지난 10월, 펜실베이니아 주립대학교(Penn State)는 정부 보안 규정 준수 보고서를 위조한 혐의로 전 최고정보책임자(CIO)로부터 고소당했습니다.
소송 [PDF]최근에 개봉된 것은 퀴 탐 불만 사항(라틴어로 “who as also”)은 전직 CIO인 Matthew Decker가 미국 정부를 대신하여 허위 청구법에 따라 자신의 전 고용주가 정부를 속였다고 주장하는 불만 사항입니다.
2015년 11월 현재 NASA 제트 추진 연구소의 최고 데이터 및 정보 책임자인 Decker는 미 해군을 위해 일하는 대학 응용 연구 연구소(ARL)의 CIO 겸 정보 기술 서비스 이사로 임명되었습니다.
이는 중국의 해커에 의한 공격이 Penn State 공과대학과 인문대학을 침해한 지 몇 달 후였습니다. Decker는 ARL이 IT 보안을 위한 연방 방어 규칙, 특히 DFARS 252.204-7012, DFARS 252.204-7019, NIST 800-171을 준수하는지 확인하기 위해 합류했습니다.
2016년 1월 Decker는 Penn State 대학에서 해당 직위의 영구 후임자를 임명할 때까지 정보 기술 담당 임시 부학장으로 임명되었습니다. 이중 역할을 수행하는 동안 그는 Penn State의 전사적 자원 관리 솔루션(ERP)인 WorkDay 구현을 위한 규정 준수 논의에 참여했습니다.
소송에 따르면 Decker는 대학 전체의 ERP 프로젝트에 참여했지만 이 프로젝트는 규정 준수 의무를 진지하게 다루었습니다. 그러나 Decker는 임시직을 떠난 후 Penn State가 CUI(통제된 미분류 정보)를 노출시켰을 수 있는 자신의 권고 사항 중 일부를 무시했다는 사실을 발견했다고 주장합니다.
2020년 8월 Penn State는 비용 고려 사항을 이유로 FedRamp 인증(DFARS 252.204-7012) 스토리지 서비스인 Box와의 계약 종료를 발표했습니다. 대신 CUI 저장에 대한 정부 요구 사항을 준수하지 않는 Microsoft Office 365 OneDrive를 채택했습니다.
Decker의 소송에는 OneDrive를 채택한 이후 Penn State의 시스템을 규정 준수에 맞게 만들기 위해 그가 기울인 노력이 자세히 설명되어 있지만 그는 그런 일이 일어나지 않았다고 주장합니다. 2022년 6월 회의 후 그는 “Penn State는 실제 DFARS 준수에 도달한 적이 없었기 때문에 2018년 1월 1일 이후로 준수를 허위로 증명했습니다.”라고 말했습니다.
첫 번째 수정된 고소장에 따르면, “Penn State가 준수에 대한 자체 증명을 제공했음에도 불구하고 [the US Department of Defense] 2017년 12월 31일 이후 요구된 대로 이는 거짓이었습니다.”
말해봐, 솔직하게 말하는 거야?
NIST 800-171은 2015년 6월에 처음 게시되었으며 이후 간헐적으로 개정되었으며 100개 이상의 요구 사항이 포함되어 있습니다. 방산업계 계약업체는 NIST 규정 준수의 일환으로 시스템 보안 계획(SSP)을 제출해야 합니다.
그러나 규정 준수 여부를 결정하는 것은 계약업체에 맡겨져 있으며 인증 기관이나 공식 감사 절차가 없습니다. 소송에 설명된 바와 같이 계약업체는 요구 사항에 기반한 포인트 기반 시스템을 사용하여 규정 준수 여부를 자체 평가 및 인증하고 성공 여부에 대해 스스로 점수를 매겨야 합니다.
이러한 점수는 계약 체결 또는 갱신 전에 국방부의 공급업체 성과 위험 시스템(SPRS)에 제출되어야 합니다. 그러나 고소장에서 주장한 바와 같이 이러한 점수는 단순히 꾸며낸 것이었습니다.
“SSP가 생성되지 않았습니다. 특정 시스템이나 연구 컴퓨팅 공간 소유자가 아니라 일반적으로 대학이나 연구소에 대한 기록만 참조되었으며 적절한 DFARS 7020 위험 평가가 수행되지 않았습니다. 업로드된 위험 평가는 단지 템플릿에 불과했습니다. 법원 문서에는 ‘상자를 확인하라’는 명령이 명시되어 있습니다.
불만 사항은 다음과 같이 결론을 내립니다. “Penn State에는 SSP가 없습니다. Penn State의 SPRS 항목은 위조되었습니다. Penn State가 규정 준수를 증명했지만 이를 충족하지 못한 수십 개의 프로젝트가 있습니다. 현재까지 Penn State는 규정 준수를 위해 노력하고 있지 않은 것으로 보입니다.”
정부가 9월 29일 기한 이전에 개입해 사건을 인수하기로 선택한 경우 [PDF] 판사가 정한 경우, 청구를 제기한 “관계인”은 성공적인 기소로부터 회수된 자금을 공유할 수 있습니다. 그리고 정부가 개입하지 않으면 ‘관계인’이 계속해서 사건을 추적할 수도 있습니다.
이메일로 보낸 성명에서 대학 대변인은 계류 중인 소송에 대해 논평하지 않는다는 정책을 언급하며 소송 주장에 이의를 제기하지 않았지만 대학이 규정 준수 요구 사항을 심각하게 받아들인다고 주장했습니다.
대변인은 “Penn State는 규정 준수에 전념하고 있으며 연방 정부 계약에 따른 사이버 보안 의무를 포함하여 규정 준수 의무를 매우 심각하게 받아들입니다”라고 말했습니다.
“대학은 이러한 연방 요구 사항과 기타 연방 요구 사항을 준수하기 위해 상당한 자원을 할당했습니다. Penn State는 모든 문제를 해결하기 위해 정부와 협력하여 계속 노력해 왔습니다. 대학은 일반적으로 계류 중인 소송에 대해 언급하지 않으며 이러한 주장을 해결할 것입니다. 적절한 시기에.” ®
