Microsoft 보안 지원
정부를 위한 Microsoft 지원
JWCC 계약, 사이버 보안 및 독점 금지법 관련 우려 제기
JWCC 계약, 사이버 보안 및 독점 금지법 관련 우려 제기
2019년 국방부는 마이크로소프트에 '전쟁 클라우드' 또는 JEDI 계약으로 알려진 100억 달러 규모의 클라우드 컴퓨팅 계약을 수여했다. 이 계약의 목적은 국방부의 기술 인프라를 현대화하고 군사 작전을 개선하는 것이었다. JEDI 계약은 2022년에 취소되었으나, 올해 그 자리를 대체할 새로운 계약인 합동 전투 클라우드 역량(JWCC)이 추진된다.
그러나 마이크로소프트가 사이버 보안 도구 및 서비스 분야에서 점차 더 많은 의존도를 보임에 따라, 이 계약은 의회와 국방부 관계자들 사이에서 잠재적인 사이버 보안 영향과 독점 금지법 위반 가능성에 대한 우려를 불러일으켰다. 이는 다른 공급업체들을 배제할 뿐만 아니라, 수많은 사이버 보안 솔루션이 단일 공급처로 통합됨에 따라 잠재적인 보안 위험을 초래할 수 있다.
군사 분야를 위한 마이크로소프트: 클라우드 시장 점유율 확대
미 국방부는 2019년 10월 경쟁 입찰 과정에서 아마존 웹 서비스를 제치고 마이크로소프트에 100억 달러 규모의 '워 클라우드(War Cloud)' 계약을 수여했다. 이 계약의 목적은 국방부의 기술 시스템 현대화와 군사 작전, 인프라, 데이터 저장 개선을 지원하는 것이었다. 올해 이 계약은 다수의 클라우드 공급업체를 포괄하는 더 넓은 범위를 선호하는 JWCC(Joint War Cloud Contract)로 대체되었다.
그러나 이 정도로는 부족할 수 있다. JEDI 프로그램의 종료는 국방부 내 상당한 반발을 불러왔는데, 마이크로소프트에 대한 의존도가 계속 증가하고 있기 때문이다. 새 계약 하에서도 여전히 마이크로소프트 클라우드 서비스에 과도하게 의존해 중책을 맡기고 있는 것으로 보인다. 비용 절감은 좋지만, 보안과 독점 구조 형성을 대가로 치러서는 안 된다.
JEDI 계약은 정부가 미군 사이버보안 관리를 위해 마이크로소프트에 의존하는 수많은 방식 중 하나에 불과했다. 서비스 가격이 계속 상승함에 따라 향후 몇 년간 이는 역효과를 초래할 수 있다. 핵심 보안 솔루션에 단일 기업에 지나치게 의존하는 것은 경쟁을 배제해 더 우수한 대안을 차단할 뿐만 아니라 잠재적인 데이터 저장 위험으로 이어질 수 있다.
보안 위험 및 독점 금지법 위반
국방부의 클라우드 계약은 잠재적 보안 위험에 대한 우려를 불러일으켰으며, 이러한 우려는 현재 진행 중인 서비스 사용의 다른 측면에서도 반복되고 있다. 국방부 데이터가 상업용 클라우드로 이전될 경우, 민감한 정보가 데이터 유출, 사이버 공격 또는 무단 접근의 위험에 노출될 수 있다. 마이크로소프트의 기존 정부 계약 참여 이력과 정부 관계자들과의 유대 관계 역시 반독점법 위반에 대한 우려를 불러일으켰다.
국방부는 2019년 4월 JEDI 계약과 관련해 반독점 문제 가능성을 검토하기 위한 조사를 시작했다. 계약의 보안적 함의에 대한 검토도 현재 진행 중이다. 특히 사이버 보안 솔루션 분야에서 공정하고 개방된 경쟁은 편의성뿐만 아니라 실력과 활용도를 기반으로 해야 한다. 현재 JWCC에 대한 우려는 클라우드 자산과 운영체제의 상당 부분이 마이크로소프트의 영향권 아래 있다는 점에서 비롯된다.
마이크로소프트 국방부 계약 및 소프트웨어 독점권
JEDI 계약에 대한 우려로 의회가 움직였다. 2019년 11월, 의회는 해당 계약과 관련된 잠재적 보안 위험에 대한 검토를 요청하고 조달 과정의 투명성 강화를 촉구했다. 마이크로소프트와 국방부는 보안 프로토콜을 강조하고 기술 산업 내 경쟁을 촉진함으로써 이러한 우려를 해소하기 위해 움직였다. 마이크로소프트는 또한 국가 안보 지원에 대한 약속을 강조하는 성명을 발표했다. 그러나 JEDI 계약이 종료되고 JWCC로 대체되었음에도 불구하고, 마이크로소프트가 정부 내에서 가진 영향력에 대한 우려는 여전히 남아 있다.
2017년부터 국방부는 400만 대 이상의 모든 컴퓨터에 마이크로소프트 윈도우 운영체제를 독점적으로 사용해 왔으며, 마이크로소프트의 애저 클라우드 컴퓨팅 서비스도 점차 확대 적용하고 있다. 현역 및 예비군 대다수는 아웃룩이나 오피스 같은 마이크로소프트 프로그램을 사용한다. 이제 정부는 마이크로소프트 디펜더 포 엔드포인트도 활용 중이다. 사용 사례가 증가하고 경쟁사들이 배제되면서, 마이크로소프트가 정부 내 소프트웨어 완전 독점을 노리는 것으로 보인다.
펜타곤 클라우드 계약에 대한 우려
미 국방부의 마이크로소프트와의 JWCC 계약은 잠재적 보안 위험과 반독점법 위반 가능성에 대한 심각한 우려를 불러일으켰다. 의회는 JEDI 입찰에 대해 조달 과정의 투명성과 책임성 강화를 요구했으며, 마이크로소프트와 국방부는 이러한 우려를 해소하기 위한 노력을 기울였다.
현재 JWCC 계약은 표면상 더 많은 클라우드 공급업체를 유치하는 것처럼 보이지만, 그 이면에는 마이크로소프트 제품과 통제권이 바다처럼 깔려 있어 위험 부담이 커졌습니다. 선택지는 많지만, 동일한 소프트웨어에 익숙해진 상태에서는 전환이 쉽지 않습니다.
국방부가 조만간 마이크로소프트 사용을 더욱 강화한다면 경쟁사들을 배제하게 될 것이다. 완전하고 개방된 경쟁을 보장하고 관련 법률을 준수하는 것은 정부의 책임이다. 사이버 보안 관련 의사결정 권한을 제3자에게 위임하는 것은 통제 수준과 무관하게 해결책보다 문제가 더 많이 발생합니다. 마이크로소프트 같은 제3자에게 맡기는 것은 정부의 권한을 약화시키므로, 업무가 편리해진다고 해도 용납되어서는 안 됩니다. 보안은 편의성이 아닌 효과성에 관한 문제입니다.
