Opexus가 “쌍둥이를 채용한 책임자들은 더 이상 Opexus에 재직하지 않는다”고 한 대목이 Monty Python의 “방금 해고된 사람들을 해고한 책임자들도 해고됐다”는 고전 대사에 가까워짐
농담은 제쳐두고, 이런 사건에서 많은 고용주가 가장 극단적이고 비인간적인 교훈만 얻을까 걱정됨. 예를 들어 해고와 정리해고를 최대한 갑작스럽게 하고 접근 권한을 즉시 끊거나, 수십 년 전 대마초 소지 같은 전과까지 포함해 범죄 기록이 있으면 절대 두 번째 기회를 주지 않는 식임
더 균형 잡힌 접근이 낫다고 봄. 민감한 시스템에 대한 일방적 접근 권한은 최근 해고자뿐 아니라 전반적으로 제한하고, 해고 시 특히 민감한 자격 증명은 즉시 끊되 일반 로그인이나 이메일 계정까지 모두 날리지는 말아야 함. 전신 사기 유죄 판결자를 시스템 관리자로 뽑지 말고, 비밀번호는 제발 해시해야 함
해고 통보 회의 중, 당사자가 아직 알기 전에 접근 권한을 끊고 필요하면 비밀번호를 교체하는 건 적어도 지난 20년간 표준 절차였음
저 정도 접근 권한을 가진 사람이라면 “해고를 최대한 갑작스럽게 하고 접근 권한을 즉시 끊는” 걸 안 하는 쪽이 무능임. 이런 직무에서는 완전히 표준이고 반드시 그래야 함
내가 일한 곳에서는 대부분의 IT 직원에게 늘 그랬음. HR과 면담하는 동안 누군가 책상을 정리하고, 보안 담당자가 밖까지 동행함
지금도 이미 그렇게 함
미국에서는 Teams 회의 중 뒤에서 접근 권한을 끊고, 이력서에 공백이나 문제, 작은 흠집이라도 있으면 어떤 AI 에이전트가 휴지통으로 던져버림
악의적인 에이전트형 AI 시대에 이런 수준의 접근 권한은 부주의함. 이런 일이 아예 일어나지 않게 막는 공학적 통제가 없었다면, 단순한 피싱이나 공급망 공격만으로도 같은 결과나 더 나쁜 결과가 쉽게 났을 것임
직원은 언제나 마지막에 알게 됨. 이건 표준적인 절차임
애초에 이런 사람들이 어떻게 채용됐는지 신기함. 미국인도 아닌 것처럼 보이는데, 어떻게 민감한 시스템에서 일할 수 있었는지 의문임
오후 4시 58분에 “DROP DATABASE dhsproddb” 명령으로 Department of Homeland Security 데이터베이스를 지웠고, 4시 59분에는 AI 도구에 “데이터베이스 삭제 후 SQL 서버 시스템 로그를 어떻게 지우나?”라고 물음. 나중에는 “Microsoft Windows Server 2012의 모든 이벤트와 애플리케이션 로그를 어떻게 지우나?”도 물었음
한 시간 안에 Muneeb은 미국 정부 정보가 담긴 데이터베이스 약 96개를 삭제함
DHS잖음. 유능하거나 최고의 인재를 뽑는 기관으로 알려진 척할 필요는 없음. 넥타이와 총을 든 과장된 침팬지들에 가까움
입사지원서에서 중범죄 전과를 숨겼고, 어떤 평범한 이유로든 신원조회 업체가 걸러내지 못했거나, 계약업체가 너무 무능해서 아예 확인하지 않았을 것 같음
“미국인이 아닌 것처럼 보인다”는 결론은 어떻게 낸 건지 궁금함. 그냥 이름만 보고 그런 건가?
