지난 2017년 3월 7일에 위키리크스(WikiLeaks)가 “볼트 7”(Vault 7)이라는 이름으로 CIA의 기밀 프로그램 [Weeping Angel]을 까발린 것을 기억하시는지 모르겠습니다. 당시 삼성 스마트TV 등의 스마트 가전제품이나 공유기 등을 해킹해서 도청한다는 것이 잠시 화제가 되었었죠. 이후 CIA는 해당 기밀을 유출한 인물로 조슈아 아담 슐트(Joshua Adam Schulte)라는 전직 CIA 엔지니어를 지목하였습니다.
조슈아 슐트는 그리 좋은 사람인 것 같지는 않습니다. CIA가 슐트를 기밀유출 용의자로 지목했을 당시 그는 아동포르노를 잔뜩 가지고 있었다는 것이 들통나서 이미 감옥에 가 있었던 상태였거든요. 게다가 뉴스 기사에 따르면 슐트는 CIA 재직 당시 동료를 자꾸 괴롭히기도 했다는 모양입니다. 그럼에도 불구하고, 슐트의 변호인은 그가 진짜로 위키리크스에 기밀을 유출했다는 확실한 증거가 없다며 CIA의 내부 보안이 심각하게 허술하다는 점을 지적했습니다.
재판에서 공개된 바에 따르면, 위키리크스에 유출된 각종 해킹 프로그램이 모두 담겨 있던 Confluence(아틀라시안의 상용 위키) 가상 머신의 패스워드는 123ABCdef
였습니다. DevLAN이라는 CIA의 자체 서버 루트 패스워드는 mysweetsummer
였고요. 이런 패스워드는 CIA 내에서 해킹 프로그램을 개발하는 부서인 OSB(Operational Support Branch)의 인트라넷에 그대로 올라와 있어서, 해당 부서의 모든 구성원들이 공유하고 있었습니다. 그리고 DevLAN은 누가 언제 기록을 열람했는지와 같은 로그도 제대로 남기지 않을 정도로 활짝 열려 있었다는군요. 이렇게 내부 보안이 취약한데, 언제 어떻게 피고가 기밀 유출을 저질렀다고 단정할 수 있겠느냐는 것이 변호인의 논리인 것이죠.
사실 군대 다녀오신 분들은 행정반 경험이 조금이라도 있다면 이런 모습이 결코 낯설지 않을 겁니다. 농담삼아 국방기밀 취급받는 1q2w3e4R!
같은 것 말이죠. 보안유지가 생명인 폐쇄적인 집단의 내부 실태가 실은 굉장히 허술하다는 건 미국 CIA도 다를 바가 없나 봅니다.