트럼프 행정부의 고위 관리가 시그널(Signal) 그룹 채팅에서 실수로 기자와 비밀 공격 계획을 공유한 사실이 알려지면서 국가 안보에 대한 우려가 더욱 커지고 있다.

CBS 보도에 따르면, 비행 추적 웹사이트 플라이트레이더24(FlightRadar24) 데이터를 근거로 미국의우크라이나 및 중동 특사인 스티브 위트코프(Steve Witkoff)가 그룹 채팅이 진행되는 동안 러시아 모스크바에 있었던 것으로 확인됐다. 위트코프는 3월 13일부터 14일까지 블라디미르 푸틴러시아 대통령과 다른 러시아 관리들을 만나기 위해 방문했다.

디 애틀랜틱(The Atlantic)의 보도에 따르면, 위트코프는 트럼프 행정부 관리 약 12명이 참여한 "후티 PC 소그룹(Houthi PC small group)"이라는 시그널 그룹 채팅의 일원이었다. 이 그룹에는 디애틀랜틱의 편집장인 제프리 골드버그(Jeffrey Goldberg)도 포함됐으며, 미국의 예멘 후티 반군 표적 폭격 계획에 대한 정보가 공유된 것으로 보인다. 미국 정부는 러시아의 해킹 시도와 보안 취약점을 이유로 기밀 정보 공유에 시그널 사용을 명시적으로 금지해왔다.

위트코프 특사는 푸틴을 "위대한" 지도자라고 칭찬한 바 있으며, 러시아의 3년간의 우크라이나 전쟁 종식을 논의하기 위해 푸틴과 만난 적이 있다.

위트코프의 러시아 체류 기간은 그룹 채팅에서 고도로 민감한 정보가 유출된 시점과 겹치는 것으로 보인다. CBS의 보도에 따르면, 비행 추적 정보상 위트코프는 3월 13일 정오경 모스크바에 도착했다. 전 푸틴 고문인 세르게이 마르코프(Sergei Markov)의 텔레그램게시물에 따르면, 위트코프는 다음날 새벽 1시 30분경까지 푸틴과 회담을 가졌다.

디애틀랜틱은 존 래트클리프(John Ratcliffe) CIA국장이 미 동부 시간으로 17시 24분경, 즉 러시아 시간으로 자정 무렵에 현직 CIA 요원의 이름을 텍스트 스트림에 공개했다고 보도했다.

디 애틀랜틱이 공유한 텍스트 대화 내용에 따르면, 위트코프는 공격이 있기 전까지는 채팅에 참여하지 않았다. 그는 공격이 의도한 표적을 타격했다는 메시지에 대해 기도하는 손 이모티콘 두 개, 팔 굽혀펴기 이모티콘 하나, 미국 국기 이모티콘 두 개로 반응했다.

캐롤라인 리빗(Karoline Leavitt) 백악관 대변인은 소셜 미디어 게시물을 통해 "위트코프가 미국 정부로부터 안전한 통신 수단을 제공받았으며, 모스크바에 있는 동안 그가 소지한 유일한 전화기였다"고 밝혔다.

수요일 언론 브리핑에서 리빗은 위트코프가 개인용이나 정부 지급 전화기를 소지하지 않았으며, 대신 "미국 정부가 제공한 기밀 보호 서버가 탑재된 기기"를 받았고 러시아에 있는 동안 통신에 매우 신중을 기했다고 말했다.

미 행정부가 크렘린과 협력하고 있음에도 불구하고, 국방부는 러시아와 관련된 사이버 보안 우려를 명확히 표명해왔다. 국방부는 3월 18일 시그널 앱에서 "취약점이 발견됐다"며 사용을 자제하라는 내용의 메모를 발표했다고 NPR이 보도했다. 이 메모는 미국의 공격이 있은 지 며칠 후, 그리고 골드버그의 그룹 채팅 참여가 공개되기 약 일주일 전에 발표됐다.

메모는 "러시아의 전문 해킹 그룹들이 암호화된 대화를 감시하기 위해 '연결된 기기' 기능을 이용하고 있다"고 밝혔다.

또한 "주의사항: 제3자 메시징 앱(예: 시그널)은 정책상 비기밀 책임/회수 훈련에는 허용되지만, 비공개 비기밀 정보를 처리하거나 저장하는 데에는 승인되지 않았다"고 덧붙였다.

이 메모는 미국 정부가 이전에 수립한 정책을 재확인한 것이다. 2023년 국방부는 시그널과 왓츠앱(WhatsApp) 같은 "관리되지 않는" 메시징 앱을 분류하며, 이들 앱이 "비공개 국방부 정보에 접근하거나 전송, 처리하는 데 승인되지 않았다"고 밝힌 바 있다.

디 애틀랜틱의 보도에 따르면, 해당 그룹은 일주일 후 메시지가 사라지는 시그널의 기능을 사용했는데, 일부 전문가들은 이것이 공공기록법을 위반했다고 지적했다. 익명을 요구한 전 정부 보안 책임자는 이전에 포춘에 그룹 채팅의 모든 관리들이 법적으로 통신 기록을 보존해야 하며, 어떤 관리도 자신의 메시지가 공공기록법에 적용되는지 여부를 임의로 결정할 수 없다고 말했다.

국방부가 시그널을 취약한 메시징 플랫폼으로 지목했지만, 실제 보안 위험은 앱이 아닌 휴대폰에서 발생한다고 한 사이버보안 전문가는 말한다.

노스웨스턴 대학컴퓨터 과학 교수이자 인공지능 및 보안 연구소장인 V.S. 수브라마니안(V.S. Subrahmanian)은 포춘과의 인터뷰에서 "시그널은 종단간 암호화와 통신을 위한 최고의 앱 중 하나다. 하지만 휴대폰은 그렇지 않다"고 말했다.

수브라마니안에 따르면, 개인 기기에 다운로드된 모든 앱에는 안전 위험이 있다고 한다. 앱을 다운로드할 때는 무해할 수 있지만, 자동 업데이트를 통해 악성 소프트웨어가 설치될 수 있다. 마찬가지로, 개인 휴대폰의 악성 소프트웨어는 암호화된 앱을 사용하더라도 화면에 표시된 모든 내용을 캡처할 수 있다. 이러한 위험을 줄이기 위한 한 가지 방법은 철저히 검증된 제한된 수의 앱만 설치된 휴대폰을 직원들에게 지급하는 것이다.

민감한 정보를 휴대폰에 저장한 채 여행하는 것은 보안 위험을 더욱 증가시킨다. 누구나 여행 중에 기기를 콘센트에 연결하면 악성 소프트웨어가 설치될 위험이 있다. 수브라마니안은 충전 케이블이 기기를 충전할 수 있지만 동시에 데이터도 전송할 수 있다고 설명했다.

"'주스 재킹(juice jacking)'이라고 불리는 잘 알려진 공격 유형이 그 케이블을 이용할 수 있다"고 수브라마니안은 말했다. "데이터를 전송할 수 있다면 악성 소프트웨어를 포함한 소프트웨어도 전송할 수 있다."

수브라마니안은 유출된 메시지의 결과를 파국적이라고 부르기를 꺼렸지만, 보안 실수의 원인이 메시징 앱에 있지 않다는 점을 분명히 했다.

"이는 시그널이나 시그널 기술의 실패가 아니다"라고 그는 말했다. "단순히 인간의 실수일 뿐이다."

글 Sasha Rogelberg, 편집 문상덕 기자 mosadu@fortunekorea.co.kr