보안 인가 신청서에 적지 말아야 할 것 (1988)

 (milk.com)
1P by GN⁺ 1일전 | ★ favorite | 댓글 1개
  • 12세 때 암호학 책을 읽고 만든 비밀 코드가 FBI의 첩보 사건으로 오해받은 일화를 다룸
  • 분실한 안경 케이스 속 암호 키가 일본 스파이의 증거로 오인되어 FBI가 수주간 수사 진행
  • 조사 후 FBI는 안경을 돌려줬지만 암호 키는 기록용으로 보관, 사건은 어린이 장난으로 종결
  • 훗날 보안 인가 신청서에 “FBI 조사 경험 있음”이라 기재했다가 보안 담당자가 서류를 찢고 재작성 지시
  • 이 경험을 통해 보안 인가 서류에 불필요한 사실을 적지 말아야 함을 풍자적으로 보여줌

e-t-a-o-n-r-i 스파이와 FBI

  • 어린 시절 Fletcher Pratt의 『Secret and Urgent』을 읽고 빈도 분석 기반 암호 체계를 실험함
    • 친구와 함께 암호 키를 만들어 서로만 해독 가능한 통신 방식을 고안
    • 암호 키는 타자기로 작성된 한 장짜리 문서였으며, 각자 한 부씩 소지
  • 작성자는 안경 케이스 속에 암호 키를 숨겼으나, 해변에서 돌아오는 길에 케이스를 분실
    • 당시 안경값은 8달러로, 작성자에게는 큰 금액이었음
  • 케이스를 주운 시민이 일본 스파이의 암호문으로 오인해 FBI에 신고
    • 1943년, 일본계 미국인 강제 수용 직후의 시기였음
  • FBI는 수주간 조사 끝에 작성자의 어머니를 방문해 12세 소년이 용의자임을 확인
    • 안경 도수 기록을 통해 신원을 추적했다고 설명
    • 요원은 “이 사건에 정부가 수천 달러를 썼다”고 말하며 분노 표시
  • 안경은 반환됐지만 암호 키는 FBI 기록용으로 압수, 사건은 종결

보안 인가 신청서 사건

  • 대학 시절 해군 전자 연구소에서 일하기 위해 보안 인가 신청서를 작성함
    • “FBI 조사 경험이 있는가?”라는 질문에 “예”라고 답하고, “일본 스파이로 의심받음”이라 기재
  • 담당 보안관이 이를 보고 격분하며 서류를 찢고 재작성 요구
    • “그 내용을 적으면 절대 인가를 받을 수 없다”고 경고
  • 지시에 따라 새 양식을 작성하자 보안 인가가 곧 승인됨
  • 이후 작성자는 보안 인가 서류에 해당 사건을 다시 언급하지 않음

결론적 일화

  • 나중에 우연히 알게 된 사실로, 특정 자극적인 정보를 기재하면 인가 절차가 빨라질 수도 있음이라 언급
  • 그러나 구체적 사례는 “다른 이야기”로 남겨둠
  • 전체적으로 행정 절차의 비합리성과 과도한 보안 문화를 풍자하는 회고담 형태
GN⁺ 1일전  [-]
Hacker News 의견들

  • 보안 담당관에게 서류를 제출했을 때, 그는 빠르게 훑어보고는 FBI 관련 질문을 가리키며 “이건 뭐냐”고 물었음
    내가 상황을 설명하자 그는 격앙되어 서류를 찢어버리고 “이건 다시 써라, 그건 언급하지 마라. 그렇지 않으면 절대 보안 인가를 못 받을 거다”라고 말했음
    정부를 상대할 때는 ‘정부의 시선으로 보기’ 가 중요함 — Seeing like a Bank의 말장난처럼, 정부는 모든 걸 ‘카테고리(빈)’ 로 구분함
    문제는, 정부가 그 카테고리를 충분히 세분화하지 않아도, 나중에 그 잘못된 선택을 한 개인에게 책임을 묻는다는 점임

    • “Seeing like a Bank” 자체가 사실 유명한 책 “Seeing like a State”에 대한 말장난임. 결국 거의 완전한 순환 참조가 되어버린 셈임
    • 문제는 항상 그 ‘빈’이 무엇인지를 파악하는 것임. 정부가 ‘어린 시절 장난으로 FBI 수사받음’ 같은 빈은 없을 수 있지만, 거짓말을 하면 ‘허위 기재자’라는 빈에 들어가게 됨
    • 위험한 건 단순히 리스크가 아니라 ‘이례적(anomalous)’ 인 존재가 되는 것임

  • (NATO 기준) 최고 등급 보안 인가조차도 거짓말로 통과하는 사람이 많음
    특히 알코올, 약물, 재정, 외국인 파트너 관련 항목에서 그럼
    군대에는 기능적으로는 멀쩡하지만 사실상 알코올 중독자인 사람이 많음. 들키지만 않으면 계속 인가가 갱신됨
    반면, 대마초는 아주 작은 의심만 있어도 철저히 조사함. 실제로 음주보다 대마초로 인가를 잃는 경우가 훨씬 많음

    • 캐나다에서 Top Secret 인가를 받으려던 친구가 거짓말탐지기 면접에서 주당 음주량을 말했는데, 대학생 수준의 음주도 ‘알코올 중독 수준’으로 간주되었다고 함
    • 결국 중요한 건 객관적으로 검증 가능한 것과 조직 내부에서 문화적으로 용인되는 것의 차이임
    • 미국 군대가 현재 무자격 음주 운전 전과자에게 이끌리고 있다는 말이 나올 정도로 문제적임
    • 미니멀리스트 친구에게는 소모성 선물이나 경험형 선물을 주는 게 좋다고들 함. 그런데 이런 방식은 뇌물 은폐에도 유용함 — 마신 술은 증거가 남지 않으니까
    • 베트남전 당시의 약물 문제로 인해 지금의 엄격한 약물 정책이 생겼음

