미국 사이버보안국 수장이 ChatGPT에 민감한 정부 문서를 업로드했다는 보도

(dexerto.com)

2P by GN⁺ 4일전 | ★ favorite | 댓글 1개

미국 사이버보안 및 기반시설 보안국(CISA) 의 임시 국장이 기밀 수준의 정부 계약 문서를 ChatGPT에 업로드한 것으로 보도됨
해당 문서는 “공식 사용 전용(For Official Use Only) ”으로 표시되어 있었으며, 내부 보안 경보와 연방 조사를 촉발함
그는 다른 국토안보부 직원들에게는 차단된 ChatGPT 접근을 위해 특별 예외 권한을 요청한 것으로 알려짐
CISA 대변인은 사용이 “단기적이고 제한적이었다” 고 밝혔으며, 사건 이후 피해 평가 절차가 진행됨
이번 사건은 연방 정부의 AI 활용 확대 정책 속에서 발생해, 공공기관의 AI 보안 관리 중요성을 부각함

ChatGPT 업로드 사건 개요

미국 정부의 최고 사이버보안 기관인 CISA의 임시 국장 Madhu Gottumukkala가 공개 버전의 ChatGPT에 민감한 정부 문서를 업로드한 것으로 Politico가 보도
- 업로드된 문서는 “For Official Use Only”로 표시된 정부 계약 관련 문서였음
- 사건은 2025년 여름에 발생했으며, 내부 사이버보안 모니터링 시스템이 8월 초 이를 탐지함
탐지 후 국토안보부(DHS) 가 주도하는 피해 평가(damage assessment) 가 즉시 개시되어 정보 노출 여부를 조사함
ChatGPT의 공개 버전은 사용자 입력을 OpenAI와 공유하기 때문에, 내부 네트워크 외부로 민감 데이터가 유출될 가능성이 제기됨

CISA의 대응 및 공식 입장

CISA 대변인 Marci McCarthy는 Gottumukkala가 “** DHS 통제 하에서 ChatGPT 사용 허가를 받았다**”고 설명
- 사용은 “단기적이고 제한적이었다”고 강조
Gottumukkala는 2025년 5월부터 임시 국장으로 재직 중이며, 상원은 아직 Sean Plankey를 정식 국장으로 인준하지 않은 상태
Politico는 그의 재임 중 기타 문제 사례도 언급
- 그는 고급 정보 접근을 위한 반첩보(polygraph) 검사에 불합격한 적이 있었음
- 그러나 최근 의회 청문회에서 그는 이 평가를 부정하며 반박함

연방 정부의 AI 정책과 사건의 시점

사건은 도널드 트럼프 행정부가 연방 기관 전반에 AI 도입을 추진하는 시기에 발생
- 트럼프 대통령은 2025년 12월, 주(州) 단위의 AI 규제를 제한하는 행정명령에 서명
- 미 국방부(Pentagon) 는 “AI-first” 전략을 발표해 군사 분야에서 인공지능 활용을 확대 중
이러한 정책적 흐름 속에서, 이번 사건은 공공 부문 AI 사용의 보안 리스크를 드러내는 사례로 주목됨

내부 보안 경보 및 조사 절차

사이버보안 모니터링 시스템이 ChatGPT 업로드를 감지한 직후 내부 경보가 발령됨
- 이후 DHS가 정보 노출 여부와 피해 범위를 평가하기 위한 공식 조사를 개시
보고서에 따르면, ChatGPT 접근은 일반 DHS 직원에게는 차단되어 있었으나, Gottumukkala는 특별 예외 요청을 통해 접근 권한을 얻음
OpenAI의 데이터 처리 방식이 정부 내부 네트워크 보안 정책과 충돌할 수 있다는 점이 연방 내부에서 우려로 제기됨

사건의 파급과 의미

이번 사건은 연방 정부 고위 보안 책임자조차 AI 도구 사용 시 보안 위험에 노출될 수 있음을 보여줌
공공기관의 AI 사용 가이드라인 강화와 데이터 보호 체계 재검토 필요성이 부각됨
AI 기술 도입이 가속화되는 가운데, 보안 통제와 투명한 사용 절차의 중요성이 강조됨

▲

GN⁺ 4일전 [-]

