공업체 액센츄어에 몸 담았던 직원이 육군 및 기타 기관에서 사용하는 클라우드 플랫폼의 보안 상태에 대해 연방 정부를 속인 혐의로 기소됐다.
사이버 보안 규정 위반 사건에 대해 그간 정부는 보통 민사 소송으로 대응했다. 이번 기소는 이같은 방침을 바꿔 사이버 솔루션 조달과 관련된 부정에 단호하게 대응하고 개인의 책임을 묻겠다는 정책적 의지로 해석된다.
[자료: 연합뉴스]
법무부가 이번 주 제출한 기소장에 따르면, 피의자 다니엘 힐머는 우리나라 조달청에 해당하는 총무청(GSA)의 연방 위험 및 인증 관리 프로그램(FedRAMP)이 요구하는 보안 통제 사항을 클라우드 플랫폼이 준수하지 않았음에도 이를 은폐한 혐의를 받고 있다.
보안 분야 자격 부풀려 수주계약 따내려다 덜미 잡혀
힐머는 2020년 3월부터 2021년 11월까지 액센츄어 연방 서비스 클라우드 관리 서비스 담당 책임자로 근무했다.
그는 이 기간 동안 자신이 관리하던 클라우드 플랫폼의 FedRAMP 인증을 ‘중간’(Moderate)에서 ‘높음’(High)으로 상향하려 했다. 당시 진행하던 육군 계약을 수주하려면 FedRAMP ‘높음’이 필요했기 때문이다. 경영 실적을 부풀리는 것과 같이, 보안 분야 핵심 자격을 조작해 정부 공사(계약)를 따내려 한 행위로 볼 수 있다.
FedRAMP ‘높음’은 군사 데이터나 국가 안보에 직결되는 가장 민감하고 중요한 정보를 다루는 클라우드 시스템에 부여되는 최고 등급 보안 허가증이다. 이 허가증을 받으려면 수백 가지의 엄격한 보안 통제를 100% 준수해야 한다.
힐머는 평가자와 인증 책임자에게 이러한 ‘알려진 문제’를 은폐한 혐의를 받고 있다. 클라우드 플랫폼 보안에 심각한 결함이 있고 계약을 딸 자격이 없다는 내부 및 외부의 경고를 알면서도 무시하고, 허위 자료를 제출해 정부를 속인 혐의로 기소됐다.
그는 플랫폼의 아키텍처, 보안 통제 구현, 위험 상태에 대해 실질적으로 허위이고 오해의 소지가 있는 진술이 포함된 자료를 FedRAMP와 공동인증위원회(JAB)에 제출했다.
법무부에 따르면, 이 클라우드 플랫폼은 2021년 7월, FedRAMP ‘높음’ 임시 운영 승인(P-ATO)을 획득했다. 육군 등 최소 6개 부처 및 기관이 이 P-ATO를 사용하거나 사용할 계획이었다.
관련된 계약 및 하도급 규모는 2억5000만달러(약 3400억 원) 이상이었다. 전신 사기 혐의만으로 최대 20년의 징역형을 선고받을 수 있는 등 형사상 책임은 매우 중대하다.
문제의 클라우드 플랫폼이나 기업 이름은 기소장에 명시되지 않았다. 다만 기소장 기록과 힐다의 링크드인 프로필에 소개된 경력 등을 통해 이 시기 그가 액센츄어에 근무했단 사실은 확인됐다.
법무부는 그동안 보안 규정 위반 등 사이버 사기에 대해 주로 민사 소송을 통해 회사에 벌금을 물리는 방식을 사용해왔다. 이번에 처음 담당자인 개인을 표적으로 해 형사 사건을 제기했다는 점에서, 강력한 정책적 전환이 이루어지고 있다는 해석이 나온다.