  • 보안 인가를 빠르게 받는 방법에 대한 흥미로운 사례가 있음 — 관련 글

    • 재치 있는 접근이지만, 실제로는 그게 역으로 불이익이 될 수도 있을 것 같음
    • 덕분에 훨씬 흥미로운 이야기였음
    • Feynman의 일화처럼 느껴짐. 당시 시대 분위기 때문이었을지도 모름
    • 덕분에 궁금증이 풀렸음

  • 보안 담당관이 거짓말을 하라고 조언했다는 점이 충격적임. 그건 거의 확실히 중범죄에 해당함

    • 사람을 기계로 대체하려는 시도에서 종종 간과되는 게, 사람이 시스템의 즉흥적 오류 수정자 역할을 한다는 점임
    • 공군 입대 당시, 대마초 사용 여부를 묻는 질문에서 “정직하게 답하라, 다 안다”라고 하더니 “단, 5회 미만이고 별로 안 좋아했다”고 답하라고 했음
    • 당시 맥락을 고려하면 그 보안 담당관이 오히려 큰 호의를 베푼 것일 수도 있음. ‘예’라고 답하면 인가와 여름 일자리 모두 날아갔을 테니까
    • 1940년대의 기록을 찾는 건 사실상 불가능했을 것이므로, 담당관이 현실적으로 판단했을 가능성이 큼
      지금은 디지털 기록 덕분에 그런 일은 거의 불가능함. 오히려 숨기면 더 큰 문제로 번짐
      조사관들은 대체로 합리적이며, 의도적 은폐가 아닌 단순한 기억 누락이라면 이해해줌
    • 일반적으로는 거짓말만 하지 않으면 인가를 받을 수 있음. 결국 은폐가 원죄보다 더 큰 문제

  • 1990년대 후반 다이얼업 BBS를 운영했는데, 어느 여름에 단골 사용자들이 갑자기 사라졌음
    1년쯤 뒤, 그중 한 명이 공항 해킹으로 체포되었다는 걸 알게 됨
    그들은 무작위로 모뎀 번호를 돌리다 비밀번호 없는 시스템을 발견했는데, 그게 공항 시스템이었음
    관련 기사

    • 하지만 실제로는 그들이 약국 고객 데이터까지 유출했을 정도로 심각한 사건이었음. 단순한 ‘모르는 시스템 접속’ 수준은 아니었음

  • 1988년의 이야기로, 12살 때의 장난스러운 사건을 회상하는 원로 컴퓨터 과학자 Les Earnest의 글이 소개됨
    Les Earnest 위키

  • 나는 milk.com 도메인을 소유하고 있다는 사실에 놀랐음

    • milk.com/value 페이지를 보면 서버 헤더가 “lactoserv”로 되어 있음
    • 그는 예전에 수백만 달러 제안을 거절했다는 이야기를 썼던 페이지도 있었음
    • ai.com을 소유한 것만큼 멋진 일임
    • 우연히 어제 들은 NPR 팟캐스트에서도 milk.com의 가치가 다뤄졌음

  • 이 이야기는 예전에 다른 글에서도 다뤄졌는데, 저자가 나중에 자전거 경기에서 헬멧 착용 표준을 도입한 일화도 있었다고 함

  • 보안 인가 제도는 Goodhart의 법칙의 대표적 사례임
    원래 목적은 블랙메일 가능성을 평가하는 것이지만, 형식이 본질을 압도함
    그래서 사람들은 대마초 사용 같은 사소한 일도 숨기게 되고, 오히려 그게 블랙메일의 빌미가 됨
    차라리 모든 걸 솔직히 털어놓는 게 낫다고 생각함. 정부가 이미 알고 있으면 외국 정부가 약점으로 삼을 수 없음
    결국 관료주의가 스스로의 함정을 만드는 셈임

    • 대학 시절 대마초를 피웠다고 솔직히 말해도 인가가 거부되지는 않음. 거부되더라도 항소 절차가 있음
      문제는 사람들이 ‘최근 사용’을 숨기려는 작은 거짓말
    • 솔직히 말하면 인가를 못 받을 수도 있지만, 거짓말해서 받는 게 경제적 유인이 크다는 점이 문제임
    • 실제로는 SF86 양식에 거의 뭐든 적어도 괜찮음. 그게 바로 제도의 취지임
    • 나도 SF86에 과거의 바보 같은 짓들을 다 적었는데, 조사관은 “이제 그런 일 안 할 거냐”만 확인했음
      최근 3~5년 내 일이 아니면 대부분 용서됨. 조사관들은 숨기지 않는 태도를 더 중요하게 봄
    • 정부는 문제를 덮는 대신 직원들의 중독 문제를 치료하려는 방향으로 가야 함
      하지만 현실은 ‘문제없음’을 보고하기 위해 진실을 숨김
      외국인 친구를 적는 칸이 너무 작아 ‘아무도 모른다’고 쓰게 만드는 것도 웃긴 일임
      결국 정부는 1950년대식 도덕 기준으로 사람을 걸러내며, 그게 오히려 블랙메일의 위험을 키우고 있음
답변달기