마이크로소프트의 중국 기술 지원 활용, 미국 정부 데이터 유출 우려 불러일으켜.

요약: 경영진 브리핑

마이크로소프트의 논란의 중심에는 보안 요구사항과 기업 효율성 사이의 절충안으로 설계된 시스템이 자리 잡고 있다. 거의 10년 동안 이 기술 대기업은 '디지털 에스코트'라 부르는 제도를 운영해왔다. 이는 보안 허가를 받은 미국 시민들이 외국 엔지니어와 민감한 정부 시스템 사이의 중개자 역할을 수행하는 방식이다.

이 시스템은 중국 엔지니어들이 미국인 에스코트 직원들에게 기술적 지시를 제공하면, 이들이 연방 네트워크에서 명령을 실행하는 방식으로 운영됩니다. 이 과정에서 에스코트 직원들은 자신이 수행하는 작업의 전체적 의미를 반드시 이해하지 못한 채 작업을 수행합니다. 프로퍼블리카 조사에 따르면, '디지털 에스코트'로 불리는 이 직원들은 훨씬 더 높은 기술력을 가진 외국 엔지니어들을 감독할 만한 기술적 전문성을 종종 갖추지 못한 것으로 나타났습니다. 일부는 코딩 경험이 거의 없는 전직 군인들로, 최저 임금보다 조금 더 받는 수준의 보수를 받으며 일하고 있습니다.

이 협정은 2010년대 초반 마이크로소프트가 수익성 높은 연방 클라우드 컴퓨팅 계약을 따내면서도 글로벌 인력 구조를 유지하려 할 때 구상되었다. 국방부는 민감한 데이터를 다루는 인력에 대한 국적 요건을 고려하여 해당 기업의 외국인 직원들에 대해 우려를 표명했고, 마이크로소프트는 이를 해소하기 위해 에스코트 협정을 마련했다.

정부 규정을 잘 아는 '페드램프 전문가'로 불리는 마이크로소프트 선임 프로그램 매니저 인디 크롤리는 이 개념 개발에 핵심적인 역할을 했다. 그는 국방부 관계자들이 마이크로소프트의 글로벌 인력이 민감한 데이터를 다룰 수 있다는 우려를 제기했을 때 가상 에스코트 고용이 "가장 쉬운 해결책" 으로 떠올랐다고 프로퍼블리카에 말했다.

초기 보도들은 마이크로소프트가 국방부 시스템에 중국어 지원을 제공한 점에 초점을 맞췄으나, 후속 조사 결과 이 관행이 군사적 용도를 훨씬 넘어선 것으로 드러났다. 해당 기업은 중국을 포함한 전 세계 인력을 활용해 여러 연방 부처 및 기관의 클라우드 시스템을 유지해왔다.

프로퍼블리카의 조사에 따르면, 마이크로소프트는 수년간 중국을 포함한 전 세계 인력을 동원해 법무부, 재무부, 상무부 등 다른 연방 부처의 클라우드 시스템을 유지해왔다.

해당 작업은 정부 커뮤니티 클라우드(GCC) 내에서 수행되었습니다. GCC는 기밀 등급은 아니지만 민감한 정보 처리를 위해 설계된 플랫폼입니다. 정부 기준에 따르면, 여기에는 "기밀성, 무결성, 가용성의 손실이 기관의 운영, 자산 또는 개인에게 심각한 부정적 영향을 초래할 수 있는" 데이터가 포함됩니다.

GCC 사용의 구체적인 예로는 다음과 같습니다:

• 법무부 반독점국, 형사 및 민사 수사·소송 기능을 위한 플랫폼 활용
• 환경보호청의 일부 부서가 GCC 서비스를 이용 중입니다.
• 교육부가 플랫폼에서 시스템을 유지 관리하고 있다

이러한 외국인의 접근 범위 확대는 사이버 보안 전문가들을 경계하게 만들었는데, 이들은 비기밀 정부 데이터조차도 외국 적대 세력에게 가치 있는 정보를 제공할 수 있다고 경고한다.

