GN⁺: 국가 사이버 공격으로서의 DOGE

 (schneier.com)
2P by neo 15일전 | ★ favorite | 댓글 1개

DOGE의 국가 사이버 공격

  • 최근 몇 주 동안 미국 정부는 역사상 가장 중대한 보안 침해를 경험했음. 이는 복잡한 사이버 공격이나 외국의 스파이 행위가 아닌, 정부 역할이 명확하지 않은 억만장자의 공식 명령을 통해 발생했음.

  • 새로 설립된 정부 효율성 부서(DOGE)와 관련된 사람들이 미국 재무부 컴퓨터 시스템에 접근하여 연간 약 5.45조 달러의 연방 지불 데이터를 수집하고 제어할 수 있는 능력을 가졌음.

  • DOGE의 승인되지 않은 인원이 미국 국제개발처의 기밀 데이터를 접근하여 복사했을 가능성이 있으며, 인사관리처(OPM)와 메디케어 및 메디케이드 기록도 침해되었음.

  • CIA 직원의 이름이 부분적으로 검열된 상태로 비공식 이메일 계정으로 전송되었고, DOGE 인원은 교육부 데이터를 인공지능 소프트웨어에 입력하고 에너지부에서도 작업을 시작했음.

  • 2월 8일, 연방 판사는 DOGE 팀이 재무부 시스템에 더 이상 접근하지 못하도록 차단했으나, 이미 데이터를 복사하고 소프트웨어를 설치 및 수정했을 가능성이 있어 해결책이 불분명함.

  • DOGE가 접근한 시스템은 국가 인프라의 핵심 요소이며, 재무부 시스템은 연방 정부의 자금 이동 기술 청사진을 포함하고 있음.

  • 이 사건은 외부 운영자가 제한된 경험과 최소한의 감독 하에 공개적으로 작업하며, 미국의 가장 민감한 네트워크에 최고 수준의 관리 접근 권한을 얻고 변화를 주고 있다는 점에서 전례 없는 상황임.

  • 가장 우려되는 점은 접근 권한 부여뿐만 아니라, 보안 조치를 체계적으로 해체하고 있다는 것임. 이는 표준 사건 대응 프로토콜, 감사 및 변경 추적 메커니즘을 제거하고 경험이 부족한 운영자로 대체하는 것임.

  • 재무부의 컴퓨터 시스템은 핵무기 발사 프로토콜과 같은 원칙으로 설계되었으며, 단일 개인이 무제한 권한을 가지지 않도록 함. 이는 "업무 분리"라는 보안 원칙으로, 부패와 오류를 방지하기 위한 필수적인 안전장치임.

  • DOGE와 관련된 인물들이 재무부 컴퓨터의 핵심 프로그램을 수정할 수 있는 권한을 얻었으며, 암호화된 키에 접근하고 시스템 변경을 기록하는 감사 로그를 변경할 수 있음.

  • 이러한 시스템의 수정은 현재 운영을 손상시킬 뿐만 아니라, 미래 공격에서 악용될 수 있는 취약점을 남기고 있음.

  • 세 가지 주요 보안 영역이 위협받고 있음: 시스템 조작, 데이터 노출, 시스템 제어.

  • 이러한 취약점을 해결하기 위해서는 승인되지 않은 접근을 철회하고 적절한 인증 프로토콜을 복원해야 하며, 포괄적인 시스템 모니터링과 변경 관리가 재개되어야 함.

  • 이는 정치적인 문제가 아닌 국가 안보의 문제이며, 외국 정보 기관이 혼란과 새로운 불안정을 이용하여 미국 데이터를 훔치고 백도어를 설치할 가능성이 있음.

neo 15일전  [-]
Hacker News 의견
  • 적대적이거나 적국이 데이터를 수집하고 국가를 공격할 방법을 이해할 기회를 얻는 것에 대한 우려가 타당함
    • 선출된 공무원이 어리석거나 불안전한 행동을 하는 것과 비선출된 사람들이 아무런 견제 없이 이를 할 수 있는 것의 차이점이 있음
    • Bruce Schneier의 의견을 존중하며, 이 주제에 대한 모든 게시물이 플래그 처리되는 것을 막기 위해 이 게시물을 추천함
  • Schneier의 논리에 오류가 있을 수 있음
    • "그들은 이 민감한 데이터에 AI 소프트웨어를 훈련시키고 있다"는 보고가 있음
    • 추론을 실행하는 것은 훈련과 같지 않음
    • 이 게시물이 플래그 처리되어서는 안 되며, 이는 표현의 자유에 반하는 것임
    • HN에서 그의 통찰을 가치 있게 여기는 많은 사람들이 있음
    • 반대 의견은 사라지게 하려는 시도보다는 댓글로 표현하는 것이 더 나음
  • 국가가 이 혼란을 견뎌낸다면, 소프트웨어는 처음부터 다시 작성되어야 함
    • 그렇지 않으면 외국 및 국내의 어떤 행위자가 시스템에 대한 지식을 가지고 있는지 알 수 없음
  • Schneier는 플래그 처리되어서는 안 됨
    • 며칠 동안 사이버 보안 위험에 대한 차분하고 종합적인 평가를 기다려왔음
    • 이것이 우리가 얻을 수 있는 가장 가까운 평가임
  • Chesterton의 울타리 원칙을 인식해야 함
    • "Chesterton의 울타리"는 기존 상태의 이유를 이해하기 전까지 개혁이 이루어져서는 안 된다는 원칙임
  • 행동은 결과가 부여될 때까지 계속될 것임
    • 이 결과는 입법적이거나 법적이어야 함
  • 신의 뜻이라면, 행정국가는 견제하기 위해 선출된 공무원들에 의해 무릎을 꿇게 될 것임
  • 기업은 비공식적인 정부의 네 번째 부서임
    • 주식 시장이 폭락하면 그들은 사라질 것임
    • 정치인들을 위한 캠페인 기부와 로비스트의 수도꼭지가 꺼질 것임
    • 공황과 리더십이 변화할 것임
    • Citizens United는 어디서든 어두운 돈이 캠페인을 무기한으로 지원할 수 있게 하지만, 미국 달러와 시장에 대한 신뢰 부족으로 인한 주식 시장 폭락을 상쇄하기에는 충분하지 않음
  • 관련 기사: "재무부는 DOGE 접근이 '내부 위협'으로 표시되었다고 경고받음"
    • Booz Allen Hamilton이 수행한 평가가 Elon Musk의 동맹을 민감한 결제 시스템 감독자로 임명하기 전에 이루어짐
  • 정부 계약자 Booz Allen Hamilton이 금요일 밤에 보고서를 준비한 하청업체를 해고했다고 밝힘
    • Elon Musk의 정부 효율성 부서가 재무부의 결제 시스템에 접근하는 것이 "전례 없는 내부 위협 위험"을 초래하며 즉시 중단되어야 한다고 주장한 초안 보고서였음
답변달기