일상적 신원조회와 자격 인증 절차가 지연되거나 건너뛰어짐

 

작성자: Anthony Kimery

보도일자: 2025년 11월 25일

출처: Biometricupdate.com

 

2024~25년 대통령 권력 이양 과정에서 부적절하게 접근 권한을 얻은 인물들이 지금도 연방정부 내에서 자격증명(credential)을 유지하거나 접근 권한을 갖고 있을 가능성이 있습니다.

 

이것이 바로 바이든 행정부에서 트럼프 행정부 2기로 이어지는 이양 과정에 대한 ‘교훈 보고서(Lessons Learned report)’에서 드러나는 가장 심각한 미해결 문제입니다.

 

보고서는 신원 확인 절차가 붕괴되었으며, 각 기관이 신규 인력의 요청을 신뢰할 수 없는 상태였음을 명확히 밝히고 있습니다. 또한 트럼프 측이 .gov 인프라 사용을 거부해, 보안 위험을 초래했으며 각 기관이 즉흥적인(검증되지 않은) 커뮤니케이션 채널을 사용할 수밖에 없었다고 지적합니다.

 

이 보고서는 대통령 이양센터(Center for Presidential Transition)가 작성한 것으로, 다음과 같은 사실을 확인하고 있습니다:

• 권한이 없는 인물들이 이양 기간 동안 접근을 시도했다는 점
• 각 기관이 이들의 신원을 검증하는 데 어려움을 겪었다는 점
• 트럼프 측이 정부 보안 IT 시스템(.gov 및 기타 보안 인프라)을 거부했다는 점
• 일상적 신원조회와 자격 인증 절차가 지연되거나 건너뛰어졌다는 점

 

그러나 이 보고서는 이러한 취약점이 이후 실제로 수정되었는지, 또는 이양 과정에서 무단으로 시스템에 접근했을 가능성이 있는 인물들이 취임식 이후 연방 시스템에서 제거되었는지에 대해서는 어떠한 정보도 제공하지 않습니다.

 

대통령 이양센터는 대통령 후보, 현직 행정부, 그리고 연방 기관들이 이양 계획을 준비할 수 있도록 지원하는 역할을 합니다.

 

보고서는 먼저 2024년 권력 이양이 “확립된 규범에서 크게 벗어났으며, 향후 이양 과정이 투명성·윤리·보안을 보장하는 절차에서 벗어나도록 하는 선례를 남겼다”고 지적하며 시작합니다.

 

또한 “새 행정부가 기존 규범에서 벗어나는 데 주저하지 않는 태도는 첫 해 내내 정부 운영 전반을 규정해 왔다”고 덧붙였습니다.

 

보고서는 트럼프 이양 과정이 시작부터 “보안상의 우려를 초래했다”고 명시하며, 트럼프 측이 워싱턴 D.C. 다운타운의 윌라드 호텔(Willard Hotel), 뉴욕시, 마러라고(Mar-a-Lago), 그리고 온라인을 통해 업무를 진행했다고 밝히고 있습니다.

 

그러한 일탈은 단순한 추상적 우려가 아니었습니다. 이는 연방정부가 인력을 인증하고, 신원을 통제하며, 민감한 정보를 안전하게 처리하는 과정에서 구체적이고 추적 가능한 실패를 초래했습니다. 특히 정부가 위험을 가장 감당하기 어려운 시기에 이런 문제가 발생했습니다.

 

트럼프 팀이 표준 정부 IT 시스템 사용을 거부한 결정은 신원을 검증하는 데 사용되는 기본 인프라를 즉각적으로 불안정하게 만들었습니다.

 

이양팀이 정부의 보안 이메일 도메인 사용을 거부했기 때문에, “기관 관계자들은 이양 인력과 어떻게 정보를 안전하게 교환할지 협의해야만 했다”고 보고서는 밝혔습니다. 트럼프 팀이 “정부 제공 서버나 .gov 이메일 주소를 사용하지 않았기 때문”입니다.

 

이양팀 구성원들은 기관에 연락할 때 여러 사설 도메일 – “@transition47.com, @Trumpvancetransition.com, @ditfp24.com” – 을 뒤섞어 사용했으며, 보고서는 직설적으로 “모든 요청이 정상적인 출처에서 온 것은 아니었다”고 지적합니다.