디지털 에스코트 시스템에서 가장 우려되는 측면 중 하나는 미국 에스코트와 그들이 감독해야 하는 중국 엔지니어 간의 기술 전문성 격차가 크다는 점이다. 이 기술 격차는 근본적인 취약점을 초래하며, 전문가들은 이로 인해 해당 체계의 전체 보안 전제가 훼손된다고 지적한다.

“그들이 하는 일이 악의적이지 않다고 믿고 있지만, 사실은 알 수 없습니다.”라고 익명을 조건으로 인터뷰에 응한 한 현직 에스코트가 말했다. 그는 직업적 불이익을 우려했다.

문제는 구조적이며 의도적인 것이다. 마이크로소프트는 에스코트 요원들이 주로 데이터 처리 절차 준수를 보장하기 위한 존재이지 기술적 감독을 제공하기 위한 존재가 아니라는 점을 인정했다. 에스코트 시스템 개발에 참여했던 전직 마이크로소프트 엔지니어 매튜 에릭슨은 "누군가 'fix_servers.sh'라는 스크립트를 실행했는데 실제로는 악의적인 작업을 수행했다면 [에스코트 요원들은] 전혀 알지 못했을 것"이라고 설명했다.

에스코트 채용은 이러한 제한된 기대를 반영한다. 마이크로소프트 계약업체가 2025년 1월 시간당 18달러에 에스코트를 구하는 광고를 게시했는데, 주요 요건은 기술 전문성보다는 국방부 보안 허가였다.

익명을 조건으로 인터뷰에 응한 인사이트 글로벌 소속 에스코트는 "사람들이 이런 일자리를 얻는 건 (보안) 심사 통과 때문이지, 실력 있는 엔지니어라서 그런 게 아니다"라고 말했다.

이러한 체계는 매달 마이크로소프트의 지원팀이 중국에 기반을 둔 엔지니어 및 개발자들과 수백 건의 상호작용을 처리하며, 실질적으로 의미 있는 감독 능력 없이 외국 기술 지침을 연방 네트워크로 전달하는 통로 역할을 수행함을 의미한다.

마이크로소프트 접근 방식에 내재된 취약점은 2025년 7월 중국 정부 지원 해커들이 마이크로소프트의 널리 사용되는 협업 소프트웨어인 셰어포인트의 취약점을 악용하면서 극명하게 드러났다. 이 공격으로 국가핵안보청(NNSA)과 국토안보부(DHS)를 포함한 수백 개의 기업 및 정부 기관이 피해를 입었다.

이 사건을 특히 우려스럽게 만든 것은 프로퍼블리카가 이후 발견한 바에 따르면, 셰어포인트 지원 업무가 수년간 해당 소프트웨어 유지보수를 담당해 온 중국 소재 엔지니어링 팀에 의해 처리되고 있다는 점이었다.

SharePoint 공격의 시간적 흐름은 보안 문제의 복잡성을 드러낸다:

• 중국 해커들은 2025년 7월 7일 이미 SharePoint 취약점을 악용하기 시작했다.
• 마이크로소프트는 7월 8일 패치를 배포했지만 해커들이 이를 우회했다
• 해당 기업은 이후 "더 강력한 보호 기능"을 갖춘 새 패치를 배포했다.
• 해당 취약점으로 인해 해커들은 "파일 시스템 및 내부 구성을 포함한 SharePoint 콘텐츠에 완전히 접근하고 네트워크를 통해 코드를 실행할 수 있었다"

마이크로소프트의 중국 소재 셰어포인트 팀이 공격에 관여했다는 증거는 없지만, 이러한 우연은 미국 적대 세력이 동시에 공격하는 소프트웨어를 중국 인력이 유지 관리할 때 발생할 수 있는 잠재적 위험을 부각시켰다.

국가 안보 및 사이버 보안 전문가들은 이 같은 사실이 드러난 데 대해 경악을 표했으며, 많은 이들이 그러한 협정이 존재했다는 사실 자체에 놀라움을 나타냈다. CIA와 국가안보국(NSA)의 전직 고위 간부이자 바이든 행정부 시절 국가 사이버 책임자를 역임한 해리 코커는 프로퍼블리카와의 인터뷰에서 디지털 에스코트 시스템이 첩보 활동에 명백한 기회를 제공한다고 말했다.