Hacker News 의견들

이런 상황을 보면 GovCloud 전용 LLM이 꼭 필요하다는 생각이 듦
정부가 마치 ‘임명된 조카의 조카들’이 이끄는 것처럼 보여서 답답함
HBO의 Chernobyl 미니시리즈가 자꾸 떠오름 — 과학부장이 신발 공장 출신이던 장면처럼, 이제는 아무도 자기 일에 유능할 필요가 없는 시대가 된 느낌임
- 기사에 따르면, ChatGPT는 대부분의 DHS 직원에게 차단되어 있었고, Gottumukkala만 특별 허가를 받아 제한적으로 사용했음
  그럼에도 보안 점검에 걸렸다는 건, 정부가 이걸 광범위하게 쓰는 걸 안전하지 않다고 판단했다는 의미임
  이미 OpenAI와 함께 정부 전용 모델인 ChatGPT Gov을 개발 중이라고 함
- 무능한 사람을 권력 위치에 두는 건 충성심을 확보하기 위한 고전적인 정치 도구임
  실력으로 얻은 자리가 아니기에 오직 임명권자에게만 충성하게 되고, 일의 질에는 관심이 없어짐
  약한 리더일수록 이런 방식을 쓰며, 안타깝게도 꽤 효과적임
- “임명된 조카의 조카들”이라니, 거기에 Large Adult Sons도 빼놓으면 안 됨
  관련 밈은 The New Yorker 기사와 KnowYourMeme 페이지 참고
- 일부러 정부를 무능하게 보이게 만들어, 결국 친구나 가족이 운영하는 민간 기업이 일을 대신 맡게 하려는 의도된 전략 같음
  그렇게 하면 자원을 훨씬 효율적으로 빼돌릴 수 있음
- 참고로 HBO의 Chernobyl은 픽션임. 실제로는 ‘신발 공장장’이 보드카를 마시는 장면 같은 건 없었음
이번 행정부의 보안 운영 수준(op-sec) 은 거의 ‘Barney Fife’ 수준의 허술함임
- 베네수엘라의 Maduro 경호팀은 이 의견에 살짝 반대할지도 모르겠음
- Fife는 그래도 마음만은 올바른 인물이었음. 게다가 상사가 총도 못 들게 했었음
- 이 행정부의 전반적인 능력 부족은 마치 ‘풀칠하는 아이’ 수준임
- 이런 무능함은 버그가 아니라 기능일지도 모름
- 나도 조달·영업 분야에서 10년 일했는데, 이런 상황을 보니 웃음이 나옴
  조달 절차를 모르는 사람이 온라인에서 검색으로 해결하려는 건, 2007년에 “RFP가 뭐지?”라고 검색하던 임원과 다를 바 없음
누군가가 이미 Azure 기반의 보안 ChatGPT Pro를 쓸 수 있었는데, 굳이 공개용 4o를 쓴 게 이상함
정부는 이미 분리된 보안 환경을 갖추고 있었음
결국 허가를 받아 “비공식 문서” 수준에서만 사용했지만, 이런 기초적인 실수는 CISA 리더로서 용납되기 어려움
- 하지만 그가 심어둔 꼭두각시라면, 이런 도구를 제대로 알 리가 없었을 것임
원문은 Politico 기사에서 보는 게 좋음
- 다만 그 기사에는 별다른 토론이 없었음 (이전 HN 스레드 참고)
규칙을 어기는 건 항상 윗사람들임
군 통신 쪽에서 일하던 사람들을 아는데, 고위 장교들이 그냥 귀찮다고 보안 절차를 무시하는 경우가 많았음
이미 사람들은 공개된 소셜미디어에서도 부주의했음
LLM이 등장하면 이런 경향은 더 심해질 것 같음
- 진짜 위험은 여기에 있음. 지금은 LLM에서 데이터 삭제를 요청할 방법조차 없음
ITAR/EAR 규제 산업(항공우주, 방위 등)에서는 ChatGPT.com 접근을 차단하는 게 필수임
이미 그렇게 되어 있지 않았다는 게 충격적임
- 동의함. 다만 ITAR과 EAR 규정은 특히 고등교육 분야에서는 매우 모호함
- 보고서에 따르면 Gottumukkala가 ChatGPT 접근을 위해 특별 예외 허가를 요청했다고 함
이번 일의 능력 수준은 예상한 그대로임
- 그는 Kristi Noem이 직접 임명한 인물임
  위키피디아 프로필에 따르면, 2025년 4월에 DHS 부국장으로 임명되어 5월부터 CISA의 대행 국장으로 일하기 시작했다고 함
쿠키 설정을 하나하나 해제하는 게 꽤 재밌었음
1668개의 파트너 회사 중 3분의 1이 ‘정당한 이익’을 주장함
Privacy Badger가 19개만 차단하는 걸 보면, 일부는 가짜 쿠키로 영역을 채우는 걸지도 모름
결국 기사 읽는 걸 깜빡했음
- 같은 쿠키가 여러 파트너와 공유되거나, 수집된 데이터가 전달될 수도 있음
  이건 단순한 ‘쿠키법’이 아니라 개인정보 공유에 대한 법임
  예를 들어 내 SSN과 이메일을 1668개 회사에 팔려면, 각각의 동의를 받아야 함
결국 정부는 이걸 Grok에 억지로 통합해서 문제를 해결하려는 듯함
- 이미 DOGE가 필요한 데이터를 다 뽑아갔겠지만, 여전히 더 많은 걸 원할 것임

답변달기