마이크로소프트 프리미어 지원

정부를 위한 Microsoft 지원

국방부(DoD), 마이크로소프트 프리미어 지원 대안인 US Cloud를 선택하다.

국방부, JEDI 주권 확보 및 38% 비용 절감을 위해 마이크로소프트 프리미어 지원 대체 수단으로 미국 클라우드 서비스 선정

작성자:

마이크 존스

게시일: 7월 25, 2019

미국 국방부 JEDI 마이크로소프트 지원 서비스 (US Cloud 제공) JEDI는 미군의 전투 요원을 위한 클라우드 플랫폼입니다. 미군 클라우드에는 보안, 확장성, 비용 효율성, 장애 조치, 인공지능(AI)과 같은 모든 장점과 함께 마이그레이션 및 하이브리드 통합과 같은 전형적인 클라우드 도입 시의 어려움도 존재할 것입니다. 마이크로소프트 클라우드 플랫폼은 지속적으로 새로운 기능과 업데이트를 제공할 것입니다. JEDI 도입이 확대됨에 따라 새로운 기능 활용 방법과 기존 환경에 미칠 영향에 대한 이해가 점점 더 중요해질 것입니다.

마이크로소프트는 국방부의 데이터 주권 요구사항을 충족시키기 위해 노력하고 있으며, 미국 내 데이터 센터에는 심사된 미국 시민만 근무하도록 하고 있습니다. 그러나 국방부 기관이 Office 365, Azure 또는 기타 마이크로소프트 관련 문제로 전화를 걸었을 때, 상대방이 외국인일 가능성을 마이크로소프트는 보장하지 않습니다. 마이크로소프트 프리미어 (통합) 지원이 다루는 대부분의 문제는 일상적이고 비즈니스에 치명적이지 않지만, 임무 수행에 필수적인 사건이 발생할 수 있으며, 이 경우 신원 확인을 거친 미국 시민에 의한 신속한 해결이 미군 전투원과 국방부에 있어 가장 중요할 것입니다.

JEDI란 무엇인가?

미군은 국방부 산하 모든 부서와 군 부대의 IT 자원을 현대화하기 위해 야심차고 비용이 많이 드는 클라우드 전환 프로젝트를 추진 중이다.

공동 기업 방어 인프라 (JEDI) 계획은 해당 전략의 한 축을 이룬다. 의회에 제출된 클라우드 전략 문서는 국방부(DoD)가 필요로 하는 '범용 목적' 클라우드와 '목적에 부합하는' 클라우드 간 차이를 명확히 구분한다.

AWS나 마이크로소프트로 이전될 범용 목적 클라우드(General Purpose)는 모든 국방 기관에 대한 '주요 구현 우선순위'를 가진 최우선 선택 클라우드입니다. 문서에 따르면 "임무 요구사항이 범용 목적 클라우드로는 지원될 수 없는 경우에만 목적에 부합하는 대안 ( Fit For Purpose)을 모색할 것 "이라고 명시되어 있습니다.

JEDI 이니셔티브를 통해 선정된 클라우드 공급업체로부터 이탈하려는 "미션 소유자"는 필요한 역량이 범용 클라우드로는 충족될 수 없다고 판단하는 이유를 설명하는 "예외 사유서"를 국방부 최고정보책임자(CIO)에게 제출해야 합니다.

미국 클라우드의 주권적 지원 없이는 제다이(JEDI)가 어떻게 고통받을 수 있겠는가?

시나리오 1 최소 영향: 마이크로소프트의^제3자 해외 아웃소싱 업체를 통해 근무하며 국방부와의 마이크로소프트 프리미어 (통합) 지원 계약을 통해 JEDI를 지원하는 외국 국적 직원이 "임무 핵심" 등급의 지원 티켓을 접수한 후 고의로 해결 과정을 수시간 또는 수일간 지연시킵니다. 최소한 국방부의 운영 속도를 저하시키며, 최악의 경우 배치된 전투원의 임무 수행을 위협할 수 있습니다. 이후 해당 "마이크로소프트 직원"(실제 고용주는 국가 기관)은 근본 원인 분석(RCA) 결과를 실제 고용주 국가에 전달하여 향후 JEDI에 대한 사이버 공격의 기반을 마련한다.

시나리오 2 중간 영향: 마이크로소프트의^제3자 해외 아웃소싱 업체를 통해 근무하는 외국 국적자가 문제 해결을 위해 국방부 시스템에 원격 접근이 필요하다고 주장하며 권한을 부여받는다. 이후 가상 신분증을 보유한 이 "마이크로소프트 직원"은 해당 접근 권한을 이용해 악성코드를 심어 환경을 침해하거나, 실제 소속 국가로 민감한 데이터를 유출한다.