 

이 한 문장은 연방 사이버보안 프로토콜을 아는 누구에게나 심각한 경고 신호입니다. 이는 곧 연방 기관이 검증된 도메인 기반 신원 확인을 할 수 없었다는 뜻이며, 이메일을 보낸 사람이 실제로 합법적인 이양팀 구성원인지 확신할 수 없었다는 의미입니다.

 

더 나아가, 이러한 소통이 정부 관할 밖의 사설 서버에서 이루어졌기 때문에, 연방 기관은 보통 다음을 추적하는 데 사용되는 공식 로그(log)를 확보하지 못했습니다:

• 누가 어떤 접근을 요청했는지
• 누가 그 접근을 허용했는지
• 누가 어떤 민감 정보를 다뤘는지

즉, 전체 과정의 감사·추적·검증 체계가 사실상 무너진 셈입니다.

 

보고서는 다음과 같이 명확히 밝히고 있습니다: “해당 도메인 플랫폼들이 정부 보안 요건을 충족하는지 불분명했으며, 외부 서버가 사이버 위협에 취약할 가능성도 우려되었다.”

 

그 결과, 보고서는 다음과 같이 결론 내립니다: “표준 인프라의 부재는 민감한 정보가 비인가자에게 잘못 전달되거나, 해킹 위험이 있는 비보안 채널로 전송될 위험을 초래했다.”

 

이로 인해 발생한 신원 인증 불안정성은 단순한 가정이 아니었습니다. 여러 연방 기관은 다음과 같은 사례를 보고했습니다:

• 일부 기관에 명단에 없는 인물들이 직접 방문하거나
• 직원들에게 직접 연락해 물리적 또는 전자적 접근 권한을 요청하는 사례가 발생했다

보고서는 다시 한 번 강조합니다: 이 인물들 중 모두가 합법적인 이양팀 구성원은 아니었다.

 

보고서 전반에서 똑같이 우려되는 두 번째 문제는, 공식 이양 구조 내에서 존재하지도 않는 단체인 “정부 효율성부(Department of Government Efficiency, DOGE)”를 자칭하는 사람들이 등장했다는 점입니다.

 

보고서는 혼란스럽고 압축된 이양 기간 동안 “명단에 없는 인물들이 기관에 직접 찾아오거나 직원들에게 연락해 물리적·전자적 접근을 요청했다”는 사례가 있었다고 확인합니다. 그리고 그중 일부는 자신들을 “정부 효율성부(DOGE)” 소속이라고 주장했다고 밝혔습니다.

 

DOGE 인원의 등장은 단순한 혼란 사례가 아닙니다. 이는 신원 검증 체계 붕괴가 어떤 방식으로 무단 인물들이 연방 시스템 내부에 접근할 수 있는 틈을 만들어냈는지를 보여주는 직접적인 사례입니다.

 

이양팀이 정부 보안 이메일을 거부하고 사설 도메인에 의존한 상황에서는, 각 기관이 활용할 일관된 신원 인증 체계가 전혀 존재하지 않았습니다. 보고서는 이러한 조건에서 “모든 요청이 정상적 출처에서 온 것은 아니었다”고 명확히 밝히며, 공식 명단이나 안전한 통신 채널이 없는 상태에서 DOGE 인물들이 얼마나 쉽게 그 공백을 악용할 수 있었는지를 보여줍니다.

 

DOGE의 활동은 이 취약점이 일시적 문제가 아니라 구조적(systemic) 문제임을 드러냅니다.

 

기관들이 “이양팀 구성원이라고 주장하는 인물들의 디지털 소통을 검증하는 데 어려움을 겪었고”, 이양팀이 정부 보안 서버를 거부하고 보안성이 ‘불분명한’ 사설 인프라를 사용한 탓에, 연방정부는 일정 기간 동안 합법적인 이양 대표와 비합법적 접근자를 구분할 수 있는 능력을 사실상 잃게 되었습니다.