[김형근 기자(editor@boannews.com)]
법무부, 사이버 보안 위반 개인 형사 기소...“민사 넘어 단호 대응”
[보안뉴스 김형근 기자] 미국 IT 서비스 제공업체 액센츄어에 몸 담았던 직원이 육군 및 기타 기관에서 사용하는 클라우드 플랫폼의 보안 상태에 대해 연방 정부를 속인 혐의로 기소됐다.
사이버 보안 규정 위반 사건에 대해 그간 정부는 보통 민사 소송으로 대응했다. 이번 기소는 이같은 방침을 바꿔 사이버 솔루션 조달과 관련된 부정에 단호하게 대응하고 개인의 책임을 묻겠다는 정책적 의지로 해석된다.
[자료: 연합뉴스]
법무부가 이번 주 제출한 기소장에 따르면, 피의자 다니엘 힐머는 우리나라 조달청에 해당하는 총무청(GSA)의 연방 위험 및 인증 관리 프로그램(FedRAMP)이 요구하는 보안 통제 사항을 클라우드 플랫폼이 준수하지 않았음에도 이를 은폐한 혐의를 받고 있다.
보안 분야 자격 부풀려 수주계약 따내려다 덜미 잡혀
힐머는 2020년 3월부터 2021년 11월까지 액센츄어 연방 서비스 클라우드 관리 서비스 담당 책임자로 근무했다.
그는 이 기간 동안 자신이 관리하던 클라우드 플랫폼의 FedRAMP 인증을 ‘중간’(Moderate)에서 ‘높음’(High)으로 상향하려 했다. 당시 진행하던 육군 계약을 수주하려면 FedRAMP ‘높음’이 필요했기 때문이다. 경영 실적을 부풀리는 것과 같이, 보안 분야 핵심 자격을 조작해 정부 공사(계약)를 따내려 한 행위로 볼 수 있다.
FedRAMP ‘높음’은 군사 데이터나 국가 안보에 직결되는 가장 민감하고 중요한 정보를 다루는 클라우드 시스템에 부여되는 최고 등급 보안 허가증이다. 이 허가증을 받으려면 수백 가지의 엄격한 보안 통제를 100% 준수해야 한다.
힐머는 평가자와 인증 책임자에게 이러한 ‘알려진 문제’를 은폐한 혐의를 받고 있다. 클라우드 플랫폼 보안에 심각한 결함이 있고 계약을 딸 자격이 없다는 내부 및 외부의 경고를 알면서도 무시하고, 허위 자료를 제출해 정부를 속인 혐의로 기소됐다.
그는 플랫폼의 아키텍처, 보안 통제 구현, 위험 상태에 대해 실질적으로 허위이고 오해의 소지가 있는 진술이 포함된 자료를 FedRAMP와 공동인증위원회(JAB)에 제출했다.
법무부에 따르면, 이 클라우드 플랫폼은 2021년 7월, FedRAMP ‘높음’ 임시 운영 승인(P-ATO)을 획득했다. 육군 등 최소 6개 부처 및 기관이 이 P-ATO를 사용하거나 사용할 계획이었다.
관련된 계약 및 하도급 규모는 2억5000만달러(약 3400억 원) 이상이었다. 전신 사기 혐의만으로 최대 20년의 징역형을 선고받을 수 있는 등 형사상 책임은 매우 중대하다.
문제의 클라우드 플랫폼이나 기업 이름은 기소장에 명시되지 않았다. 다만 기소장 기록과 힐다의 링크드인 프로필에 소개된 경력 등을 통해 이 시기 그가 액센츄어에 근무했단 사실은 확인됐다.
법무부는 그동안 보안 규정 위반 등 사이버 사기에 대해 주로 민사 소송을 통해 회사에 벌금을 물리는 방식을 사용해왔다. 이번에 처음 담당자인 개인을 표적으로 해 형사 사건을 제기했다는 점에서, 강력한 정책적 전환이 이루어지고 있다는 해석이 나온다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.JPG)
.png){kind=spacer}
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