2025년 3월 12일 Alexandria의 Sohaib 자택에서 수색영장이 집행됐고, 요원들은 여러 기술 장비뿐 아니라 총기 7정과 .30 구경 탄약 370발도 발견함. 이전 범죄 전력상 Sohaib은 이런 걸 갖고 있으면 안 됐음
제발 범죄를 저지르는 와중에 또 다른 범죄를 저지르지는 말아야 함
“이전 범죄 전력상 Sohaib은 이런 걸 갖고 있으면 안 됐다”는 정도가 아니라, 누구도 개인 무기고를 가져서는 안 됨
뒷문으로 뛰쳐나갔는데 마침 주 경계선이 있어서, 모든 걸 덮으려고 총기를 자기 집으로 우편 발송하는 장면을 조금 기대했음
멍청한 범죄자가 잡히는 쪽으로 강한 선택 편향이 있음
범죄는 한 번에 하나만 저질러야 함
미국 정부는 기본적인 소프트웨어 구축도 너무 무능해서, 이런 사건을 오히려 좋은 일로 볼 수밖에 없음. 이전의 수천 건 침투는 이렇게 쉽게 탐지되지 않았을 거라고 봄
오후 4시 58분에 “DROP DATABASE dhsproddb” 명령으로 Department of Homeland Security 데이터베이스를 날렸다는 대목이 너무 웃김. 티격태격하는 두 형제가 Casey Affleck과 Scott Caan이 연기한 Oceans 영화 속 인물들을 떠올리게 함
이들이 민감한 데이터에 이렇게 가까이 갔다는 게 놀라움
오후 4시 59분에 AI 도구에 “데이터베이스 삭제 후 SQL 서버 시스템 로그를 어떻게 지우나?”라고 묻고, 나중에 “Microsoft Windows Server 2012의 모든 이벤트와 애플리케이션 로그를 어떻게 지우나?”라고 물은 건 위험 신호가 너무 많아서 말이 안 나옴
“남자인가요?” “네, 19.” “살아 있나요?” “네, 18!” “Evel Knievel.”
이 둘은 약간 Rosencrantz and Guildenstern 같은 느낌도 남
영화에서 그 둘은 늘 하이라이트였음. 특히 한 명이 멕시코 공장 폭동에서 다른 한 명과 합류하는 장면이 좋았음
어디서부터 말해야 할지 모르겠지만, 이 두 광대가 DHS의 운영 데이터베이스에 접근할 수 있는 보안 인가를 받았을 리는 없음. 그 수준의 인가를 가진 다른 직원의 자격 증명을 훔쳤다고 보는 수밖에 없음
게다가 세금 기록은 DHS 도메인에 저장되지 않음. 세부 사항을 가리려고 이야기가 정제된 것 같고, 그럴 수는 있겠지만 배경 설명은 믿기 어려움
약 25년 전 내가 다니던 회사에서 정리해고가 있었음. DBA 한 명도 다른 사람들과 함께 해고됐는데, 그 시절에는 접근 권한을 즉시 회수하지 않았고 업무용 컴퓨터도 하루 끝까지 쓸 수 있었음. 대부분은 짐을 싸서 떠났음
그런데 해고된 그 DBA는 남아서 자신이 맡은 데이터베이스 백업 작업을 끝까지 마쳤고, 일이 끝난 뒤 짐을 싸서 나갔음. 실화임
5천 개 비밀번호에 어떻게 접근했는지 모르겠음. 평문 비밀번호로 전송되거나 저장되고 있었던 건가? 기사에서 가장 이해하기 어려운 부분임
또 하나 불분명한 건, 고용 종료와 동시에 계정 접근 권한을 끊지 않으면서 어떻게 SOC 2를 통과할 수 있느냐는 것임
기사만 보면 비밀번호가 실제로 평문으로 저장된 것처럼 들림
“2025년 2월 1일, Muneeb Akhter는 Sohaib Akhter에게 Equal Employment Opportunity Commission의 Public Portal에 불만을 제출한 개인의 평문 비밀번호를 요청했다. 이 포털은 Akhter 형제의 고용주가 유지관리했다. Sohaib Akhter는 EEOC 데이터베이스에 쿼리를 실행한 뒤 해당 비밀번호를 Muneeb Akhter에게 제공했다. 이후 그 비밀번호는 해당 개인의 이메일 계정에 무단 접근하는 데 사용됐다.”
