데이터 주권과 안전한 Microsoft 지원: 현실 점검
마이크로소프트 통합 지원에 의존하고 있다면, 아마도 간단한 질문을 하고 있을 것입니다: 데이터를 위험에 빠뜨리지 않고도 신속하고 전문적인 도움을 받을 수 있을까? 최근 보도에 따르면, 그 질문에 대한 답은 더 이상 당연하지 않습니다—특히 공공 부문 및 규제 대상 워크로드의 경우 더욱 그렇습니다.
경영진들은 단순히 시스템 중단을 두려워하는 것이 아니다. 지원이 실제로 이루어지는 곳에서도 위험이 발생할 수 있다: 티켓, 로그, 실시간 세션을 누가 처리하는지, 그리고 어느 국가의 법률이 적용되는지. 프로퍼블리카는 마이크로소프트가 미국 내 여러 기관에서 중국 기반 엔지니어들을 활용했으며(‘디지털 에스코트’와 함께), 국방부 시스템에 대해서는 이를 중단했지만 다른 환경에 대해서는 여전히 의문이 남아 있음을 발견했다.
US Cloud는 CIO/CISO를 위해 이러한 동향을 추적하며, 관할권 및 지원 아티팩트(티켓, 덤프, 세션 녹화)가 단순한 생산 데이터가 아닌 위험 모델에 포함되어야 하는 이유를 요약합니다. 본 게시물은 직원 배치 위치, 하위 처리자 또는 국경 간 접근에 대한 모호함 없이 안전한 Microsoft 지원을 원하는 조직을 위한 것입니다.
새벽 2시에 Sev-A 티켓에 로그를 붙여넣어 본 사람이라면 누구나 알고 있듯이, 취약한 지점은 비밀이나 기밀 정보가 유출될 수 있는 곳입니다. 지원 데스크가 유용하면서도 주권을 유지할 수 있는 방법을 보여드리겠습니다. 공급업체에 무엇을 요청해야 하는지, 그리고 지금 당장 무엇을 차단해야 하는지 알려드립니다.
요약
- 2025년 조사 보도에 따르면 마이크로소프트는 중국에 거주하는 엔지니어들을 활용해 민감한 미국 정부 시스템 유지보수를 지원했으며, 이들은 저임금의 '디지털 에스코트'들이 원격으로 감독했다.
- 보도 이후 마이크로소프트는 국방부(DoD) 지원 업무에 중국 기반 엔지니어 활용을 중단했다고 밝혔으나, 다른 연방 및 상업 업무에 대해서는 여전히 의문이 남아 있다.
- 위험에 처한 것은 관할권 노출입니다—지원 대상 조직의 국적과 무관하게, 어느 국가의 법률이 귀사의 지원 아티팩트 및 세션에 대한 접근을 강제할 수 있는지 여부입니다.
- 중국의 국가정보법(제7조) 및 관련 조치는 중국에서 지원이 제공될 경우 강제 접근 위험을 높여, 데이터 주권과 지원 직원의 위치가 규정 준수 상 중요한 쟁점이 된다.
- 지원 활동은 자연스럽게 비밀이나 규제 대상 데이터를 포함할 수 있는 민감한 정보 유출을 발생시킵니다. 많은 프로그램이 생산 데이터를 신중하게 다루지만 이러한 지원 데이터 흐름은 간과하는 경우가 많습니다.
- 지금 당장 행동하십시오: 공급업체에게 보안 세부 사항을 요구하십시오. 업계 논평은 이미 이러한 대안을 제시하기 시작했습니다.
엔터프라이즈 통합 지원 101: 데이터가 실제로 어디로 가는지
Sev A 티켓을 생성하거나 로그를 공유하거나 핫픽스를 에스컬레이션할 때, 필요에 따라 다음과 같은 정보를 생성하거나 노출하게 됩니다:
- 시간 압박 속에서 붙여넣은 구성 설정, IP 주소 또는 인증 정보가 포함될 수 있는 티켓 및 채팅 내용.
- 진단용 업로드(로그, 메모리 덤프, 추적 기록)에는 키, 토큰 또는 개인 식별 정보(PII)가 포함될 수 있습니다.
- 원격 세션(화면 공유/JIT 관리)을 통해 문제 해결을 위한 관리자 권한을 부여합니다.
- 시스템 상태와 때로는 데이터 조각을 반영하는 원격 측정 및 충돌 보고서.
이러한 유물이나 특권 세션이 물리적으로 다른 관할권에 위치한 인력에 의해 처리되는 경우, 계약 및 법률(공공 부문 법령, 부문별 규정 또는 내부 정책)에 따른 귀하의 의무가 발생할 수 있습니다.
