# 미국 사이버보안국 수장이 ChatGPT에 민감한 정부 문서를 업로드했다는 보도

> Clean Markdown view of GeekNews topic #26246. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=26246](https://news.hada.io/topic?id=26246)
- GeekNews Markdown: [https://news.hada.io/topic/26246.md](https://news.hada.io/topic/26246.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-01-30T10:33:01+09:00
- Updated: 2026-01-30T10:33:01+09:00
- Original source: [dexerto.com](https://www.dexerto.com/entertainment/us-cybersecurity-chief-leaked-sensitive-government-files-to-chatgpt-report-3311462/)
- Points: 2
- Comments: 1

## Topic Body

- 미국 **사이버보안 및 기반시설 보안국(CISA)** 의 임시 국장이 **기밀 수준의 정부 계약 문서**를 ChatGPT에 업로드한 것으로 보도됨  
- 해당 문서는 “**공식 사용 전용(For Official Use Only)** ”으로 표시되어 있었으며, **내부 보안 경보와 연방 조사**를 촉발함  
- 그는 다른 국토안보부 직원들에게는 차단된 ChatGPT 접근을 위해 **특별 예외 권한**을 요청한 것으로 알려짐  
- CISA 대변인은 사용이 **“단기적이고 제한적이었다”** 고 밝혔으며, 사건 이후 **피해 평가 절차**가 진행됨  
- 이번 사건은 **연방 정부의 AI 활용 확대 정책** 속에서 발생해, 공공기관의 **AI 보안 관리 중요성**을 부각함  

---

### ChatGPT 업로드 사건 개요
- 미국 정부의 최고 사이버보안 기관인 **CISA의 임시 국장 Madhu Gottumukkala**가 **공개 버전의 ChatGPT**에 민감한 정부 문서를 업로드한 것으로 Politico가 보도  
  - 업로드된 문서는 “**For Official Use Only**”로 표시된 **정부 계약 관련 문서**였음  
  - 사건은 **2025년 여름**에 발생했으며, 내부 **사이버보안 모니터링 시스템**이 8월 초 이를 탐지함  
- 탐지 후 **국토안보부(DHS)** 가 주도하는 **피해 평가(damage assessment)** 가 즉시 개시되어 정보 노출 여부를 조사함  
- ChatGPT의 **공개 버전은 사용자 입력을 OpenAI와 공유**하기 때문에, **내부 네트워크 외부로 민감 데이터가 유출될 가능성**이 제기됨  

### CISA의 대응 및 공식 입장
- CISA 대변인 **Marci McCarthy**는 Gottumukkala가 “** DHS 통제 하에서 ChatGPT 사용 허가를 받았다**”고 설명  
  - 사용은 “**단기적이고 제한적이었다**”고 강조  
- Gottumukkala는 **2025년 5월부터 임시 국장으로 재직 중**이며, 상원은 아직 **Sean Plankey**를 정식 국장으로 인준하지 않은 상태  
- Politico는 그의 재임 중 **기타 문제 사례**도 언급  
  - 그는 **고급 정보 접근을 위한 반첩보(polygraph) 검사에 불합격**한 적이 있었음  
  - 그러나 최근 의회 청문회에서 그는 이 평가를 **부정하며 반박**함  

### 연방 정부의 AI 정책과 사건의 시점
- 사건은 **도널드 트럼프 행정부가 연방 기관 전반에 AI 도입을 추진하는 시기**에 발생  
  - 트럼프 대통령은 **2025년 12월**, 주(州) 단위의 AI 규제를 제한하는 **행정명령**에 서명  
  - **미 국방부(Pentagon)** 는 **“AI-first” 전략**을 발표해 군사 분야에서 인공지능 활용을 확대 중  
- 이러한 정책적 흐름 속에서, 이번 사건은 **공공 부문 AI 사용의 보안 리스크**를 드러내는 사례로 주목됨  

### 내부 보안 경보 및 조사 절차
- **사이버보안 모니터링 시스템**이 ChatGPT 업로드를 감지한 직후 **내부 경보가 발령**됨  
  - 이후 DHS가 **정보 노출 여부와 피해 범위**를 평가하기 위한 **공식 조사**를 개시  
- 보고서에 따르면, ChatGPT 접근은 일반 DHS 직원에게는 **차단되어 있었으나**, Gottumukkala는 **특별 예외 요청**을 통해 접근 권한을 얻음  
- OpenAI의 데이터 처리 방식이 **정부 내부 네트워크 보안 정책과 충돌**할 수 있다는 점이 **연방 내부에서 우려**로 제기됨  

### 사건의 파급과 의미
- 이번 사건은 **연방 정부 고위 보안 책임자조차 AI 도구 사용 시 보안 위험에 노출될 수 있음**을 보여줌  
- **공공기관의 AI 사용 가이드라인 강화**와 **데이터 보호 체계 재검토 필요성**이 부각됨  
- AI 기술 도입이 가속화되는 가운데, **보안 통제와 투명한 사용 절차**의 중요성이 강조됨

