마이크로소프트, 국방부 클라우드 작업에서 중국 기반 엔지니어 제외

마이크로소프트는 금요일, 외국의 민감한 펜타곤 시스템에 대한 개입 우려에 따라 중국에 기반을 둔 엔지니어들이 미국 국방부(DoD) 클라우드 시스템에 기술 지원을 제공하는 것을 더 이상 허용하지 않겠다고 발표했다.

조사 보고서에 의해 촉발된 보안 검토

이 변화는 이번 주 초에 발표된 ProPublica의 상세한 보고서가 회사의 해외 인력과 관련된 잠재적인 사이버 보안 위험에 대한 경고를 제기한 후 촉발되었다. 보고서는 마이크로소프트가 펜타곤 클라우드 시스템을 지원하기 위해 중국의 엔지니어들에게 오랫동안 의존해 왔으며, 미국에 기반을 둔 “디지털 에스코트”의 감독을 받았음을 밝혀냈다.

ProPublica에 따르면, 이 에스코트들은 하청업체를 통해 고용되었으며 보안 승인을 받았지만, 그들이 감독하고 있는 중국 엔지니어들의 작업을 완전히 이해하거나 평가할 수 있는 기술적 능력이 부족하여 미국에 사이버 보안 위협을 초래했다.

이러한 arrangement는 미국의 법률가들과 국방 관계자들 사이에서 심각한 우려를 불러일으켰다. 피트 헤그세스 미국 국방장관은 X에 게시된 비디오에서 이 관행을 “명백히 용납할 수 없다”고 언급하며, 오늘날의 사이버 위협 환경에서 특히 그렇다고 강조했다.

헤그세스는 이 시스템을 구식이라고 설명하며 “오바마 행정부 시절 10년 전에 만들어진 유산 시스템”이라고 말했다. 그는 국방부가 네트워크 전반에 걸쳐 유사한 관행을 밝혀내기 위해 전면적인 내부 검토를 실시할 것이라고 확인했다. 또한, 국방부는 유사한 아웃소싱 arrangement가 다른 곳에서 사용되지 않도록 다른 클라우드 서비스 제공업체를 평가하기 시작했다.

국방장관은 또한 “중국이 우리의 클라우드 서비스에 전혀 관여하지 않도록 즉각적으로 모든 펜타곤 클라우드 계약을 검토할 것”이라고 발표했다. 그는 “우리는 우리의 군사 인프라와 온라인 네트워크에 대한 모든 위협을 지속적으로 모니터링하고 대응할 것”이라고 덧붙였다.

마이크로소프트의 신속한 대응

이에 대해 마이크로소프트는 우려 사항을 해결하기 위해 내부 프로토콜을 신속하게 업데이트했다.

“이번 주 초에 미국 감독 외국 엔지니어에 대한 우려에 대응하여, 마이크로소프트는 국방부 정부 클라우드 및 관련 서비스에 대해 중국 기반 엔지니어링 팀이 기술 지원을 제공하지 않도록 미국 정부 고객에 대한 지원을 변경했습니다.”라고 마이크로소프트의 최고 커뮤니케이션 책임자인 프랭크 쇼가 X에 게시한 글에서 밝혔다.

미국 클라우드 보안에 대한 더 넓은 의미

마이크로소프트의 결정은 아마존 웹 서비스(AWS) 및 구글 클라우드와 경쟁하는 Azure 클라우드 부문에 직접적인 영향을 미치며, 미국 정부 및 국방 인프라에 깊이 통합되어 있다. 2022년, 마이크로소프트는 아마존, 구글, 오라클과 함께 국방부에서 수여한 90억 달러 규모의 다중 공급업체 계약의 일부를 확보했다.

ProPublica 조사 이전에, 회사는 자사의 엔지니어와 계약자가 항상 미국 정부 법률을 준수한다고 강조했지만, 증가하는 대중의 우려가 더 엄격한 보안 조치를 요구한다고 인정했다.

“우리는 미국 정부에 가능한 가장 안전한 서비스를 제공하기 위해 최선을 다하고 있으며, 필요에 따라 보안 프로토콜을 평가하고 조정하기 위해 국가 안보 파트너와 협력하고 있습니다.”라고 쇼가 말했다.