2025년 보고서가 보여주는 것
지난 1년간 프로퍼블리카는 마이크로소프트 지원 인력의 출처에 대해 보도해 왔습니다. 다음은 이러한 상황에서 통합 티켓을 처리하는 주체에 대해 우리가 파악한 내용을 정리한 타임라인입니다:
- 2025년 7월 15일: 프로퍼블리카는 마이크로소프트가 중국 내 엔지니어들을 활용해 국방부 시스템 유지보수를 지원하고 있으며, 이들을 감독하는 '디지털 에스코트'들은 효과적인 감독을 위한 기술적 전문성이 부족한 경우가 많다고 보도했다.
- 2025년 7월 18일: 해당 보도에 이어 마이크로소프트는 국방부(DoD) 클라우드 시스템에 중국 출신 엔지니어들의 참여를 중단했다고 밝혔다.
- 2025년 7월 18일~20일: 여러 매체에서 해당 변경 사항과 연방 정부의 검토 활동을 보도했다.
- 2025년 8월 1일: 프로퍼블리카는 해당 관행을 셰어포인트와 연결하며, 주요 보안 우려 시기에 중국 기반 엔지니어들의 관여를 지적했다.
- 2025년 7월 25일: 프로퍼블리카는 또한 중국 기반 지원이 다른 연방 기관(예: 법무부, 재무부)에도 제공되었다고 보도하며, 국방부의 발표가 반드시 모든 기관을 포괄한 것은 아니라는 점을 강조했다.
- 업계 반응: US Cloud의 분석은 연방 정부의 대응을 요약하고 민감한 워크로드에 대한 미국 기반 제3자 대안에 대한 관심을 부각시켰다. US Cloud
- 시장 신호: 링크드인 리더십 코멘터리가 우려를 증폭시켰으며, 경영진을 대상으로 셰어포인트 측면을 지적했습니다.
결론적으로: 마이크로소프트의 국방부(DoD) 전용 전환은 주목할 만하나, 국방부 외 공공 부문 및 상업 고객은 서면 보증 없이는 동일한 보호를 당연히 기대해서는 안 된다.
관할권이 "안전한 Microsoft 지원"에 중요한 이유
이 문제의 근본 원인은 단순히 지원 인력과 그들이 지원하는 장소에만 있는 것이 아닙니다. 지원 전문가들이 적용받는 법률 역시 핵심 요소입니다. 중국 내에서 지원이 수행될 경우, 인력과 기업은 중국의 국가 안보 및 정보 관련 법률의 적용을 받습니다. 국가정보법 제7조는 조직과 시민이 정보 활동에 "지원, 보조 및 협력"할 것을 규정하고 있습니다. 법률 전문가와 정책 분석가들은 이 조항이 데이터 및 시스템 접근을 포함한 강제적 협조를 요구할 수 있다고 지적한다.
CISO에게 이는 국경을 초월한 지원이 공격 및 강제 대상 영역을 확대할 수 있음을 의미합니다. 데이터 주권은 데이터(및 데이터 관련 기록물)가 선택한 관할권과 통제 하에 유지되도록 보장하는 관행으로, 지원 계층도 포함됩니다.
누구의 데이터가 가장 많이 노출되나요?
- 공공 부문: 프로퍼블리카는 중국 기반 지원이 국방부(현재 변경됨), 법무부, 재무부에 영향을 미친 사실을 기록했으며, 이는 국방 업무 범위를 넘어선 노출 가능성을 시사한다.
- 규제 산업: 금융 서비스, 의료, 중요 인프라 분야는 지원 요청이 빈번하며, 규제 대상 또는 비밀 자료(예: PHI, 인증 로그, 덤프 파일 내 비밀 정보)를 포함할 수 있는 진단 정보를 전송하는 경우가 많습니다. 생산 데이터가 분리되어 있더라도 지원 관련 자료가 위험을 재유입시킬 수 있습니다.
기업 지원의 구체적 위험 시나리오
신뢰할 수 있는 마이크로소프트 지원과 신뢰할 수 없는 마이크로소프트 지원은 서비스를 제공하는 주체에 따라 동일해 보일 수 있습니다. 평판이 좋은 지원과 거래할 경우 다음 시나리오들은 위험하지 않지만, 신뢰할 수 없는 지원 환경과 상호작용할 때는 심각한 보안 위험을 초래할 수 있습니다.
- 티켓 유출: 엔지니어들은 "전체 로그" 또는 스크린샷을 요청합니다; 비밀 정보가 주요 지역 외부에 저장된 아티팩트에 스며들게 됩니다.
- 크래시 덤프 및 추적 정보: 메모리 캡처에는 API 키 또는 개인 식별 정보(PII)가 포함될 수 있습니다. 이러한 정보는 어디에서, 누가 처리합니까?
- 원격 관리 세션: 비상 시 권한 상승 접근; 세션 내용은 현지 법률에 따라 관찰, 기록 또는 강제될 수 있습니다.
- 핫픽스/소스 검토: 심층적인 에스컬레이션 과정에서 공급업체가 코드나 구성을 요청할 수 있으며, 이로 인해 IP/비밀 정보 노출 위험이 발생할 수 있습니다.
