top of page
  • Writer's pictureDelta One

미 법무부, 국방 사이버보안 규정 위반 관련 조지아텍 소송

미 국방부의 본격적인 CMMC 규정 시행을 앞두고, 조지아공과대학교(조지아텍)와 부설 연구소(GTRC)가 미 국방 계약과 관련된 사이버보안 규정 위반으로 법적 소송에 휘말렸다. 이 소송은 조지아텍의 전현직 사이버보안팀원들이 시작한 내부고발에 의해 촉발되었으며, 미 법무부가 이 소송에 합류하면서 방산업계 전반에 사이버보안 규정 준수의 중요성에 대한 경각심을 일깨우고 있다.


소송의 주요 내용:

  1. 시스템보안계획(SSP) 미비: 2020년 2월까지 미 국방부가 요구한 시스템보안계획(SSP)을 수립 및 이행하지 않았으며, SSP 수립한 이후에도 계획에 미 정부조달 관련 시스템(랩톱, 데스크톱, 서버 등)을 모두 포함하지 않았음


  2. 안티바이러스 미설치: 안티바이러스 또는 안티 멀웨어 소프트웨어를 설치 및 갱신하지 않았으며, 이는 연방 사이버보안 요건뿐만 아니라 조지아텍의 내부 규정까지 위반한 것임. 연구소장의 요구에 따라 안티바이러스 소프트웨어 설치를 거부한 것으로 알려짐.


  3. 사이버보안 평가점수 허위 보고: 조지아텍은 미 국방부가 요구한 사이버보안 평가를 실시한 후 그 결과를 미 국방시스템에 등록해야 함. 2020년 12월, 조지아텍은 실제로는 전 캠퍼스 차원의 IT 시스템이 없었음에도 불구하고, 전 캠퍼스와 GTRC를 대상으로 평가했다고 보고하며 98점이라고 등록했음. 이 점수는 가상 환경에서의 평가 결과였으며, 미 정부의 대외비 정보를 다루는 시스템과는 무관한 평가였기에 허위 보고로 간주되었음.


미 법무부 고위 관계자는 "정부 계약자가 사이버보안 요건을 준수하는 것은 국가 안보를 위해 매우 중요한 일이며, 계약업체는 규모와 관계없이 반드시 사이버보안 요건을 준수해야 한다"고 강조했다.


이번 내부 고발자 소송은 미국의 부정청구법(False Claims Act)을 근거로 하며, 이 법은 개인이 정부를 대신하여 부정 청구 사실을 고발하고 일정 비율의 보상금을 받을 수 있도록 허용한다. 또한, 정부가 소송을 직접 진행할 수 있으며, 이 법을 위반한 피고는 정부 피해 금액의 최대 3배에 달하는 벌금과 추가 벌금 처벌을 받을 수 있다.


한국의 방산기업이나 미국 시장 진출을 계획 중인 기업들은 이번 사례를 교훈 삼아 자사의 사이버보안 상태를 점검한 후 미 국방부 시스템에 점수를 등록할 때에는 허위 사실을 등록하지 않도록 해야 한다. CMMC Level 1만 필요한 기업이라 할지라도 알아두어야 할 것은, Level 1에서 요구된 보안 이행과제는 17개뿐이지만 사이버보안 평가는 NIST SP 800-171 기준에 따라 110개의 이행 과제를 평가해야 한다는 것이다. 110개의 이행 과제를 모두 평가하고 SPRS에 등록하지 않으면, 의도치 않게 허위 사실을 기재하는 상황이 발생할 수 있음을 유의해야 한다. 이 사건은 방산업계에 종사하는 모든 기업이 사이버보안 규정 준수의 중요성을 다시 한 번 인식하는 계기가 될 것으로 본다.


관련 뉴스:

10 views0 comments

Recent Posts

See All

미 국방부가 장려하는 민간투자영역

미 국방부가 2022년말 국가안보에 필요한 능력 개발에 민간투자를 장려할 목적으로 Office of Strategic Capital (OSC)을 설치한 이후, 2024년3월 처음으로 이와 관련된 투자전략을 발표했다. 미 국방부가 장려하는 중점...

Comments


bottom of page