플래시카드 하나가 국경 보안을 뚫었다

누군가 시험 준비를 하다가 국가 기밀을 인터넷에 올렸다.

올해 2월, 온라인 학습 플랫폼 Quizlet에 "USBP Review"라는 이름의 플래시카드 세트가 공개 상태로 올라왔다. 내용은 평범한 시험 대비 자료가 아니었다. 텍사스주 킹스빌 인근 미국 세관국경보호국(CBP) 시설의 보안 절차에 관한 고도로 민감한 정보가 담겨 있었다. 누구나 검색하면 볼 수 있는 상태로, 약 한 달 이상 방치됐다.

무슨 일이 있었나

WIRED 매체가 해당 플래시카드 세트를 발견하고, 계정과 연결된 것으로 보이는 전화번호에 메시지를 보낸 지 30분도 채 되지 않아 해당 세트는 비공개로 전환됐다. 언론이 연락하기 전까지 아무도 몰랐거나, 알면서도 방치했다는 뜻이다.

계정 사용자의 이름과 일치하는 인물이 킹스빌 CBP 시설에서 1마일도 안 되는 아파트 주소에 등록된 것으로 확인됐다. 하지만 WIRED는 이 플래시카드를 현직 CBP 요원이나 계약직 직원이 만들었는지 아직 확인하지 못했다.

CBP 대변인은 성명을 통해 "이 사건은 CBP 직업책임실에서 검토 중"이라며 "검토가 진행 중이라는 사실이 비위 행위를 의미하지는 않는다"고 밝혔다. 공식적으로는 '검토 중'이라는 말 외에 아무것도 없다.

왜 지금, 왜 중요한가

광고

광고주 모집

[email protected]

광고

이 사건은 단순한 '실수'로 넘기기 어렵다. 세 가지 이유에서다.

첫째, 플랫폼의 구조적 문제다.Quizlet은 전 세계 수억 명이 사용하는 학습 도구다. 기본 설정이 '공개'인 플랫폼에서, 사용자는 자신이 올린 내용이 검색 엔진에 노출된다는 사실을 인식하지 못하는 경우가 많다. 민감한 업무를 다루는 직군에게 이 '기본값'은 치명적일 수 있다.

둘째, 내부자 위협의 새로운 얼굴이다. 전통적인 보안 유출은 해킹이나 외부 침입을 떠올리게 한다. 하지만 이번 사건은 내부자가 악의 없이, 단순히 공부하다가 기밀을 유출했을 가능성을 보여준다. 의도하지 않은 유출이 의도된 공격만큼 위험할 수 있다는 점에서, 보안 교육의 패러다임이 달라져야 한다.

셋째, 타이밍이 예사롭지 않다. 미국이 국경 보안을 정치적으로 가장 예민하게 다루는 시기다. CBP 시설의 내부 절차가 노출됐다는 것은, 단순한 정보 유출을 넘어 운영 보안(OPSEC) 전체에 대한 재검토를 요구한다.

누가 어떻게 볼까

보안 전문가 시각: 이 사건은 '기술 문제'가 아니라 '인간 문제'다. 아무리 정교한 방화벽도 직원이 외부 플랫폼에 기밀을 올리는 행위를 막지 못한다. 제로 트러스트(Zero Trust) 아키텍처가 내부 시스템을 보호할 수 있어도, 직원의 개인 기기와 외부 서비스 사용까지 통제하기는 어렵다.

에듀테크 업계 시각:Quizlet 입장에서는 난처한 상황이다. 플랫폼은 콘텐츠를 검열할 의무가 없다고 주장할 수 있지만, '공개 기본값'이라는 설계 선택이 이런 사고를 구조적으로 가능하게 한다는 비판을 피하기 어렵다. 에듀테크 플랫폼이 민감 직군 사용자를 위한 별도 보안 정책을 마련해야 하는가, 라는 질문이 생긴다.

한국 독자에게 낯설지 않은 이야기: 한국에서도 카카오톡 단체방이나 네이버 카페, 심지어 오픈채팅방에 내부 문서가 올라오는 사례는 드물지 않다. 공공기관 직원이 업무 자료를 개인 클라우드에 저장하거나 학습 앱에 업로드하는 행위는 법적으로 문제가 될 수 있지만, 현실에서는 관행처럼 이뤄지기도 한다. 이번 미국 사례는 남의 일이 아니다.

정부 기관 시각: 내부 감사와 직원 교육이 충분했는가에 대한 의문이 제기될 수밖에 없다. CBP가 직원들에게 외부 플랫폼 사용 지침을 명확히 고지했는지, 그리고 그 지침이 실질적으로 작동했는지가 핵심이다.