엄지손가락 하나로 수억 명의 주민번호가 새어나갔나

USB 하나, 그리고 대통령 사면 발언

"혹시 불법이면 대통령 사면을 받으면 된다."

이 한 마디가 미국을 흔들고 있다. 내부고발자가 미국 사회보장청(SSA) 감찰관실에 제출한 진정서에 담긴 내용이다. 진정서에 따르면, DOGE(도지·정부효율부) 소속 엔지니어였던 존 솔리(John Solly)가 동료들에게 SSA의 핵심 데이터베이스를 USB에 복사했다고 말했고, 이를 자신의 새 직장인 민간 IT 기업 레이도스(Leidos)에서 활용하려 했다는 것이다.

문제의 데이터는 단순한 파일이 아니다. NUMIDENT는 미국 내 모든 사회보장번호 신청 정보를 담은 마스터 데이터베이스로, 이름·생년월일·인종 등 수억 명의 개인정보가 집약되어 있다. 또 하나는 사망자 마스터 파일(Death Master File)—사망한 사람들의 사회보장 기록을 보관해 신원 도용을 막는 데이터베이스다. 이 두 파일이 USB 하나에 담겼다는 주장이다.

각자의 '사실'

솔리 측 변호인 세스 왁스먼(Seth Waxman)은 즉각 반박했다. "솔리는 SSA가 보유한 어떠한 개인식별정보(PII)에도 접근하거나 열람하거나 공유한 적이 없다. 익명의 제보자가 제기한 이 혐의는 명백히 허위이며 명예훼손에 해당한다." 레이도스도 내부 조사를 마쳤다며 "디지털 포렌식 결과 솔리가 회사 지급 노트북에 USB를 꽂은 흔적이 전혀 없고, 레이도스 네트워크에 SSA 데이터가 존재한 적도 없다"고 밝혔다.

SSA 대변인도 "단 한 명의 익명 제보자가 제기한 주장이며, 관련 당사자 모두가 강하게 부인하고 있다"며 선을 그었다.

그러나 이 사건이 완전히 새로운 이야기는 아니다. 지난해 8월, SSA 최고데이터책임자(CDO)였던 척 보르제스(Chuck Borges)는 DOGE가 수백만 명의 사회보장 데이터를 보안 통제가 없는 클라우드 서버에 무단 업로드했다는 별도의 진정서를 미국 특별검사실에 제출했다. 그 진정서에도 솔리의 이름이 등장한다—그가 NUMIDENT 실데이터를 클라우드 환경으로 이전해달라고 요청했다는 내용으로. 보르제스는 진정서 제출 며칠 뒤 "내 직무를 합법적·윤리적으로 수행하는 것이 불가능해졌다"며 사임했다.

이해충돌의 구조

광고

광고주 모집

[email protected]

광고

이 사건에서 가장 주목해야 할 지점은 솔리의 이중적 위치다. 그는 2025년 초 DOGE 팀원으로 SSA에 파견되어 NUMIDENT 데이터와 EDEN 2.0 프로젝트를 담당했다. EDEN(Enterprise Data Exchange Network)은 원래 금융기관이 고객 신원을 사회보장 데이터와 대조해 검증할 수 있게 해주는 API 시스템이다. 그런데 레이도스는 이미 2023년 SSA와 최대 15억 달러(약 2조 원) 규모의 5년 계약을 체결한 SSA의 핵심 IT 파트너다. 솔리는 DOGE 활동과 동시에—또는 직후부터—레이도스의 헬스 IT 부문 최고기술책임자(CTO)로 재직 중이었다.

전직 SSA 청장 대행 릴랜드 더덱(Leland Dudek)은 WIRED에 의미심장한 말을 남겼다. "DOGE 팀은 내게 EDEN 작업을 하고 있다고 직접 말한 적이 없고, 나도 그들에게 지시한 적이 없다. 그들은 NUMIDENT 파일에서 사기를 찾아내는 데 더 관심이 많았다." 그러면서도 그는 EDEN 시스템이 "금융기관과의 데이터 공유를 넘어, 다른 정부 기관과의 데이터 공유로 확장될 수 있다"고 덧붙였다.

실제로 2025년 2월 25일, 미국 중소기업청(SBA) 감찰관 윌리엄 커크(William Kirk)는 상원 위원회에 출석해 SBA가 SSA의 EDEN 네트워크를 포함한 연방 데이터베이스 간 데이터 공유를 확대했다고 공식 증언했다. DOGE가 구축하려 했던 데이터 공유 인프라가 이미 가동되고 있다는 신호다.

한국과의 연결: 공공 데이터의 민간 이전

이 사건은 미국만의 이야기가 아니다. 한국에서도 공공 마이데이터, 행정안전부 통합 데이터 플랫폼, 건강보험공단의 의료 빅데이터 등 수억 건의 민감 정보가 민간 기업과의 협력 명목으로 점점 더 많이 공유되고 있다. 카카오, 네이버, 삼성SDS 같은 기업들이 공공 IT 인프라 구축에 깊숙이 참여하는 구조에서, '공공 데이터를 다루던 사람이 민간 기업으로 이직할 때 무엇을 가져가는가'라는 질문은 한국 사회에도 동일하게 적용된다.

한국의 경우 개인정보보호법과 공공데이터법이 일정한 안전장치를 제공하지만, 실제 집행력과 내부고발자 보호 체계가 충분한지는 별개의 문제다.

누가 무엇을 원하는가

이 사건을 둘러싼 이해관계자들의 시각은 극명하게 갈린다.

DOGE 지지자들은 정부 비효율 해소를 위해 민간의 기술력이 공공 시스템에 접근하는 것은 불가피하다고 본다. 데이터 공유 없이는 사기 탐지도, 시스템 현대화도 불가능하다는 논리다.

개인정보 보호론자들은 정반대다. 공공 데이터에 대한 접근 권한을 가진 사람이 동시에 그 데이터를 사용할 민간 기업의 임원이라는 사실 자체가 구조적 이해충돌이며, 어떤 기술적 보호 장치도 이 문제를 해결하지 못한다고 주장한다.

사이버보안 전문가들은 더 근본적인 질문을 던진다. NUMIDENT 같은 데이터가 메인프레임 밖으로 나오는 순간—API든, 클라우드든, USB든—공격 표면(attack surface)이 기하급수적으로 넓어진다. 데이터가 '어디에 있었는가'보다 '어디로 갈 수 있는가'가 더 중요한 보안 변수다.

레이도스 같은 방산·IT 대형 계약업체들에게 이 사건은 불편한 시험대다. 정부와 수십억 달러 계약을 유지하려면 신뢰가 핵심인데, 자사 임원이 연루된 내부고발은 그 신뢰를 흔든다.