미 재무부가 컨설팅업체 부즈앨런 해밀턴(Booz Allen Hamilton)과의 모든 재무부(Department of the Treasury) 계약을 전면 취소했다. 이는 해당 회사의 한 직원이 도널드 트럼프 전 대통령과 제프 베조스, 일론 머스크 등 고액 자산가들의 세금 자료를 언론에 유출한 사건과 관련된 조치다.
2026년 1월 26일, CNBC뉴스의 보도에 따르면, 스콧 베센트(Scott Bessent) 재무장관은 부즈앨런과 체결한 모든 재무부 계약을 취소한다고 발표했다. 재무부는 현재 부즈앨런과 별도 계약이 총 31건 있으며, 연간 지출액은 약 480만 달러, 총 계약 의무액은 약 2,100만 달러라고 밝혔다.
베센트 장관은 성명에서 “대통령은 내각에 낭비(waste), 사기(fraud), 남용(abuse)을 뿌리 뽑을 것을 신임했으며, 이들 계약 취소는 미국인들의 정부에 대한 신뢰를 높이기 위한 필수적인 조치다”라고 말했다. 또한 그는 “부즈앨런은 국세청(Internal Revenue Service, IRS)과의 계약을 통해 접근할 수 있었던 민감한 자료, 특히 기밀 납세자 정보(taxpayer information)를 보호하기 위한 적절한 안전장치를 구현하지 못했다”고 지적했다.
재무부 발표에 따르면, 문제가 된 사건은 2018년에서 2020년 사이에 발생했으며, 부즈앨런 소속 직원인 찰스 에드워드 리틀존(Charles Edward Littlejohn, 40세)이 수십만 건에 달하는 기밀 세무자료를 ‘훔쳐서’ 유출한 것으로 드러났다. IRS는 이 데이터 유출로 영향을 받은 납세자가 약 406,000명에 이른다고 추정했다.
리틀존은 2023년 10월에 납세자 정보 공개 혐의(한 건)에 대해 유죄를 인정(pl ea in guilty)했다. 그는 뉴욕타임스(The New York Times)에 트럼프 전 대통령의 세금 기록을 유출한 사실을 인정했으며, 또한 부유한 개인들의 세무 기록을 조사 보도 매체 프로퍼블리카(ProPublica)에 유출한 사실도 인정했다. 2024년 1월에는 최고 형량인 징역 5년을 선고받았다.
‘부즈앨런은 기밀 납세자 정보를 보호하기 위한 충분한 안전장치를 시행하지 못했다’
재무부의 조치는 크게 두 측면에서 의미가 있다. 첫째는 정부 기관이 민감한 정보를 다루는 외주(아웃소싱) 업체에 대해 보안 책임을 엄격히 묻기 시작했다는 점이다. 둘째는 이번 사건이 공적 신뢰와 관련된 정치·사회적 파장을 불러일으켰다는 점이다. 특히 유출 대상에 전직 대통령과 유명 사업가들이 포함됐다는 사실이 언론과 대중의 관심을 증폭시켰다.
용어와 역할 설명
Booz Allen Hamilton(부즈앨런 해밀턴)은 미국의 관리·기술 컨설팅 업체로서 연방정부 기관과 민간 기업을 상대로 정보기술(IT), 보안, 정책 자문 등을 제공한다. 이 회사는 종종 IRS 같은 정부 기관과 계약을 맺어 데이터 분석, 시스템 유지보수, 보안 관리를 수행한다. IRS(Internal Revenue Service)는 미국 연방정부의 세금을 관장하는 기관이다. 납세자 정보는 매우 민감한 개인정보로 분류되며, 이를 취급하는 계약업체는 엄격한 보안 기준을 준수해야 한다.
이번 사례에서 문제가 된 것은 정부의 민감정보 접근 권한을 가진 외부 계약자에 대한 내부 통제와 보안관리의 허점이다. 외주 업체가 정부 데이터에 접근하는 구조 자체는 비용 효율성과 전문성 확보 측면에서 공공기관이 널리 활용하는 방식이나, 그만큼 보안·감시체계가 뒷받침되지 않으면 대규모 유출 사고로 이어질 위험이 있다.
