美 사회보장정보, 비보안 클라우드로 이전…내부고발에 '전국민 SSN 재발급' 우려

미국 사회보장국(SSA) 고위 관계자가 사회보장정보가 부실한 클라우드 환경에 복제됐다는 내부고발을 제기하며 파문이 커지고 있다. 이번 사안의 핵심에는 미국인 3억 명 이상의 개인 정보가 담긴 데이터베이스가 있으며, 이를 둘러싼 안전성 우려가 정치권으로 확산되는 모양새다.

내부고발자는 SSA의 최고데이터책임자(CDO)인 척 보르게스(Chuck Borges)로, 그는 비영리단체 '정부책임프로젝트(Government Accountability Project)'의 법적 지원을 받아 미 의회와 특수검사실에 공식 신고서를 접수했다. 그는 정부의 행정 효율화를 내세운 행정기관 'DOGE(Department of Government Efficiency)'가 SSA의 핵심 데이터베이스를 별도의 비보안 클라우드에서 재현했다며 그로 인한 심각한 위험성을 경고했다.

논란의 중심에 있는 데이터베이스는 ‘NUMIDENT’라고 불리는 시스템으로, 수십 년간 미국인들이 사회보장번호(SSN)를 신청하며 제출한 개인정보가 집적돼 있다. 이름, 생년월일, 연락처, 주소, 가족관계 등 민감한 정보가 포함돼 있으며, 방대한 범위의 기록으로 인해 국가 인프라 수준의 보안 자산으로 간주된다.

보르게스는 DOGE 직원들이 NUMIDENT의 ‘실시간 복사본’을 독자적인 클라우드 환경에 이식했다고 주장했다. 더 큰 문제는 이 클라우드 환경이 사이버 위협을 방어하는 데 부적합하며, SSA의 인프라 운영 전담 부서인 DIS가 아니라 DOGE 측 개발진이 관리하고 있다는 점이다. 이는 SSA의 내부 규정을 어기는 것으로, 연방 정보보안법(FISMA) 위반 소지도 있다는 지적이다.

이번 내부고발 문건에 따르면 DOGE는 6월 미국 연방대법원이 하위 법원의 데이터 접근 금지 조치를 뒤집은 직후, SSA 데이터에 접근하기 시작했다. 이후 DOGE가 클라우드 기반의 NUMIDENT 복사를 요청하자, SSA 내부 한 관계자는 이를 '고위험' 사안으로 분류한 위험 수용 요청서(Risk Acceptance Request Form)를 유포했다고 전해졌다.

사이버보안 전문 기업 딥템포(DeepTempo)의 AI 기술 책임자인 마얀크 쿠마르(Mayank Kumar)는 “NUMIDENT의 복사본이 실시간으로 갱신된다면 해당 시스템은 해커에게 있어 ‘단일 실패 지점(SPoC)’이 될 수 있다”며 “정적 보관 시스템보다 공격 타깃으로서 훨씬 더 유인력이 커진다”고 설명했다.

문건에 의하면 보르게스는 지난 8월 6일 SSA 고위 간부들과 관련 우려를 공유했으며, 한 고위직은 “미국인 전체에게 새로운 SSN을 재발급해야 할 수 있는 최악의 시나리오” 가능성을 언급한 것으로 전해졌다. 그럼에도 DOGE 측은 경고를 무시하고 프로젝트를 강행했다.

SSA 대변인은 해당 고발 내용에 대해 “SSA는 모든 개인 정보를 인터넷과 차단된 안전한 환경에서 저장한다”며 “해당 데이터는 SSA에서 오랜 기간 운영해온 시스템 내에 보관돼 있다”고 반박했다.

보안 업계 전문가들도 이번 사안을 심각하게 바라보고 있다. 보안 분석 기업 시큐리티스코어카드(SecurityScorecard)의 위협 인텔리전스 책임자 라이언 셔스토비토프(Ryan Sherstobitoff)는 “사회보장정보는 연방정부가 보관하는 가장 민감한 자산 중 하나이며, 이번 사건은 관리, 접근통제, 지속적인 거버넌스의 필요성을 극명히 보여준다”고 강조했다.

한편 DOGE는 올해 초부터 SSA 소프트웨어 전면 개편을 주도해온 바 있다. 3월 외신 보도에 따르면 이 기관은 SSA의 기존 지급관리 시스템을 몇 개월 내에 전면 재작성할 계획을 추진 중이었으며, 이에 대한 기술적 위험성이 꾸준히 제기돼 왔다.

현재로선 NUMIDENT 복제 프로젝트와 소프트웨어 재작성 계획과의 연관성 여부는 불투명하지만, 이번 사안이 데이터 보안의 영역을 넘어 사회 전반의 신뢰 문제로 비화될 수 있다는 우려가 커지고 있다. SSA가 관리하는 데이터의 규모와 민감도를 감안할 때, 이번 고발은 단순한 보안상 실수가 아니라 체계적인 관리 실패로 비춰질 소지가 크다.