미국 사이버보안국 수장이 ChatGPT에 민감한 정부 문서를 업로드했다는 보도

• 미국 사이버보안 및 기반시설 보안국(CISA) 의 임시 국장이 기밀 수준의 정부 계약 문서를 ChatGPT에 업로드한 것으로 보도됨
• 해당 문서는 “공식 사용 전용(For Official Use Only) ”으로 표시되어 있었으며, 내부 보안 경보와 연방 조사를 촉발함
• 그는 다른 국토안보부 직원들에게는 차단된 ChatGPT 접근을 위해 특별 예외 권한을 요청한 것으로 알려짐
• CISA 대변인은 사용이 “단기적이고 제한적이었다” 고 밝혔으며, 사건 이후 피해 평가 절차가 진행됨
• 이번 사건은 연방 정부의 AI 활용 확대 정책 속에서 발생해, 공공기관의 AI 보안 관리 중요성을 부각함

ChatGPT 업로드 사건 개요

• 미국 정부의 최고 사이버보안 기관인 CISA의 임시 국장 Madhu Gottumukkala가 공개 버전의 ChatGPT에 민감한 정부 문서를 업로드한 것으로 Politico가 보도
  • 업로드된 문서는 “For Official Use Only”로 표시된 정부 계약 관련 문서였음
  • 사건은 2025년 여름에 발생했으며, 내부 사이버보안 모니터링 시스템이 8월 초 이를 탐지함
• 탐지 후 국토안보부(DHS) 가 주도하는 피해 평가(damage assessment) 가 즉시 개시되어 정보 노출 여부를 조사함
• ChatGPT의 공개 버전은 사용자 입력을 OpenAI와 공유하기 때문에, 내부 네트워크 외부로 민감 데이터가 유출될 가능성이 제기됨

CISA의 대응 및 공식 입장

• CISA 대변인 Marci McCarthy는 Gottumukkala가 “** DHS 통제 하에서 ChatGPT 사용 허가를 받았다**”고 설명
  • 사용은 “단기적이고 제한적이었다”고 강조
• Gottumukkala는 2025년 5월부터 임시 국장으로 재직 중이며, 상원은 아직 Sean Plankey를 정식 국장으로 인준하지 않은 상태
• Politico는 그의 재임 중 기타 문제 사례도 언급
  • 그는 고급 정보 접근을 위한 반첩보(polygraph) 검사에 불합격한 적이 있었음
  • 그러나 최근 의회 청문회에서 그는 이 평가를 부정하며 반박함

연방 정부의 AI 정책과 사건의 시점

• 사건은 도널드 트럼프 행정부가 연방 기관 전반에 AI 도입을 추진하는 시기에 발생
  • 트럼프 대통령은 2025년 12월, 주(州) 단위의 AI 규제를 제한하는 행정명령에 서명
  • 미 국방부(Pentagon) 는 “AI-first” 전략을 발표해 군사 분야에서 인공지능 활용을 확대 중
• 이러한 정책적 흐름 속에서, 이번 사건은 공공 부문 AI 사용의 보안 리스크를 드러내는 사례로 주목됨

내부 보안 경보 및 조사 절차

• 사이버보안 모니터링 시스템이 ChatGPT 업로드를 감지한 직후 내부 경보가 발령됨
  • 이후 DHS가 정보 노출 여부와 피해 범위를 평가하기 위한 공식 조사를 개시
• 보고서에 따르면, ChatGPT 접근은 일반 DHS 직원에게는 차단되어 있었으나, Gottumukkala는 특별 예외 요청을 통해 접근 권한을 얻음
• OpenAI의 데이터 처리 방식이 정부 내부 네트워크 보안 정책과 충돌할 수 있다는 점이 연방 내부에서 우려로 제기됨

사건의 파급과 의미

• 이번 사건은 연방 정부 고위 보안 책임자조차 AI 도구 사용 시 보안 위험에 노출될 수 있음을 보여줌
• 공공기관의 AI 사용 가이드라인 강화와 데이터 보호 체계 재검토 필요성이 부각됨
• AI 기술 도입이 가속화되는 가운데, 보안 통제와 투명한 사용 절차의 중요성이 강조됨