정책과 실제 실행은 다를 수 있음. 이 회사와 전체 경영진은 향후 조달에서 누군가의 블랙리스트에 올라야 함
SOC 2가 뭔지 잘 이해하지 못한 것 같음
첫째, SOC 2는 바이러스처럼 퍼지고, 자체 기술적 장점 때문에 채택되는 경우는 거의 없음. 둘째, 여러 수준이 있음. 첫 단계는 “우리가 보안을 어떻게 할지 계획을 문서로 썼다”는 수준임
두 번째 수준은 구현을 시작하거나 추적을 시작하는 정도일 수 있음. 핵심은 첫 단계임. 회사의 SOC 2 부서가 SOC 2 준수를 위해 멍청한 일을 해야 한다고 말한다면, 그 멍청함은 회사 내부 누군가가 만든 것이고 그 사람을 해고해야 함. 그래도 그 바보 같은 계획을 따라야 하는데, 그게 절차이기 때문임
이 경우 “사람을 어떻게 해고할 것인가”와 “하나의 대규모 언어 모델이 한 세션에서 운영 데이터베이스 96개를 DROP하지 못하게 어떻게 막을 것인가”에 대한 답이 계획에 있었고, 그 계획이 구현됐을 수도 있음. 그러면 회사는 여전히 SOC 2 준수 상태이고, 이게 작동하는 SOC 2 절차가 보이도록 되어 있는 모습일 수도 있음
오프보딩 정책에 달렸음. 정책이 72시간 같은 식이라면 정책 위반은 아닐 수 있음
평문이 아니라면 비밀번호를 정확히 어떻게 저장하길 원하는 건가? 물론 그다음 암호화해야 함. 5천 개는 많고, 권한 부여 절차가 망가진 건 맞지만 비밀번호 저장 방식과는 별개임
유일한 해법은 올바른 접근 분리와 배스천임
“해고된 직원이 회사 시스템 접근 권한을 가진 건 보안 위험”이라는 건 아님. 데이터베이스 96개를 지울 수 있는 직원 자체가, 재직 중이어도 보안 위험임
물론 제대로 고치는 것보다 고용 종료 시 모든 걸 끊는 비인간적인 경로가 더 쉽긴 함
우리 회사에서도 최근 정리해고가 있었음. 아직 젊은 회사라 최소 권한 원칙이 적용되지 않았고, 지원 요청 때문에 사람들이 운영 데이터베이스에 접근할 수 있었음. 그래도 아무도 나쁜 짓을 하지 않았음
사람들은 무슨 일이 벌어질지 알고 있었지만 보복은 없었음. 첫째, 법적 문제 없이 다음 직장으로 가려면 부담을 만들지 않는 게 낫고, 행동은 추적 가능함. 둘째, 왜 그래야 하나? 왜 동료들의 작업물을 망가뜨려야 하나?
Hacker News 의견들
Opexus가 “쌍둥이를 채용한 책임자들은 더 이상 Opexus에 재직하지 않는다”고 한 대목이 Monty Python의 “방금 해고된 사람들을 해고한 책임자들도 해고됐다”는 고전 대사에 가까워짐
농담은 제쳐두고, 이런 사건에서 많은 고용주가 가장 극단적이고 비인간적인 교훈만 얻을까 걱정됨. 예를 들어 해고와 정리해고를 최대한 갑작스럽게 하고 접근 권한을 즉시 끊거나, 수십 년 전 대마초 소지 같은 전과까지 포함해 범죄 기록이 있으면 절대 두 번째 기회를 주지 않는 식임
더 균형 잡힌 접근이 낫다고 봄. 민감한 시스템에 대한 일방적 접근 권한은 최근 해고자뿐 아니라 전반적으로 제한하고, 해고 시 특히 민감한 자격 증명은 즉시 끊되 일반 로그인이나 이메일 계정까지 모두 날리지는 말아야 함. 전신 사기 유죄 판결자를 시스템 관리자로 뽑지 말고, 비밀번호는 제발 해시해야 함
내가 일한 곳에서는 대부분의 IT 직원에게 늘 그랬음. HR과 면담하는 동안 누군가 책상을 정리하고, 보안 담당자가 밖까지 동행함
미국에서는 Teams 회의 중 뒤에서 접근 권한을 끊고, 이력서에 공백이나 문제, 작은 흠집이라도 있으면 어떤 AI 에이전트가 휴지통으로 던져버림
애초에 이런 사람들이 어떻게 채용됐는지 신기함. 미국인도 아닌 것처럼 보이는데, 어떻게 민감한 시스템에서 일할 수 있었는지 의문임
오후 4시 58분에 “DROP DATABASE dhsproddb” 명령으로 Department of Homeland Security 데이터베이스를 지웠고, 4시 59분에는 AI 도구에 “데이터베이스 삭제 후 SQL 서버 시스템 로그를 어떻게 지우나?”라고 물음. 나중에는 “Microsoft Windows Server 2012의 모든 이벤트와 애플리케이션 로그를 어떻게 지우나?”도 물었음
한 시간 안에 Muneeb은 미국 정부 정보가 담긴 데이터베이스 약 96개를 삭제함
https://www.somdnews.com/archive/news/19-year-old-twins-high...