 

배경조사(백그라운드 체크)가 지연되고, 이메일 신원 확인이 불가능하며, 접근자 명단조차 불완전했던 이양 환경에서는, DOGE가 복잡한 공작 기법을 사용할 필요조차 없었습니다. 그저 빈틈을 이용하면 되었기 때문입니다.

 

보고서는 DOGE 관련 인물들이 실제로 접근 권한을 얻었는지, 어떤 정보를 전달받았는지, 그들의 시도가 최종적으로 차단되었는지 전혀 밝히지 않았습니다. 더 심각한 점은, 취임 이후 DOGE와 연관된 신원, 자격증명, 접근 경로가 점검되었는지 혹은 폐기되었는지조차 언급하지 않는다는 것입니다.

 

이 침묵 속에서 DOGE 사례는 다음을 보여주는 전형적 사례 연구(case study)가 됩니다:

• .gov 인프라 거부
• 보안 협정 지연
• 신원 검증 공백(authentication vacuum)

이 세 가지가 결합하면 어떻게 무단 인물이 연방 정부 권력 시스템 내부에까지 침투할 수 있는 길을 열어주는지를 보여주는 것입니다.

 

9월, 상원 국토안보·정부활동위원회(Senate Committee on Homeland Security and Governmental Affairs)는 DOGE가 프라이버시 보호 장치를 광범위하게 위반했다는 내용을 경고하는 보고서를 발표했습니다.

 

트럼프 이양팀이 백악관 및 법무부와의 협정(MOU) 서명을 지연하면서, 각 부처의 검토팀(agency review teams)은 12월 중순이 되어서야 기관 출입을 시작할 수 있었습니다. 그 결과 이양팀은 약 6주 동안 협력 기간을 상실했고, 이 공백 속으로 신원 검증이 불가능한 인물들이 침투하기 시작했습니다.

 

가장 중요한 신원 검증 절차인 FBI 배경조사(Federal Bureau of Investigation background checks) 역시 중단되었습니다. 이양팀이 법무부와의 양해각서(MOU)를 12월 4일까지 서명하지 않았기 때문에, “FBI는 차기 지명자나 이양팀 구성원의 배경조사를 처리할 수 없게 되었다”고 보고서는 밝히고 있습니다.

 

이러한 검증 절차가 없었기 때문에, “이양팀 구성원들은 기밀(briefed) 이양 브리핑을 받을 수 없었다”고 보고서는 기록합니다.

 

그러나 이러한 제한은 기밀 정보에만 적용되었습니다. 보고서 어디에도 기밀은 아니지만 민감한 비분류 정보(unclassified but sensitive information)에 동일한 수준의 주의가 적용되었는지에 대한 언급은 없습니다. 하지만 이 종류의 정보는 이양 과정에서 정부 기관들이 빠르게 공유해야 하는 경우가 매우 많습니다.

 

그리고 아마도 보고서에서 가장 두드러지고 불길한 부분은, 보고서가 말하지 않은 내용입니다. 보고서는 이양 기간 동안 접근 권한을 얻은 모든 인원을 취임 이후 식별하기 위한 감사(post-inaugural audit)가 실제로 이루어졌는지에 대해 전혀 설명하고 있지 않습니다.

 

보고서는 무단 접근한 인물들이 식별되어 제거되었는지에 대해 어디에서도 언급하지 않습니다.

 

또한 혼란스러운 이양 과정 동안 즉흥적이거나 검증 불가능한 이메일 신원을 기반으로 부여된 자격증명(credential)이 1월 20일 – 트럼프 취임식 당일 – 자동 비활성화되었는지, 혹은 이후 이상 여부에 대한 검토가 이루어졌는지에 대해서도 전혀 밝히지 않습니다.

 

보고서는 대신 침묵하고 있습니다.

 

이 누락은 더욱 눈에 띄는 이유가 있습니다. 그 문서가 이미 이러한 취약점의 심각성을 인정하고 있기 때문입니다. 문서는 다음과 같이 경고합니다: “표준 인프라의 부재는 민감한 정보가 비인가자에게 잘못 전달되거나, 해킹될 수 있는 비보안 채널을 통해 전송될 위험을 만들었다.”