## Comments



### Comment 50248

- Author: neo
- Created: 2026-01-30T10:33:01+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=46812173) 
- 이런 상황을 보면 **GovCloud 전용 LLM**이 꼭 필요하다는 생각이 듦  
  정부가 마치 ‘임명된 조카의 조카들’이 이끄는 것처럼 보여서 답답함  
  HBO의 *Chernobyl* 미니시리즈가 자꾸 떠오름 — 과학부장이 신발 공장 출신이던 장면처럼, 이제는 아무도 자기 일에 **유능할 필요가 없는 시대**가 된 느낌임
  - 기사에 따르면, ChatGPT는 대부분의 DHS 직원에게 차단되어 있었고, Gottumukkala만 **특별 허가**를 받아 제한적으로 사용했음  
    그럼에도 보안 점검에 걸렸다는 건, 정부가 이걸 광범위하게 쓰는 걸 **안전하지 않다고 판단**했다는 의미임  
    이미 OpenAI와 함께 정부 전용 모델인 [ChatGPT Gov](https://openai.com/global-affairs/introducing-chatgpt-gov/)을 개발 중이라고 함
  - 무능한 사람을 권력 위치에 두는 건 충성심을 확보하기 위한 **고전적인 정치 도구**임  
    실력으로 얻은 자리가 아니기에 오직 임명권자에게만 충성하게 되고, 일의 질에는 관심이 없어짐  
    약한 리더일수록 이런 방식을 쓰며, 안타깝게도 꽤 효과적임
  - “임명된 조카의 조카들”이라니, 거기에 **Large Adult Sons**도 빼놓으면 안 됨  
    관련 밈은 [The New Yorker 기사](https://www.newyorker.com/culture/cultural-comment/the-land-of-the-large-adult-son)와 [KnowYourMeme 페이지](https://knowyourmeme.com/memes/large-adult-sons) 참고
  - 일부러 정부를 **무능하게 보이게 만들어**, 결국 친구나 가족이 운영하는 민간 기업이 일을 대신 맡게 하려는 **의도된 전략** 같음  
    그렇게 하면 자원을 훨씬 효율적으로 빼돌릴 수 있음
  - 참고로 HBO의 *Chernobyl*은 **픽션**임. 실제로는 ‘신발 공장장’이 보드카를 마시는 장면 같은 건 없었음

- 이번 행정부의 **보안 운영 수준(op-sec)** 은 거의 ‘Barney Fife’ 수준의 허술함임
  - 베네수엘라의 **Maduro 경호팀**은 이 의견에 살짝 반대할지도 모르겠음
  - Fife는 그래도 **마음만은 올바른 인물**이었음. 게다가 상사가 총도 못 들게 했었음
  - 이 행정부의 전반적인 **능력 부족**은 마치 ‘풀칠하는 아이’ 수준임
  - 이런 무능함은 **버그가 아니라 기능**일지도 모름
  - 나도 조달·영업 분야에서 10년 일했는데, 이런 상황을 보니 웃음이 나옴  
    조달 절차를 모르는 사람이 온라인에서 검색으로 해결하려는 건, 2007년에 “RFP가 뭐지?”라고 검색하던 임원과 다를 바 없음

- 누군가가 이미 **Azure 기반의 보안 ChatGPT Pro**를 쓸 수 있었는데, 굳이 공개용 4o를 쓴 게 이상함  
  정부는 이미 분리된 보안 환경을 갖추고 있었음  
  결국 허가를 받아 “비공식 문서” 수준에서만 사용했지만, 이런 **기초적인 실수**는 CISA 리더로서 용납되기 어려움  
  - 하지만 그가 **심어둔 꼭두각시**라면, 이런 도구를 제대로 알 리가 없었을 것임

- 원문은 [Politico 기사](https://www.politico.com/news/2026/01/27/cisa-madhu-gottumukkala-chatgpt-00749361)에서 보는 게 좋음  
  - 다만 그 기사에는 별다른 토론이 없었음 ([이전 HN 스레드](https://news.ycombinator.com/item?id=46786672) 참고)

- 규칙을 어기는 건 항상 **윗사람들**임  
  군 통신 쪽에서 일하던 사람들을 아는데, 고위 장교들이 그냥 귀찮다고 **보안 절차를 무시**하는 경우가 많았음

- 이미 사람들은 공개된 **소셜미디어에서도 부주의**했음  
  LLM이 등장하면 이런 경향은 더 심해질 것 같음  
  - 진짜 위험은 여기에 있음. 지금은 LLM에서 **데이터 삭제를 요청할 방법조차 없음**

- **ITAR/EAR 규제 산업**(항공우주, 방위 등)에서는 ChatGPT.com 접근을 차단하는 게 필수임  
  이미 그렇게 되어 있지 않았다는 게 충격적임  
  - 동의함. 다만 ITAR과 EAR 규정은 특히 **고등교육 분야**에서는 매우 모호함  
  - 보고서에 따르면 Gottumukkala가 ChatGPT 접근을 위해 **특별 예외 허가**를 요청했다고 함

- 이번 일의 **능력 수준**은 예상한 그대로임  
  - 그는 **Kristi Noem**이 직접 임명한 인물임  
    [위키피디아 프로필](https://en.wikipedia.org/wiki/Madhu_Gottumukkala)에 따르면, 2025년 4월에 DHS 부국장으로 임명되어 5월부터 CISA의 **대행 국장**으로 일하기 시작했다고 함

- 쿠키 설정을 하나하나 해제하는 게 꽤 재밌었음  
  1668개의 파트너 회사 중 3분의 1이 ‘정당한 이익’을 주장함  
  Privacy Badger가 19개만 차단하는 걸 보면, 일부는 **가짜 쿠키**로 영역을 채우는 걸지도 모름  
  결국 기사 읽는 걸 깜빡했음  
  - 같은 쿠키가 여러 파트너와 공유되거나, 수집된 데이터가 전달될 수도 있음  
    이건 단순한 ‘쿠키법’이 아니라 **개인정보 공유에 대한 법**임  
    예를 들어 내 SSN과 이메일을 1668개 회사에 팔려면, 각각의 **동의**를 받아야 함

- 결국 정부는 이걸 **Grok**에 억지로 통합해서 문제를 해결하려는 듯함  
  - 이미 **DOGE**가 필요한 데이터를 다 뽑아갔겠지만, 여전히 더 많은 걸 원할 것임