안두릴·팔란티어 전장 통신 시스템, 심각한 결함 지적돼… 육군 메모

Mike Stone

최근 육군 내부 메모에 따르면 안두릴, 팔란티어 PLTR 등이 진행 중인 미 육군의 전장 통신망 현대화 사업은 '근본적인 보안' 문제와 취약점으로 가득 차 있으며 '매우 높은 위험'으로 취급해야 한다고 밝혔다.

도널드 트럼프 미국 대통령의 측근이 이끄는 이 두 실리콘밸리 기업은 국방부의 오랜 무기 공급업체보다 더 저렴하고 정교한 무기를 신속하게 제공하겠다는 약속을 내세워 국방부의 수익성 높은 계약에 접근해왔다.

그러나 군인, 센서, 차량, 지휘관을 실시간 데이터로 연결하는 NGC2 플랫폼에 대한 육군 최고 기술 책임자의 9월 메모는 초기 제품에 대한 암울한 그림을 보여준다.

"누가 무엇을 보는지 통제할 수 없고, 사용자가 무엇을 하는지 확인할 수 없으며, 소프트웨어 자체가 안전한지 확인할 수 없다"고 이 메모는 밝혔다.

팔란티어와 안두릴은 이 기사에 대해 논평하지 않았다.

로이터 통신이 입수하고 Breaking Defense가 처음 보도한 이 평가는 국방 드론 및 소프트웨어 제조업체인 안두릴이 팔란티어, 마이크로소프트 및 여러 소규모 계약업체를 포함한 파트너들과 함께 NGC2 프로토타입을 만들기 위해 1억 달러를 수주한 지 불과 몇 달 만에 나왔다.

육군 최고기술책임자(CTO) 겸 승인 담당관인 가브리엘 치울리는 "적군이 지속적으로 탐지할 수 없는 접근 권한을 얻을 가능성"이 있기 때문에 육군은 NGC2 프로토타입 버전을 "매우 높은 위험"으로 취급해야 한다고 썼다.

9월 초 메모의 혹독한 비판에도 불구하고 육군 최고 정보 책임자이자 치울리의 감독관인 레오넬 가르시가는 로이터에 보낸 성명에서 이 보고서는 "사이버 보안 취약성을 분류"하고 완화하는 데 도움이 되는 프로세스의 일부라고 말했다.

지난 3월, 제4보병사단은 콜로라도 주 포트 카슨에서 진행된 실사격 포병 훈련에서 이 시스템을 사용했는데, 안두릴은 이 훈련에서 기존 시스템보다 더 빠르고 안정적인 성능을 보여줬다고 설명했다.

육군 메모는 몇 가지 주요 보안 허점을 지적했다.

보고서에 따르면 이 시스템을 사용하면 권한이 있는 모든 사용자가 승인 수준이나 작전상 필요에 관계없이 모든 애플리케이션과 데이터에 액세스할 수 있다. 그 결과 "모든 사용자가 잠재적으로 민감한" 기밀 정보에 액세스하고 오용할 수 있으며, 사용자의 행동을 추적할 수 있는 로깅이 없다고 메모는 명시했다.

이 메모에서 강조된 다른 결함으로는 육군 보안 평가를 받지 않은 타사 애플리케이션의 호스팅 등이 있다. 한 애플리케이션에서는 심각도가 높은 25개의 코드 취약점이 발견됐다. 문서에 따르면 추가로 검토 중인 3개의 애플리케이션에는 각각 평가가 필요한 200개 이상의 취약점이 포함돼 있다.