이러한 상황은 복잡한 마이크로소프트 환경에서 일상적으로 발생하는 일이며, 복잡한 IT 문제 해결을 위해 많은 경우 필수적입니다. 그러나 차이점은 이를 처리하는 담당자들의 위치에 있습니다.
CIO 체크리스트: 공급업체에게 요구해야 할 사항
불안정한 마이크로소프트 지원 문제를 해결할 방법이 있습니다. 첫 번째 단계는 공급업체에 보안 문제를 제기하는 것입니다. 아래는 공급업체 담당자와 논의해야 할 주요 사항입니다. 해당 담당자가 질문에 답변하지 못할 경우, 문제를 상급자에게 보고하거나 대체 지원 솔루션을 고려해야 할 수 있습니다.
| 보안 문제 | 요청할 세부 사항 |
|---|---|
| 위치 증명 | 중국 소재 인력이 지정된 업무 부하(예: 공공 부문, ITAR/CJIS 준수 시스템)에 접근하지 않을 것임을 서면으로 약속하며, 이는 비상 상황 및 야간 교대 근무 시에도 적용됩니다. |
| 지원 아티팩트의 데이터 상주성 | 티켓, 로그, 덤프 및 세션 기록은 승인된 관할권 내에서 저장 및 처리되어야 합니다. |
| 하위 처리자 투명성 | 지원에 활용되는 제3자 업체 및 위치에 대한 최신 상세 목록; 불투명한 해외 아웃소싱 없음. |
| 세션 제어 | 의무적 JIT/JEA, 4중 승인, 및 기록 보관은 귀하의 임차 기간 동안 유지됩니다. |
| 법적 요청 통지 | 공개 전에 제3국 법적 요구 사항을 통지하고 이의를 제기할 계약상 의무(법적으로 허용되는 경우). |
| 감사 및 지표 | 감사 지원 접근 로그에 대한 접근 권한; 매월 누가, 어디서, 어떤 목적으로 접근했는지에 대한 보고서. |
지금 당장 실행 가능한 완화 조치 지원
만약 귀사의 Microsoft 지원이 이전에 생각했던 것만큼 안전하지 않을 수 있다고 판단된다면, 팀이 Microsoft 지원을 다시 안전하게 보호할 수 있도록 돕는 전략을 활용할 수 있습니다.
| 완화 범주 | 보안 전략 |
|---|---|
| 기술적 | 적시/적정 관리 시행, 공급업체 계정에 대한 PAM(특권 접근 관리), 최소 권한 RBAC(역할 기반 접근 제어), 로그/덤프에 대한 자동 편집 파이프라인, 업로드 전 토큰 스크러빙. |
| 프로세스 | 비상 시 격리 실행 매뉴얼(분할된 배스틴 호스트, 세션 기록), 공급업체의 권한 상승 작업에 대한 2인 승인 의무화, 지원 아티팩트 분류(덤프를 백업처럼 취급). |
| 계약상 | 기업 계약 및 지원 SOW에 위치 기반 접근 제한 및 주권 관련 부칙을 추가하고, 국경을 넘는 모든 상위 단계로의 이관을 명시적으로 동의하도록 요구합니다. |
| 소싱 | 적절한 경우, 업계 논평 및 시장 분석에서 강조된 바와 같이 투명한 인력 구성 및 주권 약속을 제공하는 미국 전용 제3자 지원 서비스를 고려하십시오. US Cloud |
마이크로소프트 고객을 위한 다음 단계는 무엇인가요?
미국의 국방부 전용 변경 조치는 시작에 불과하지만, 국방부 외 기관 및 기업들은 서면으로 동등한 조건 또는 더 강력한 조항을 요구해야 합니다. 특히 법적 비밀 유지 의무나 개인 식별 정보(PII)/건강 정보(PHI)가 걸린 경우 더욱 그러합니다. 보고에 따르면 중국 소재 인력이 역사적으로 다른 연방 고객사도 지원해 왔습니다. 불편한 질문을 던지고 그 답변을 계약서에 명시하십시오.
보안 마이크로소프트 지원을 선택 사항이 아닌 필수 사항으로 지정하십시오
IT 지원 분야의 규정 준수는 단순한 SLA나 응답 시간 이상의 의미를 지닙니다. 지원 인력의 위치, 적용되는 법률, 자산의 보관 장소 역시 핵심 요소입니다. 설계 단계부터 데이터 주권을 고려해 지원을 조정하고, 관할권 명확성을 요구하며, 기술적·계약적 통제로 지원 경로를 강화하십시오. 2025년에 드러나는 사실들은 위험성과 앞으로 나아갈 방향을 보여줍니다.
통합 CSAM 또는 담당자가 만족스러운 답변을 제공하지 못할 경우, 안전한 Microsoft 지원 대체 방안을 검토하기 위해 오늘 바로 US Cloud와 상담 일정을 예약하세요.