2025년 3월 12일 Alexandria의 Sohaib 자택에서 수색영장이 집행됐고, 요원들은 여러 기술 장비뿐 아니라 총기 7정과 .30 구경 탄약 370발도 발견함. 이전 범죄 전력상 Sohaib은 이런 걸 갖고 있으면 안 됐음
제발 범죄를 저지르는 와중에 또 다른 범죄를 저지르지는 말아야 함
미국 정부는 기본적인 소프트웨어 구축도 너무 무능해서, 이런 사건을 오히려 좋은 일로 볼 수밖에 없음. 이전의 수천 건 침투는 이렇게 쉽게 탐지되지 않았을 거라고 봄
오후 4시 58분에 “DROP DATABASE dhsproddb” 명령으로 Department of Homeland Security 데이터베이스를 날렸다는 대목이 너무 웃김. 티격태격하는 두 형제가 Casey Affleck과 Scott Caan이 연기한 Oceans 영화 속 인물들을 떠올리게 함
이들이 민감한 데이터에 이렇게 가까이 갔다는 게 놀라움
이 둘은 약간 Rosencrantz and Guildenstern 같은 느낌도 남
어디서부터 말해야 할지 모르겠지만, 이 두 광대가 DHS의 운영 데이터베이스에 접근할 수 있는 보안 인가를 받았을 리는 없음. 그 수준의 인가를 가진 다른 직원의 자격 증명을 훔쳤다고 보는 수밖에 없음
게다가 세금 기록은 DHS 도메인에 저장되지 않음. 세부 사항을 가리려고 이야기가 정제된 것 같고, 그럴 수는 있겠지만 배경 설명은 믿기 어려움
약 25년 전 내가 다니던 회사에서 정리해고가 있었음. DBA 한 명도 다른 사람들과 함께 해고됐는데, 그 시절에는 접근 권한을 즉시 회수하지 않았고 업무용 컴퓨터도 하루 끝까지 쓸 수 있었음. 대부분은 짐을 싸서 떠났음
그런데 해고된 그 DBA는 남아서 자신이 맡은 데이터베이스 백업 작업을 끝까지 마쳤고, 일이 끝난 뒤 짐을 싸서 나갔음. 실화임
5천 개 비밀번호에 어떻게 접근했는지 모르겠음. 평문 비밀번호로 전송되거나 저장되고 있었던 건가? 기사에서 가장 이해하기 어려운 부분임
또 하나 불분명한 건, 고용 종료와 동시에 계정 접근 권한을 끊지 않으면서 어떻게 SOC 2를 통과할 수 있느냐는 것임
“2025년 2월 1일, Muneeb Akhter는 Sohaib Akhter에게 Equal Employment Opportunity Commission의 Public Portal에 불만을 제출한 개인의 평문 비밀번호를 요청했다. 이 포털은 Akhter 형제의 고용주가 유지관리했다. Sohaib Akhter는 EEOC 데이터베이스에 쿼리를 실행한 뒤 해당 비밀번호를 Muneeb Akhter에게 제공했다. 이후 그 비밀번호는 해당 개인의 이메일 계정에 무단 접근하는 데 사용됐다.”
첫째, SOC 2는 바이러스처럼 퍼지고, 자체 기술적 장점 때문에 채택되는 경우는 거의 없음. 둘째, 여러 수준이 있음. 첫 단계는 “우리가 보안을 어떻게 할지 계획을 문서로 썼다”는 수준임
두 번째 수준은 구현을 시작하거나 추적을 시작하는 정도일 수 있음. 핵심은 첫 단계임. 회사의 SOC 2 부서가 SOC 2 준수를 위해 멍청한 일을 해야 한다고 말한다면, 그 멍청함은 회사 내부 누군가가 만든 것이고 그 사람을 해고해야 함. 그래도 그 바보 같은 계획을 따라야 하는데, 그게 절차이기 때문임
이 경우 “사람을 어떻게 해고할 것인가”와 “하나의 대규모 언어 모델이 한 세션에서 운영 데이터베이스 96개를 DROP하지 못하게 어떻게 막을 것인가”에 대한 답이 계획에 있었고, 그 계획이 구현됐을 수도 있음. 그러면 회사는 여전히 SOC 2 준수 상태이고, 이게 작동하는 SOC 2 절차가 보이도록 되어 있는 모습일 수도 있음
유일한 해법은 올바른 접근 분리와 배스천임
“해고된 직원이 회사 시스템 접근 권한을 가진 건 보안 위험”이라는 건 아님. 데이터베이스 96개를 지울 수 있는 직원 자체가, 재직 중이어도 보안 위험임
물론 제대로 고치는 것보다 고용 종료 시 모든 걸 끊는 비인간적인 경로가 더 쉽긴 함
우리 회사에서도 최근 정리해고가 있었음. 아직 젊은 회사라 최소 권한 원칙이 적용되지 않았고, 지원 요청 때문에 사람들이 운영 데이터베이스에 접근할 수 있었음. 그래도 아무도 나쁜 짓을 하지 않았음
사람들은 무슨 일이 벌어질지 알고 있었지만 보복은 없었음. 첫째, 법적 문제 없이 다음 직장으로 가려면 부담을 만들지 않는 게 낫고, 행동은 추적 가능함. 둘째, 왜 그래야 하나? 왜 동료들의 작업물을 망가뜨려야 하나?