미 법무부, 사이버 보안 규정 준수 사기 혐의로 전직 임원 형사 기소

최근 기소 사건은 미국 법무부(DOJ)가 연방 계약에서의 사이버 보안 규정 준수에 중점을 두고 있으며, 민사적 허위청구법(False Claims Act)을 넘어(관련 보도 참조: 여기 및 여기) 개인에 대한 형사 고발로 집행 수위를 높일 의사가 있음을 강조한다. 2025년 12월 10일, DOJ는 워싱턴 D.C. 연방 대배심이 버지니아 소재 정부 계약업체의 전직 고위 관리자 다니엘 힐머(Danielle Hillmer)를 대규모 정부 사기, 통신 사기 및 연방 감사 방해 혐의로 기소했다고 발표했다. DOJ는 힐머가 다수 연방 기관이 사용하는 자사 클라우드 기반 플랫폼이 의무화된 사이버 보안 기준을 준수한다고 허위 진술했으며, 심각한 보안 결함을 은폐함으로써 감독을 방해했다고 주장합니다. 해당 행위는 힐머가 액센츄어(Accenture)에 재직하며 클라우드 서비스 제품을 관리하던 시기에 발생한 것으로 보입니다.

힐머 기소장

기소장에 따르면, 힐머는 미 육군, 국무부, 재향군인부 및 기타 정부 고객을 포함한 최소 6개 연방 기관이 사용하는 액센츄어의 클라우드 기반 플랫폼에 대해 요구되는 사이버 보안 통제 및 보호 조치에 대해 감사 절차를 방해하고 연방 기관을 오도함으로써 미국을 사기하는 다년간의 계획에 가담한 혐의를 받고 있다. 구체적으로 법무부는 힐머가 다음과 같이 주장한다:

• 해당 플랫폼이 FedRAMP High 기준선 및 국방부 영향도 수준 4와 5의 보안 통제 요건을 충족한다고 허위로 주장하였음에도 불구하고, 시스템이 필수 접근 통제, 로깅, 모니터링 및 기타 핵심 기능과 규정 준수를 달성할 자원을 갖추지 못했다는 반복된 경고가 있었음에도 불구하고.
• 2020년과 2021년 의무 감사 과정에서 중대한 결함을 은폐하고 테스트 및 시연 시 시스템의 실제 상태를 숨기도록 지시함으로써 제3자 평가자에게 영향을 미치고 방해하려 했다.
• 미국 육군에 허위 및 오해의 소지가 있는 진술을 하여 국방부 잠정 승인을 위한 플랫폼 후원을 유도하였다.
• 수익성 높은 정부 계약 및 시스템 승인을 획득하고 유지하기 위해, 본인이 중대한 허위 정보를 포함하고 있음을 알면서도 자료를 제출하거나 타인에게 제출하도록 유도했습니다. 이러한 정부 계약들은 "플랫폼이 실제로 제공하지 않는 수준의 보안을 요구했습니다."

힐머는 통신사기 2건(각각 최대 20년형), 중대정부사기 1건(최대 10년형), 연방 감사 방해 2건(각각 최대 5년형)으로 기소되었다.

집행 현황

힐머 사건은 법무부가 사이버 보안 요건에 대한 지속적인 집행에 주력하고 있음을 보여주는 대표적인 사례이다. 다만 이 사건은 정부 계약에서 요구되는 보안 통제 미준수와 관련된 행위를 추궁하기 위해 전통적인 사기 관련 법률과 방해 혐의를 병용한 점에서도 주목할 만하다.

이 사건은 또한 실제 데이터 유출이 발생하지 않았더라도 법무부가 기소를 진행할 수 있음을 보여줍니다. 법무부의 주장은 정부가 의존한 경우, 요구되는 보안 통제에 관한 중대한 허위 진술은 데이터 유출이 발생하지 않았더라도 상당한 처벌을 수반하는 형사 기소를 뒷받침하기에 충분하다는 것입니다.

이 조사는 감사관과 군 수사 기관이 참여하는 다기관 협력 체계를 반영합니다. 이러한 협력을 통해 수사 역량, 전문성 및 관할 범위가 확대되어 계약업체에 대한 감시가 강화되고 기업과 개인의 책임 추궁 가능성이 높아집니다.

정부 계약업체 및 기타 연방 자금 수령자를 위한 권고사항

힐머 사건은 법무부가 연방 계약에서 사이버 보안 규정 준수 실패를 얼마나 심각하게 여기는지 보여줍니다. 다음 조치들은 조직의 기술적, 규정 준수 및 거버넌스 통제를 강화하고 회사와 개인 임원 모두의 책임 위험을 줄이는 데 도움이 될 수 있습니다.  

• 상향식 규정 준수 의지 확립. 사이버 보안 규정 준수는 최고 경영진의 주도 하에 추진되어야 하며 핵심 조직 가치로 간주되어야 합니다. 경영진은 내부 통제 성과, 결함, 시정 조치 진행 상황 및 잔여 취약점에 대해 정기적이고 체계적인 업데이트를 받아야 합니다. 거버넌스 프로토콜은 문제가 은폐되지 않고 신속히 상급자에게 보고되도록 보장해야 하며, 선의로 우려 사항을 제기한 직원이 보복으로부터 보호받도록 해야 합니다.
• 계약상 사이버 보안 의무를 모니터링합니다. 모든 계약상 사이버 보안 기준과 해당 기준이 적용되는 시스템에 대한 최신 목록을 개발하고 유지합니다. 담당 직원이 이러한 요구사항을 이해하고, 성과를 지속적으로 모니터링하며, 결함이 발견될 경우 시정 조치를 시행하도록 확인합니다. 효과적인 준수 프로그램은 일반적으로 준수/법무 부서와 정보 보안/IT 담당자 간의 긴밀한 협력을 필요로 합니다.
• 강력한 내부 통제를 유지하십시오. 연방 기관에 인증서, 감사 응답 또는 승인 자료를 제출하기 전에 이들이 정확하고 완전하며 문서로 입증되었는지 확인하기 위해 엄격한 내부 검토를 수행하거나 독립적인 제3자 검증을 받으십시오.
• 부정확한 내용을 즉시 시정하십시오. 정부에 제출한 진술서, 보고서 또는 서류가 불완전하거나 부정확한 것으로 나중에 발견될 경우, 즉시 기록을 수정하십시오. 적절한 경우 사전 공개를 고려하십시오. 부정확한 내용이 확인되면 신속히 시정 조치를 취하면 잠재적인 민사 또는 형사상 책임을 완화할 수 있으며, 규제 기관에 해당 조직이 준수 문제를 해결하기 위해 선의로 행동하고 있음을 전달할 수 있습니다.
• 표적화된 교육 및 인식 제고. 정부 계약에 적용되는 사이버 보안 기준 및 연방 기관, 감사관, 평가자와의 적절하고 투명한 협력에 관한 직무별 교육을 실시합니다. 해당 교육은 감사 과정에서 고의적인 허위 진술이나 방해 행위가 형사 책임 포함 심각한 개인적·기업적 결과를 초래할 수 있음을 강조해야 합니다.