시나리오 3 중대한 영향: 마이크로소프트의^제3자 해외 아웃소싱 업체를 통해 근무하는 외국 국적자가 JEDI 시스템에 원격 접근 권한을 획득하고, 점진적이며 은밀하게 해당 시스템의 장애 조치 모델을 매핑하고 있다. 이후 가상 명함을 보유한 "마이크로소프트 직원"은 이 모델을 활용하여 잠복 상태의 탐지되지 않은 악성코드를 활성화할 준비를 마친 상태입니다. 이를 통해 자격 증명을 탈취하고 JEDI 시스템의 일부 또는 전체를 마비시켜, 미국 국방부가 미국을 대상으로 한 대규모 조직적 사이버 또는 군사 공격을 탐지하거나 대응하는 능력을 제한할 수 있습니다.

제다이 보안

군사 클라우드에서는 보안이 최우선 관심사입니다.

국방부 고위 관계자들의 견해 퍼블릭 클라우드 군사 데이터 및 시스템 확보에 있어 이점을 제공하며, 국방부 클라우드 전략은 더 광범위한 사이버 전략과 부합하도록 수립되었다. 국방부는 방대한 양의 데이터 보안을 보장하고 정보를 보호하기 위해 현대 상업용 클라우드 공급업체 플랫폼에 내장된 최신 보안 메커니즘을 수용해야 한다고 보고서는 밝혔다.

국방부의 현재 인프라가 보안 취약점을 초래하고 있다. 보고서에 따르면 국방부는 사이버 위협에 대응하는 데 어려움을 겪고 있는 것으로 나타났다. 보고서는 "국방부가 자체 데이터 센터의 물리적 하드웨어를 소유하고 운영함으로써 불필요한 보안 위험에 노출될 수 있으며, 이로 인해 다른 임무 영역에서 전투원과 인력을 지원하는 데 재배치될 수 있는 자원을 소모하게 된다"고 지적했다.

지나치게 엄격한 정책과 조달 절차로 인해 국방부 IT 전문가들이 하드웨어와 소프트웨어를 적절히 업데이트하는 데 어려움을 겪고 있다. 수익성 높은 계약을 따내려는 공공 클라우드 공급업체들은 보안 역량에 대해 철저한 심사를 받게 될 것이다.

국방부는 클라우드 네트워크 보안에 대한 독립적인 테스트 및 평가를 수행하여 보안 규정 준수 및 사고 대응 능력을 검증하고, 모든 계약업체 및 제3자 테스트 결과를 검토하여 성능 및 보안 모니터링이 충분한지 확인해야 한다.

군사 지도자들은 사이버 보안의 초점을 네트워크 경계 방어에서 데이터 접근 권한의 능동적 통제로 전환하고자 한다. 상용 클라우드 서비스에 내장된 현대적 암호화 알고리즘과 키 관리 시스템, 그리고 데이터의 적절한 태깅을 통해 이를 달성할 수 있을 것이다.

데이터 접근 통제 외에도 군 지휘관들은 자사 마이크로소프트 시스템을 지원하는 모든 기술 지원 인력이 신원 조사를 거친 미국 시민인지 확인해야 합니다. 이는 ITAR 규정 준수를 보장하고 외국 국적자가 JEDI에 불필요하게 노출될 위험을 완화할 것입니다.

즉각적인 위험 – JEDI를 지원하는 외국인

마이크로소프트 프리미어 (통합) 지원 서비스는 자체 팀을 보강하기 위해 제3자 공급업체(위프로, 타타 등 포함)를 점점 더 많이 활용하고 있습니다. 연방 기관들은 계약상 마이크로소프트가 외국 국적자가 지원 라인에 응답하거나 티켓을 처리하지 않을 것을 보장하지 않는다는 사실을 확인했습니다. 연방, 주 및 지방 기관들은 주권과 재정적 책임성을 위해 마이크로소프트에서 미국 클라우드(US Cloud)로 전환하고 있습니다.

