미국 법무부(DOJ)의 정권 교체로 집행 우선순위가 변화했음에도 불구하고, 허위청구법(FCA)에 따른 사이버보안 집행은 여전히 활발히 진행되고 있는 것으로 보인다. 최근 DOJ가 발표한 내용 에 따르면, 헬스넷 연방 서비스(Health Net Federal Services)와 모회사 센틴 코퍼레이션(Centene Corporation)이 사이버보안 위반 혐의를 제기한 FCA 사건을 해결하기 위해 1,100만 달러 이상을 지급하기로 합의했다는 점이 이를 입증한다.
헬스넷 합의
미 법무부에 따르면, 헬스넷은 국방부와의 계약을 통해 국방보건청(DHA)의 트라이케어(TRICARE) 건강보험 혜택을 관리해왔다. 헬스넷은 정부 계약의 일환으로 특정 사이버 보안 통제 조치를 이행하지 않았으며, 정부에 제출한 연간 보고서에서 해당 요건 준수를 허위로 인증한 혐의를 받고 있다. 정부는 해당 기업이 알려진 취약점에 대한 적시 스캔을 수행하지 않았으며 네트워크 및 시스템상의 보안 결함을 시정하지 않았다고 주장했다. 또한 정부에 따르면, 헬스넷은 자사 네트워크 및 시스템의 사이버 보안 위험과 관련하여 제3자 보안 감사 기관 및 자체 감사 부서로부터 받은 보고서를 무시했다고 한다. 해당 위험은 자산 관리, 방화벽, 패치 관리, 암호 정책 등과 관련된 것이었다. 정부는 이러한 주장된 실패로 인해, 데이터나 보호 대상 건강 정보의 유출이나 침해가 발생하지 않았더라도 해당 계약 하의 회사의 보상 청구가 허위였다고 주장했다.
이번 최신 합의는 사이버 보안 실패 혐의로 정부 계약업체를 상대로 한 법무부의 기존 조치들을 기반으로 합니다. 폴리는 조지아 공대(Georgia Tech)를 상대로 한 법무부의 허위청구방지법(FCA) 소송을 포함해, 해당 기존 조치들에 대해 여기와 여기에서 보도한 바 있습니다. 해당 소송은 현재 계류 중입니다.
헬스넷 합의는 트럼프 행정부의 법무부가 특히 허위청구방지법(FCA)에 따라 사이버 보안 법집행에 계속 주력하고 있음을 보여준다. 이는 행정부가 주장되는 사기, 낭비, 남용을 근절하겠다는 선언을 고려할 때 놀라운 일이 아니다. 또한 이는 2025년 2월 워싱턴 D.C.에서 열린 전국적 퀴탐(qui tam) 컨퍼런스에서 여러 법무부 연사들이 반복한 주제이기도 했다.
또한, 헬스넷 합의 사례처럼 연방 계약이 군 관련 사항을 포함하는 경우, 현 행정부는 수사 및 기소 노력에 특히 적극적일 가능성이 높다. 실제로 헬스넷 합의가 내부고발자 소송(qui tam suit)에서 비롯된 것으로 보이지 않는다는 점은 주목할 만하다. 이는 정부가 자체적으로 수사를 개시한 것을 의미한다. 마지막으로, 사이버 보안은 항상 양당 모두의 관심사였다는 사실은 변함없다.
권장 사항
헬스넷 합의 및 새 행정부의 사이버 보안 집행 관심에 비추어, 기업 및 기타 연방 자금 수혜 기관(대학 포함)은 사이버 보안 규정 준수를 강화하고 허위청구금지법(FCA) 위험을 줄이기 위해 다음 조치를 고려해야 합니다:
- 정부가 부과한 모든 사이버 보안 기준을 목록화하고 준수 여부를 모니터링합니다. 이는 조직의 계약에 대한 지속적인 이해뿐만 아니라, 취약점을 식별 및 패치하고 해당 계약상 사이버 보안 기준 준수 여부를 평가하기 위해 조직의 사이버 보안 프로그램을 지속적으로 모니터링하고 평가하는 것을 포함합니다.
- 사이버 보안 문제를 다루는 강력하고 효과적인 규정 준수 프로그램을 개발하고 유지 관리하십시오. 많은 기업에서 규정 준수 프로그램과 정보 보안 기능이 제대로 통합되지 않은 경우가 많습니다. 효과적인 규정 준수 프로그램은 사이버 보안 문제를 해결하고 직원들이 그러한 문제를 보고하도록 장려할 것입니다. 문제가 확인되면 신속하게 상급자에게 보고하고 조사하는 것이 중요합니다. FCA(연방사기방지법)의 제보자 규정(qui tam provisions)은 직원 및 기타 관계자가 미국을 대신하여 소송을 제기할 수 있도록 허용하므로, 직원들의 우려 사항에 효과적으로 대응하는 것이 매우 중요합니다.
- 사이버 보안 표준을 준수하지 않는 것이 확인된 경우 조직은 잠재적인 다음 단계를 평가해야 합니다. 여기에는 해당 사안을 정부에 공개하고 정부 조사관에게 협조할지 여부가 포함됩니다. 조직은 이와 관련하여 경험이 풍부한 변호사와 협력해야 합니다. 잠재적인 규정 위반을 조사하고 대응하기 위한 전략을 사전에 수립하면 프로세스에 규율을 확립하고 조직의 접근 방식을 간소화할 수 있습니다.
