국가안보국(NSA) 국장 키스 알렉산더(Keith Alexander) 장군과 구글 임원 세르게이 브린(Sergey Brin), 에릭 슈미트(Eric Schmidt) 간의 이메일 교환은 두 사람 사이의 훨씬 더 우호적인 업무 관계를 시사합니다.일부 기술 회사와 미국 정부 작년에 NSA 스파이에 대한 폭로 이후 실리콘밸리 고위 관계자가 암시한 것보다 더 그렇습니다.
전직 NSA 계약자인 에드워드 스노든(Edward Snowden)이 미국인의 전자 통신을 감시할 수 있는 NSA의 막대한 감시 능력에 대해 폭로하자 정부와 협력한 회사의 많은 기술 임원들이 법원에서 강제할 때만 그렇게 했다고 주장했습니다.
그러나 알 자지라(Al Jazeera)는 스노든이 유명해지기 XNUMX년 전의 두 세트의 이메일 통신을 입수했는데, 이는 모든 협력이 압박을 받고 있지는 않았음을 시사합니다.
28년 2012월 8일 아침, 알렉산더는 슈미트에게 이메일을 보내 XNUMX월 XNUMX일 "캘리포니아 산호세 공항 근처의 보안 시설"에서 열리는 XNUMX시간 동안의 "기밀 위협 브리핑"에 참석하도록 초대했습니다.
“회의 토론은 다음에 초점을 맞춰 주제별로, 의사결정 중심으로 진행될 것입니다. 이동성 위협 및 보안” 알렉산더는 정보자유법(FOIA) 요청에 따라 입수한 이메일에 NSA 국장과 실리콘밸리 경영진 사이의 수십 건의 통신 중 첫 번째 내용을 적었습니다.
이메일에 따르면 알렉산더, 슈미트 및 기타 업계 임원들은 이달 초에 만났다. 그러나 알렉산더는 정부가 실리콘 밸리의 도움이 필요했기 때문에 그해 여름 후반에 슈미트와 "소규모 CEO 그룹"과의 또 다른 만남을 원했습니다.
“약 XNUMX개월 전부터 우리는 이동성 장치의 보안에 집중하기 시작했습니다.”라고 Alexander는 썼습니다. “한 그룹(주로 Google, Apple 및 Microsoft)이 최근 일련의 핵심 보안 원칙에 합의했습니다. 프로젝트에서 이 시점에 도달하면 주요 회사의 CEO를 대상으로 기밀 브리핑을 계획하여 완화할 수 있다고 생각하는 특정 위협에 대한 간략한 설명을 제공하고 조직이 앞으로 나아갈 수 있도록 의지를 모색합니다. Google의 개선 참여, 솔루션의 엔지니어링과 배포가 필수적입니다.”
스탠포드 로스쿨 인터넷 및 사회 센터의 시민 자유 담당 이사인 제니퍼 그래닉은 업계와 정부 간의 정보 공유가 "절대적으로 필수적"이지만 "동시에 사용자 개인 정보 보호와 사용자 보안에 어느 정도 위험이 있다"고 말했습니다. 취약점 공개가 이루어지는 방식에서요.”
정부와 업계가 직면한 과제는 개인 정보를 침해하지 않으면서 보안을 강화하는 것이라고 Granick은 말했습니다. 알렉산더와 구글 경영진 사이의 이메일은 "보안 정보를 올바른 사람에게 전달하기 위한 알려지고 투명하며 구체적이고 확립된 방법론이 없는 이러한 진공 상태에서 어떻게 비공식적인 정보 공유가 이루어지고 있는지를 보여줍니다."라고 그녀는 말했습니다.
Alexander가 인용한 기밀 브리핑은 ESF(Enduring Security Framework)로 알려진 비밀 정부 이니셔티브의 일부였으며 그의 이메일은 ESF에 수반되는 내용, 일부 참여 기술 회사의 신원 및 그들이 논의한 위협에 대한 드문 정보를 제공합니다.
Alexander는 국방부, 국토안보부 차관 및 "18명의 미국 CEO"가 "개별 행위자만으로는 해결할 수 없는 중요한(일반적으로 분류된) 보안 문제에 대한 정부/업계 조치를 조정하기 위해 2009년에 ESF를 출범시켰다"고 설명했습니다. .”