2019년 4월, 인도 정보기술(IT) 아웃소싱 및 마이크로소프트 프리미어(통합) 지원 제공업체 위프로(Wipro, NYSE: WIT)가 해킹당했다. 이 소식은 크렙스 온 시큐리티(Krebs on Security)가 최초 보도했다. 소식통에 따르면 2019년 3월 원격 접속 도구 '스크린커넥트(ScreenConnect)'가 사용되어 위프로 시스템이 침해된 후, 이를 발판으로 미국 및 기타 국가의 위프로 고객사들을 공격한 것으로 알려졌다. 공격의 근원은 아직 알려지지 않았으나, 위프로 데이터 유출 사건이 보도된 바로 그 달에 흥미로운 거래가 발생했다.

국방부 JEDI 보안 위험 - 마이크로소프트 지원을 제공하는 외국인 2019년 4월 4일, 인도 정부는 Wipro의 '적대적' 지분 약 1억 6600만 달러 상당을 매각했다. 이 글 in 비즈니스 스탠다드적국 주식이라 불리는 이유는 원래 파키스탄이나 중국으로 이주한 사람들이 보유했던 주식으로, 더 이상 인도 시민이 아니기 때문이다.

"인도 적국 재산 관리인이 보유하던 총 4,440만 주가 뭄바이 증권거래소에서 주당 259루피에 매각됐다"고 비즈니스 스탠다드가 보도했다. "매수자는 국영 기업인 인도생명보험공사(LIC), 뉴인디아어슈어런스, 제너럴인슈어런스코퍼레이션이었다. LIC"

2019년 6월 발표된 클라우드 호퍼 공격으로 타타를 비롯한 여러 주요 공급업체가 피해를 입었습니다. 타타는 마이크로소프트 프리미어(통합) 지원 서비스의 일반적인^제3자 인력 지원 확장 프로그램입니다. 로이터 통신이 최초 보도했으며, 타타는 논평을 거부했습니다. 현재 미국에서 기소가 진행 중이며, 중국 국가안전부가 공격의 배후로 의심받고 있습니다.

로이터 소식통에 따르면, 해당 공격은 2014년부터 2017년까지 지속되었으며 글로벌 IT 아웃소싱 업체들을 대상으로 진행되었고, 유일한 목적은 고객사들의 상업적 비밀을 훔치는 것이었다. 우연하게도 2014년, 타타는 미국에서 에픽 시스템즈로부터 지적 재산권 침해로 소송을 당해 4억 2천만 달러의 배상 판결을 받았다.

국방부 JEDI 지원 비용

군사 예산은 제약받는다. 국방부 지도부는 민간 기업들이 이미 인식한 바와 같이 클라우드 기술이 경제적 이점을 제공한다고 보고 있다.

보고서는 "클라우드 사용량 기반 요금제는 IT 포트폴리오 전반에 걸쳐 비용을 최적화할 수 있는 유연성을 제공하며, 국방부가 변화하는 우선순위, 예산 상황 및 산업 발전에 적응할 수 있도록 할 것"이라고 밝혔다. "클라우드 준비가 되지 않은" 기존 시스템들은 종종 "과도한 양의 클라우드 인프라 자원을 사용"하여 효율성이 떨어지고 운영 비용이 더 많이 든다.

군 당국도 많은 기업들이 깨닫게 된 것처럼 클라우드 비용 예측이 어렵다는 점을 인지하고 있다. 비용 투명성을 확보하기 위해 군은 애플리케이션 개발 방식과 데이터 전송 및 저장 과정을 모니터링하기 위한 '강력한 거버넌스'를 도입해야 할 것이다.

이러한 기준을 수립하고 적용하며, 이후 기업 솔루션에 맞춰 서비스와 데이터를 학습하고 더 잘 정렬해 나감에 따라, 클라우드 리소스의 재정적 실행을 정확하게 추적하는 데 더 효과적인 정보를 제공하기 위해 자동화된 도구와 기법을 활용할 수 있습니다.

클라우드가 경제적 효율성을 제공하는 것처럼 미국 연방 클라우드 지원 서비스서비스. 국방부와 같은 마이크로소프트 의존 기관들은 일반적으로 마이크로소프트 통합(구 프리미어) 지원에서 US Cloud로 전환할 때 비용을 절반으로 절감합니다. 이러한 상당한 절감 효과로 국방부는 예산 범위 내에서 운영할 수 있으며, 지원 비용 절감분을 우리 군인들이 가장 필요로 하는 곳에 재배분할 수 있습니다.