법적·형사적 처리 경과
사건 관련자 찰스 리틀존은 2023년 10월 관련 혐의에 대해 유죄를 인정했고, 2024년 1월에는 최고 형량인 5년형을 선고받았다. 재무부는 내부 감사 및 계약 규정 검토를 통해 부즈앨런의 계약 전반을 재조정하고, 유사 사건 재발 방지를 위한 보안 강화를 촉구했다. 해당 조치는 민감정보 취급과 관련한 민간 계약자에 대한 정부의 감독 강화 움직임을 상징적으로 보여준다.
경제적·시장 영향 분석
단기적으로 보면, 재무부의 이번 계약 취소에 따른 직접적 재무 피해 규모는 공시된 수치인 연간 약 480만 달러, 총 2,100만 달러 수준으로 상대적으로 크지 않다. 그러나 시장은 단순한 금액 손실뿐 아니라 신뢰 손상(reputational damage)과 향후 정부 수주 기회 상실 가능성을 더 중시한다. 부즈앨런은 연방정부와의 다양한 계약 포트폴리오를 보유한 방대한 컨설팅업체이므로, 핵심 고객인 정부 기관으로부터의 제재는 향후 신규 계약 심사에서 불리하게 작용할 수 있다.
중기적 관점에서는 정부 기관의 보안 기준 강화, 계약 조건의 엄격화, 그리고 외부 감사 및 실시간 모니터링 의무화 등 정책 변화가 예상된다. 이러한 규제 강화는 보안 관련 서비스 수요를 확대할 수 있으나, 보안 규정을 충족하지 못하는 업체에게는 진입장벽으로 작용할 것이다. 따라서 업계 전반에서는 보안 투자를 늘리고 내부 통제 시스템을 업그레이드하는 방향으로 비용 구조가 변할 가능성이 있다.
금융시장의 반응은 해당 기업의 주가, 특히 정부 계약 비중이 큰 방산·IT·컨설팅 업체들에 대해 민감하게 나타날 수 있다. 투자자는 해당 업체의 규정 준수(compliance) 능력, 내부 통제체계, 그리고 향후 소송 리스크 또는 계약 취소 가능성 등을 재평가할 것이며, 이는 일부 기업의 가치 재평가로 이어질 수 있다.
정책적 시사점 및 향후 전망
이번 사건은 정부의 데이터 보안 거버넌스(governance)와 외주 관리 체계 전반을 재검토해야 한다는 필요성을 부각시킨다. 정부 기관은 민감정보 접근 권한을 부여할 때 보다 엄격한 배경조사, 최소 권한 원칙(least privilege), 정기적 보안 점검, 실시간 접근 모니터링 등을 도입할 가능성이 높다. 민간 부문에서는 보안 표준 준수 여부가 수주 경쟁력의 주요 요소로 부상할 것이다.
또한, 이번 조치는 정치적 민감성을 띤 정보 유출 사건에 대해 행정부가 단호히 대응한다는 신호를 보낸다. 재무부의 계약 취소 결정은 다른 연방기관에도 유사한 감사·검토를 촉발할 수 있으며, 결과적으로 각 기관의 외주 정책과 계약 관리 체계가 강화될 것으로 전망된다.
추가 정보 및 회사 측 반응
CNBC는 부즈앨런에 공식 입장을 요청했으나 보도가 나간 시점에 회사의 답변 유무는 보도에 명시되지 않았다. 재무부의 발표와 법원 판결 기록에 따르면 사건의 형사 처벌은 이미 마무리되었으나, 민사적 책임 및 추가 행정 처분 가능성은 남아 있다.
결론적으로, 이번 사안은 민감한 공적 데이터를 취급하는 과정에서의 보안·감독 시스템의 중요성을 여실히 드러냈다. 재무부의 계약 취소는 즉각적 조치일 뿐 아니라 향후 정부-민간 협업 구조에서 보안 기준과 계약 관리의 변화를 촉발할 가능성이 높다. 시장과 업계는 이러한 변화에 대비해 내부 통제 강화와 규정 준수 능력 제고에 적극적으로 나서야 할 것이다.