“예를 들어, 지난 18개월 동안 우리(주로 업계에서는 Intel, AMD(Advanced Micro Devices), HP(Hewlett-Packard), Dell 및 Microsoft)는 다음 문제를 해결하기 위해 엔터프라이즈 플랫폼의 BIOS를 보호하려는 노력을 완료했습니다. 그 지역에 위협이 되는 거죠.”
"BIOS"는 "basic input/output system"의 약어로, 운영 체제가 시작되기 전에 개인용 컴퓨터의 하드웨어를 초기화하는 시스템 소프트웨어입니다. NSA 사이버 방어 책임자인 Debora Plunkett는 지난 XNUMX월 해당 기관이 "BIOS 음모"를 좌절시켰습니다. 중국으로 식별되는 "민족 국가"가 미국 컴퓨터를 벽돌로 만들었습니다. 그녀는 그 음모가 미국 경제를 파괴할 수도 있었다고 말했습니다. 이 이야기를 깬 '60 Minutes'에서는 NSA가 BIOS 소프트웨어 취약점을 해결하기 위해 이름이 알려지지 않은 '컴퓨터 제조업체'와 협력했다고 보도했습니다.
그러나 일부 사이버 보안 전문가 시나리오에 의문을 제기하다 Plunkett가 설명했습니다.
애틀랜타에 있는 침투 테스트 회사인 Errata Security의 CEO인 로버트 그레이엄(Robert Graham)은 XNUMX월 자신의 블로그에 "아마도 실제 사건이 있을 것 같지만 자세한 내용이 없기 때문에 말하기 어렵습니다."라고 썼습니다. "그것"은 그것이 전달하려는 메시지에서 완전히 거짓입니다. 기술 담당자라면 누구나 확인할 수 있듯이 나오는 내용은 횡설수설입니다.”
그리고 방어를 강화하기 위해 NSA를 참여시킴으로써 해당 회사는 감시 목적으로 NSA를 침해하려는 기관의 노력에 더욱 취약해질 수 있습니다.
직원인 Nate Cardozo는 “이메일에서 주장하는 것처럼 NSA가 엔터프라이즈 BIOS와 모바일 장치를 보호하고 최고의 취약점을 가슴에 품고 있지 않도록 돕기 위해 실제로 최선의 노력을 기울이고 있는지 대중이 우려해야 한다고 생각합니다.”라고 말했습니다. Electronic Frontier Foundation의 디지털 시민 자유팀 변호사입니다.
그는 NSA가 엔터프라이즈 BIOS를 보호하려고 노력하고 있다는 사실을 의심하지 않지만 해당 기관이 자체 목적을 위해 "보호하려는 것과 동일한 제품에서 약점을 찾고 있다"고 제안했습니다.
NSA는 “구글이 중국으로부터 시설을 확보하도록 돕는 동시에 백도어를 통해 해킹하고 구글 기지 센터 사이의 광섬유 연결을 도청하는 일을 할 수 없다”고 카르도조는 말했다. “이 두 가지 일을 모두 같은 소속사에서 한다는 사실은 명백히 모순되고 우스꽝스럽습니다.” 그는 두 기관이 공격과 방어 기능을 분리할 것을 권고했다.
'60분' 방송 XNUMX주 후, 독일 잡지 Der Spiegel은 스노든이 입수한 문서를 인용하여 다음과 같이 보도했습니다. NSA가 BIOS에 백도어를 삽입했습니다., Plunkett가 인터뷰에서 국가가 하는 일을 비난한 바로 그 일을 하고 있습니다.
구글의 슈미트는 2012년 XNUMX월 산호세에서 열린 모빌리티 보안 회의에 참석하지 못했다.
"키스 장군.. 만나서 반가워요..!" 슈미트가 썼다. “저는 그 주에 캘리포니아에 있을 것 같지 않아서 참석할 수 없어서 죄송합니다(동해안에 있을 예정입니다). 다음에 또 뵙고 싶습니다. 감사합니다 !" Snowden 폭로 이후 Schmidt는 NSA에 대해 비판적이며 다음과 같이 말했습니다.감시 프로그램은 불법일 수 있습니다.
