최근 미국 법무부(DOJ)의 발표에 따르면 허위 청구법(FCA)에 따른 사이버 보안 단속에 대한 정부의 강조가 늦춰지지 않고 있습니다. 이 보도자료에 따르면 RTX Corporation(RTX), Raytheon Company(레이시온), Nightwing Group LLC, Nightwing Intelligence Solutions LLC(총칭하여 나이트윙) 등 4개 회사는 레이시온과 그 전 자회사가 연방 계약에서 사이버 보안 요건을 준수하지 않았다는 관계자의 소송에 따른 FCA 문제 해결을 위해 840만 달러를 지불하기로 합의했습니다.
레이시온 합의
레이시온의 전 엔지니어링 디렉터인 브랜슨 케네스 파울러 시니어는 2021년 8월에 키탐 소송을 제기했습니다. 레이시온과 같은 연방 방위 계약업체 및 하청업체는 미국 국립표준기술연구소 특별 간행물 800-171(NIST SP 800-171)에 명시된 특정 사이버 보안 제어를 구현해야 합니다. 그러나 이 소송에 따르면 레이시온은 연방 계약 업무와 관련하여 이러한 요건을 충족하지 못했다고 주장하고 있습니다. 이 혐의는 "다크웹"이라고 불리는 레이시온의 내부 네트워크 시스템을 중심으로 제기되었습니다. 레이시온은 (a) 특정 방위 계약 업무와 관련하여 보호 대상 정보를 저장, 전송 및 개발하는 데 다크웹을 사용했으며, 해당 시스템이 NIST SP 800-171의 사이버 보안 요건을 준수하지 못했음에도 불구하고 (b) 이 내부 시스템에 필요한 시스템 보안 계획을 개발하지 않았다고 주장하고 있습니다.
특히, 레이시온은 2020년 5월에 특정 정부 계약업체에 자사의 정보 시스템이 연방 사이버 보안 규정을 준수하지 않는다고 판단하여 대체 시스템을 구축한 후 다크웹 사용을 중단한다고 통보했습니다. 그러나 합의에 따르면, 레이시온은 다크웹에서 이러한 의무 보안 요건을 이행하지 않았기 때문에 다크웹에서 수행된 연방 계약 업무에 대한 모든 주장이 거짓이 되었다고 주장했습니다.
피고들은 이러한 혐의를 부인하지만 혐의 해결을 위해 미화 840만 달러를 지불하기로 합의했습니다. 파울러 씨는 소송 관련자로서 이번 합의와 관련하여 미화 150만 달러 이상을 받게 됩니다.
마지막으로, 이번 소송의 원인이 된 행위는 나이트윙이 2024년 RTX의 사이버 보안 사업을 인수하기 몇 년 전인 2015년부터 2021년 사이에 발생했습니다. 이는 후계자 책임의 중대한 위험을 보여주며 실사의 일환으로 인수 대상의 사이버 보안 규정 준수 여부를 평가하는 것이 얼마나 중요한지를 강조합니다.
권장 사항
이러한 위험을 고려할 때 방위 계약업체 및 기타 연방 기금 수령자(대학 포함)는 사이버 보안 규정 준수를 강화하고 FCA 위험을 줄이기 위해 다음 단계를 고려해야 합니다:
- 정부가 부과하는 모든 사이버 보안 표준을 목록화하고 준수 여부를 모니터링합니다. 조직 내 모든 사이버 보안 요건과 적용 대상 시스템의 포괄적인 목록을 확보하세요. 이러한 요구사항은 주요 정부 계약뿐만 아니라 하도급 계약, 보조금 또는 기타 연방 프로그램에서도 적용될 수 있습니다. 여기에는 조직의 계약에 대한 지속적인 지식뿐만 아니라 조직의 사이버 보안 프로그램을 지속적으로 모니터링하고 평가하여 취약점을 식별 및 패치하고 해당 계약의 사이버 보안 표준을 준수하는지 평가하는 것도 포함됩니다. 이 평가에는 제3자 관계도 고려해야 합니다.
- 사이버 보안 문제를 해결하는 강력하고 효과적인 규정 준수 프로그램을 개발하고 유지합니다. 많은 회사에서 규정 준수 프로그램과 정보 보안 기능이 잘 통합되어 있지 않습니다. 효과적인 규정 준수 프로그램은 사이버 보안 우려를 해결하고 직원들이 그러한 우려를 보고하도록 장려합니다. 우려 사항이 확인되면 이를 즉시 에스컬레이션하고 조사하는 것이 중요합니다.
- 사이버 보안 표준을 준수하지 않는 것이 확인된 경우 조직은 잠재적인 다음 단계를 평가해야 합니다. 여기에는 해당 사안을 정부에 공개하고 정부 조사관에게 협조할지 여부가 포함됩니다. 조직은 이와 관련하여 경험이 풍부한 변호사와 협력해야 합니다. 잠재적인 규정 위반을 조사하고 대응하기 위한 전략을 사전에 수립하면 프로세스에 규율을 확립하고 조직의 접근 방식을 간소화할 수 있습니다.
- 인수합병 시 사이버 보안 요건 준수를 위해 강력한 실사를 실시하세요. 이번 합의에서 알 수 있듯이 피인수 법인에서 발생한 책임이 경우에 따라 인수 법인에 부과될 수 있습니다. 실사 프로세스는 계약(정부와의 계약이든 민간 주체와의 계약이든)에서 사이버 보안 요건을 파악하고 준수 여부를 확인해야 합니다. 거래 완료 전에 이러한 수준의 실사가 불가능하다면 거래 완료 직후에 이러한 평가를 실시하여 문제를 즉시 파악하고 해결할 수 있도록 하는 것이 중요합니다.
사이버 보안 및 허위 청구 법에 대해 궁금한 점이 있으면 저자 또는 Foley & Lardner 변호사에게 문의하세요.
이 글의 확장 버전은 2025년 8월 26일에 Law360에 게재되었습니다.