 

또한, 각 기관이 “이양팀 구성원이라고 주장하는 인물들의 디지털 소통을 검증하는 데 어려움을 겪었다”는 사실도 인정합니다.

 

그리고 사설 서버 사용과 배경조사 지연이 “국가 안보 위험을 초래했다”고 명확하게 기술합니다.

 

그럼에도 불구하고 새 행정부가 출범한 이후, 보고서는 이러한 국가 안보 위험이 평가되었는지, 수정되었는지, 혹은 체계적으로 조사되었는지에 대해 어떠한 언급도 하지 않습니다.

 

신원 관리(Identity Governance)의 공백은 행정부 출범 초기까지도 이어졌습니다. 보고서는 취임 이후 경력 공무원들에 대한 급작스럽고 예측 불가능한 재배치가 일어나면서, “공무원들이 예상하지도 준비하지도 않은 역할을 맡게 되어 혼란과 혼돈이 발생했다”고 지적합니다.

 

권한대행 교체, 지휘 체계 변동, 인사 배치 변화는 접근 권한(access permissions), 감사(auditing), 계정 관리(account disposition)에서 추가적인 불안정성을 초래합니다. 행정부 초기 운영이 혼란스러울수록, 접근 권한 정리(cleanup)는 제대로 이루어지지 않는 경우가 많습니다.

 

책임성을 보장하기 위해 마련된 투명성·공개 절차 또한 무시되었습니다. 트럼프 이양팀이 연방총무청(GSA)의 지원을 거부했기 때문에, 이양법(Transition Law)이 요구하는 기부자 정보, 자금 출처, 기관 검토팀 구성원 공개를 법적으로 수행할 의무가 없었습니다.

 

이러한 공개가 이루어지지 않으면서, 국민과 연방 기관은 “행정부에 영향을 미치는 개인과 조직에 대한 중요한 이해를 상실했다”고 보고서는 지적합니다. 이러한 가시성이 사라지면, “윤리적인 행정 운영을 감시하는 눈이 줄어든다”고 경고합니다.

 

권이 있는 인사 명단이 존재하지 않으면, 각 기관의 시스템은 누가 접근을 요청하는지, 해당 자격증명이 유효한지를 비교할 신뢰할 수 있는 기준선(baseline)을 갖지 못하게 됩니다.

 

이것이 바로 아직 답이 없는 핵심 질문의 연결 고리입니다. 정부가 이양 과정에 누가 실제로 관여했는지 확정적으로 알지 못한다면, 이양 후에도 누가 접근 권한을 유지했는지 역시 확정적으로 알 수 없습니다.

 

물론 이것이 곧 무단 접근이 트럼프 행정부 내내 지속되었다는 의미는 아닙니다. 그러나 보고서는 이를 방지하도록 설계된 시스템이 약화되었고, 지연되었으며, 무시되었고, 심지어 연방 감독 밖의 사설 인프라로 대체되었음을 보여줍니다.

 

보고서에 수정 작업(corrective review)에 대한 언급이 전혀 없다는 사실은, 정리(cleanup)가 설령 이루어졌더라도 비공식적이고, 산발적이며, 정부 전체 차원의 감사가 아니라 각 기관의 임시 대응(triage)에 기반했을 가능성을 강하게 시사합니다.

 

보고서는 마지막에 다음과 같은 경고로 마무리합니다: “올해의 이양 과정은 모범 기준(gold standard)에 미치지 못했으며, 국가 안보와 윤리를 보호하는 안전장치(guardrails)는 재검토되고, 수정되며, 강화되어야 한다.”

 

이 권고는 보고서가 스스로 해결할 수 없는 무거운 의미를 담고 있습니다. 2024~25년 이양 과정에서 생긴 취약점들이 취임식 당일로 끝나지 않았을 가능성입니다.

 

정부가 이양 과정에 대해 기관들과 동일한 수준의 신원 관리(identity governance) 기준을 의무화하지 않는 한, 누가 접근 권한을 얻었는지 – 그리고 누가 그 권한을 유지했는지 – 그 질문은 계속 해결되지 않은 채 남게 될 것입니다.

 

그리고 그 파급력을 고려한다면, 이 질문을 더 이상 침묵 속에 방치할 수는 없습니다.