클라우드의 속도를 따라잡기

미국 연방, 주 및 지방 정부가 Microsoft Azure 및 Office 365와 같은 클라우드 서비스 플랫폼을 채택함에 따라, 새로운 기능과 보안 업데이트가 Microsoft에서 사용자 기반에 자동으로 제공됩니다. 이는 환경과 사용자의 보안을 강화하는 동시에 변경 사항이 더 빈번하게 도입되도록 합니다. 관리자들은 어떤 신규 기능이 언제 제공될지 알고 있습니까? 출시 과정에서 기존 환경을 손상시킬 수 있는 기능이 계획 중입니까? 사용자들은 신규 기능과 사용법을 인지하고 있습니까? 그렇지 않다면 누가 언제 교육을 실시할 것입니까?

조직의 IT 로드맵이 Microsoft의 클라우드 서비스 로드맵과 일치하는 것이 매우 중요합니다. US Cloud와 같은 신뢰할 수 있는 제3자 지원 제공업체는 OpenAI와 같은 미션 크리티컬 Microsoft 기술을 지원할 뿐만 아니라, 조직이 전체 Microsoft 스택에 걸친 투자를 극대화할 수 있도록 자문 및 로드맵 서비스도 제공합니다.

미국 군 클라우드 지원

한 구성 요소인 JEDI 계획은 실리콘밸리에서 격렬한 논란을 불러일으켰으며, 여기에는 업계 협회의 비판,정부회계감사원(GAO)에 대한 항의, 그리고오라클이연방 정부를 상대로제기한 소송이포함된다.

국방부의 클라우드 전략은 JEDI보다 훨씬 광범위하지만, 현장의 군인과 군사 정보 전문가들에게 역량을 부여하기 위해서는 기업용 클라우드 공급업체의 도움이 필요합니다.

"국방부 클라우드 전략은 클라우드에 대한 우리의 의지를 재확인하며, 보다 효과적인 도입을 위해 클라우드 계획을 기업 차원에서 바라볼 필요성을 강조합니다." 이 문서는 패트릭 샤나한 국방부 장관 대행이 쓴 서문에서 이같이 밝히고 있다.

"국방부(DoD)는 전장이 물리적 세계만큼이나 디지털 세계에도 존재하는 현대적 전쟁 수행 시대에 진입했다"고 샤나한은 말했다.

클라우드는 전 세계 군사 인프라의 핵심 구성 요소로서, 전투원에게 데이터를 제공하여 전투 능력을 강화하고 우리 군의 기술적 우위를 유지하는 데 결정적인 역할을 합니다.

US Cloud는 100% 미국 시민으로 구성된 팀을 통해 미군 클라우드 및 전투원 사용자 기반을 지원할 준비가 되어 있습니다. 주권 보호, ITAR 규정 준수, 30~60% 비용 절감 효과로 인해 US Cloud는 국방부와 미국 납세자들에게 책임감 있는 선택입니다.

주권 지원 – 고국에서 전장까지

국방부 클라우드 환경은 전장에서 후방에 이르기까지 군사 작전을 지원해야 합니다.

"우리는 JEDI와 국방부가 임무를 성공적으로 완수할 수 있도록 마땅히 받아야 할 미국인 지원 인력을 제공해야 합니다,"라고 US Cloud의 창립자 로버트 E. 라미어 4세는 말합니다. "외국인을 미국의 기술 지원 공급망에 투입하는 것은 무책임한 일이며, 국가 안보에 불필요한 위험을 초래합니다."

국방부 클라우드의 필수 요건은 기밀 등급에 관계없이 단순하고 반복 가능한 컴퓨팅 솔루션의 통합 및 운영이다. 보고서는 "이를 통해 전투 요원들은 데이터 기반 의사 결정을 내릴 수 있으며, 동맹국과 데이터를 공유하고 연합군으로 작전 수행하는 국방부의 역량이 강화될 것"이라고 밝혔다.

보고서는 기술 산업이 분리된 운영을 수행하는 데 큰 진전을 이루었다고 지적한다. "국방부의 범용 클라우드와 목적에 부합하는 클라우드는 이러한 노력을 활용하여 환경에 관계없이 전투원이 필요로 하는 시점과 장소에서 최신 기술을 제공할 것이다."

전장에서 전투원이 사용하는 "견고하고 적응력이 뛰어난" 기기들은 통신이 원활하거나 재개될 때 클라우드와 자동으로 동기화될 수 있어야 한다.

정보의 자동 동기화는 전투 요원들이 데이터를 보존하고 이를 모델에 재투입하며 최신 알고리즘으로 전투를 수행하도록 보장할 것입니다. 이를 안전한 환경에서 수행하는 것은 전투력 증강 효과를 가져올 것이며, 클라우드 환경의 주요 목표인 정보 우위 달성을 직접적으로 지원할 것입니다.