해당 브리핑에는 합참의장 마틴 E. 뎀프시(Martin E. Dempsey) 육군 장군이 참석했습니다. 한 달 후 포린 폴리시(Foreign Policy)는 다음과 같이 보고했습니다. 뎀프시(Dempsey)와 기타 정부 관료들 — 알렉산더에 대한 언급은 없음 — 실리콘 밸리에서 "계곡 전체의 리더들의 두뇌를 고르고 사이버 위협에 대한 정보를 신속하게 공유해야 할 필요성에 대해 논의"하고 있었습니다. 포린폴리시는 이날 참석한 실리콘밸리 임원들이 ESF 소속이라고 전했다. 이 이야기에서는 기밀 위협 브리핑과 함께 이동성 위협과 보안이 최우선 의제 항목이라고 말하지 않았습니다.
모임 일주일 후 Dempsey는 국방부 언론 브리핑에서 다음과 같이 말했습니다. "저는 업계 리더들과 사이버의 취약성과 기회에 대해 논의하기 위해 최근 약 일주일 동안 실리콘 밸리에 있었습니다. 그들은 동의했습니다. 우리 모두 위협을 공유해야 한다는 데 동의했습니다. 네트워크 속도로 정보를 제공합니다.”
구글 공동 창업자인 세르게이 브린(Sergey Brin)은 ESF 그룹의 이전 회의에 참석했지만 일정 충돌로 인해 알렉산더의 이메일에 따르면 그 역시 8월 XNUMX일 새너제이에서 열리는 브리핑에 참석하지 못했고 구글의 다른 사람이 파견되었는지는 알려지지 않았다.
몇 달 전 Alexander는 Google의 ESF 참여에 대해 감사를 표하기 위해 Brin에게 이메일을 보냈습니다.
“저는 ESF의 작업이 사이버 공간의 위협에 맞서 국가가 발전하는 데 매우 중요하다고 생각하며 Vint Cerf[Google의 부사장 겸 최고 인터넷 전도사], Eric Grosse[보안 엔지니어링 부사장] 및 Adrian Ludwig의 [Android 보안 수석 엔지니어]에게 진심으로 감사드립니다. 지난 한 해 동안 이러한 노력에 기여했습니다.”라고 Alexander는 13년 2012월 XNUMX일 이메일에 썼습니다.
“귀하께서는 최근 19년 2012월 2012일에 개최될 ESF 운영 그룹 회의에 초대를 받으셨습니다. 이 회의는 우리의 2012년 성과를 인식하고 내년의 방향을 설정할 수 있는 기회입니다. 우리는 ESF의 목표와 XNUMX년의 구체적인 목표에 대해 논의할 것입니다. 우리는 또한 우리가 보고 있는 몇 가지 위협과 그러한 위협을 완화하기 위해 무엇을 하고 있는지에 대해 논의할 것입니다. 방위 산업 기지의 핵심 구성원인 귀하의 통찰력은 ESF의 목표를 보장하는 데 매우 중요합니다. 노력은 측정 가능한 영향을 미칩니다.”
Google 담당자는 Brin과 Schmidt와 Alexander의 관계 또는 Google과 정부의 업무에 대한 구체적인 질문에 답변을 거부했습니다.
대변인은 알 자지라에 보낸 성명에서 "우리는 사이버 공격으로부터 사용자를 보호하기 위해 열심히 노력하고 있으며 미국 정부를 포함한 전문가들과 항상 대화를 나누고 있다"고 말했다. "이것이 Sergey가 NSA 컨퍼런스에 참석한 이유입니다."
NSA 국장이 공동 의장에게 연락할 때 적절한 이메일 주소를 사용하지 않았음에도 불구하고 브린은 다음날 알렉산더에게 응답했습니다.
“안녕하세요 Keith, 다음 주에 만나기를 기대합니다. 참고로 제가 사용하기에 가장 좋은 이메일 주소는 [수정됨]입니다.”라고 Brin은 썼습니다. “네 이메일 주소는 — [이메일 보호] —별로 확인하지 않습니다.”
ZNetwork는 독자들의 관대함을 통해서만 자금을 조달합니다.
후원