오타 한 글자 때문에...미군에 갈 이메일 수백만 통, 친러 말리로 갔다

말리 수도 바마코에서 지난 2020년 9월 22일 독립 60주년을 기념하는 집회가 열려 말리 시민들이 프랑스에 반대하고 러시아를 지지하는 내용의 현수막을 들고 있다. 현수막 속의 블라디미르 푸틴 러시아 대통령 사진 아래에 '푸틴-미래의 길'이란 프랑스어 문구가 보인다. 말리 정부는 이슬람 무장세력에 맞서 치안을 유지하기 위해 러시아의 용병기업 바그너 그룹에 의존하고 있다. /AP 연합뉴스

오타 한 글자 때문에 지난 10년 간 미군이 받아야 할 이메일 수백만 통이 친러시아 정권이 들어선 서아프리카 말리로 발송됐다고 파이낸셜타임스 등이 17일(현지 시각) 보도했다. 미군이 사용하는 이메일 주소는 군(military)을 뜻하는 ‘mil’로 끝나는데, 말리의 국가 도메인이 ‘ml’이라서 발송자가 한 글자만 실수하면 미군에게 보내야 할 이메일이 말리로 가게 된다는 것이다.

말리로 잘못 발송된 이메일 중에는 스팸메일도 많았지만, 외교 문건 같은 민감한 정보나 특정인의 소득신고서, 비밀번호 같은 개인 정보가 포함된 이메일도 있었다. 올해 미군 대신 말리로 잘못 발송된 이메일 중에는 지난 5월 인도네시아를 방문한 제임스 맥콘빌 미 육군참모총장과 20명의 수행단이 머물 호텔 방 번호, 일정 전체와 맥콘빌 총장의 방 열쇠를 수령하는 방법에 대한 세부사항 등이 담겨 있었다.

이런 사실을 처음 발견한 것은 2013년부터 말리의 국가도메인을 관리해 온 네덜란드 사업가 요하네스 주어비어였다. 그는 ‘navy.ml’이나 ‘army.ml’처럼 존재하지 않는 주소에 대한 요청이 계속되는 것을 보고 이유를 파악하던 중 이것이 미 해군(navy.mil) 또는 육군(army.mil)로 보내려던 이메일이란 사실을 깨달았다. 또 2014년부터 네덜란드 정부와 미국 국방부에 이것이 큰 보안 문제가 될 수 있음을 경고해 왔지만, 미 국방부로부터 뚜렷한 반응을 얻지 못했다고 한다.

주어비어는 올해 1월부터 6개월 남짓한 기간에 미군 대신 말리 도메인으로 잘못 발송된 이메일만 11만7000통에 이른다며 “이 위험은 실존하는 것이고 미국의 적성국가들이 이용할 수 있다”고 했다. 이 때문에 최근 자신과 말리 측의 도메인 관리 계약이 해지되자 문제의 심각성을 환기하기 위해 언론에 이 사실을 공개했다는 것이다. 계약 해지 후 말리의 국가도메인은 말리 정부가 관리하고 있다.

2020년 쿠데타로 정권을 잡은 말리의 군사 정부는 2021년부터 러시아 정부와 연계된 용병기업 바그너그룹에 치안 유지를 의존해 왔다. 지난달 바그너그룹의 수장이었던 예브게니 프리고진이 블라디미르 푸틴 러시아 대통령에 도전하는 쿠데타를 일으켰을 때, 말리 정세에 대한 우려가 제기될 정도였다. 하지만 프리고진의 쿠데타가 실패한 후 세르게이 라브로프 러시아 외교장관은 말리를 포함한 아프리카에 대한 안보 지원을 계속하겠다고 밝혔다.

미군과 관련된 민감한 정보가 말리를 통해 러시아로 넘어갈 가능성이 제기되자 미국 국방부는 “이 문제를 알고 있으며 통제된 국가 안보 정보나 기밀로 분류되지 않은 정보의 승인되지 않은 유출을 심각하게 받아들이고 있다”는 성명을 냈다. 또 주어비어가 수집한 이메일 중 미 국방부 공식 계정에서 발송된 것은 없다고 밝혔다. 미군 공식 계정에서 말리 도메인으로 이메일이 발송하지 못하도록 기술적 조치를 취했으며, 미군들이 동료 미군에게 보내야 할 이메일이 말리로 잘못 가는 경우도 없다고 한다. 다만 미군과 협력하는 계약업자들이나 다른 정부기관 관계자가 미군에 보내려던 이메일이나, 미군 관계자가 지메일(gmail) 같은 개인 메일을 이용해 발송하는 이메일이 말리로 잘못 가는 것을 완전히 차단할 수는 없다.