"내가 요원이라면 그걸 극히 가치 있는 접근 경로로 삼을 것이다. 우리는 그 점을 매우 우려해야 한다"고 전 CIA 및 국가안보국(NSA) 고위 간부 해리 코커가 말했다.

이러한 우려는 해당 협정의 기술적 현실과 중국 내 데이터 수집을 규율하는 법적 체계 모두에 근거를 두고 있다. 예일 로스쿨 폴 차이 중국 센터의 선임 연구원 제레미 다움은 중국 법률이 정부 관계자들이 "그들이 합법적이라고 판단한 일을 수행하는 한" 데이터를 수집할 수 있도록 허용한다고 설명했다. 그는 "중국 시민이나 기업이 보안 기관이나 법 집행 기관의 직접적인 요청을 실질적으로 거부하기는 어려울 것"이라고 지적했다.

렉스 부스(Rex Booth) 전 연방 사이버 보안 담당관은 현재 세일포인트(SailPoint)의 최고정보보안책임자(CISO)로 재직 중이며, 위험이 기존의 기밀 정보 문제 범위를 넘어선다고 강조했다:

클라우드 서비스에 저장된 방대한 데이터와 이를 신속하게 분석하는 인공지능의 능력으로 인해, 비기밀 데이터조차도 미국의 이익에 해를 끼칠 수 있는 통찰력을 드러낼 수 있습니다.

해리 코커, 전 CIA 및 NSA 고위 간부

이 폭로로 인해 의회와 행정부 모두 신속한 대응을 촉발했다. 피트 헤그세스 국방장관은 해당 관행에 대한 즉각적인 검토를 시작하며 소셜미디어를 통해 다음과 같이 밝혔다.

“외국 엔지니어 — 중국을 포함한 어느 나라 출신이든 — 는 절대 국방부 시스템의 유지보수나 접근 권한을 부여받아서는 안 된다.”

양당 의원들의 우려가 표출되면서 톰 코튼(공화당, 아칸소) 상원의원과 진 셰힌(민주당, 뉴햄프셔) 상원의원이 헤그세스 장관에게 서한을 보내 마이크로소프트의 중국 기반 지원 체계에 대한 추가 정보를 요구했다. 의회의 관심은 중국을 사이버 위협으로 인식하는 인식이 확산되고 있으며, 외국에 대한 기술적 의존에 대한 광범위한 우려를 반영한다.

바이든 행정부 시절 국방부 최고정보책임자(CIO)를 지낸 존 셔먼은 이 같은 조사 결과에 놀라움을 표하며 "이 문제에 관여한 국방정보시스템국(DISA), 사이버사령부 및 기타 이해관계자들의 철저한 검토가 필요하다"고 촉구했다.

국방부 장관 피트 헤그세스, 국방부 내 외국 기술 지원 금지 선언

자사의 관행이 공개적으로 드러나자 마이크로소프트는 즉각적인 우려 사항을 해결하는 동시에 전반적인 접근 방식을 옹호하기 위해 신속히 움직였다. 회사는 더 이상 중국 기반 엔지니어링 팀을 국방부 클라우드 컴퓨팅 시스템 지원에 활용하지 않을 것이라고 발표했으며, 다른 정부 고객사에 대해서도 유사한 변경이 있을 수 있음을 시사했다.

마이크로소프트는 성명에서 "지난주 국방부 정부 클라우드 서비스의 보안을 강화하기 위한 조치를 시행했습니다. 앞으로 정부 커뮤니티 클라우드(GCC)를 이용하는 모든 정부 고객을 대상으로 유사한 조치를 취해 데이터 보안을 더욱 강화할 예정입니다"라고 밝혔습니다.

그러나 회사의 답변은 해결한 만큼이나 많은 의문을 불러일으켰다. 마이크로소프트는 중국 지원팀을 대체할 방안, 디지털 에스코트 서비스 지속 여부, 타국 엔지니어 지원 가능성 등에 대해 구체적으로 밝히지 않았다. 또한 향후 한 달간 "추가 조치가 필요한지 평가하기 위한 검토를 진행하겠다"고 밝혔다.

로버트 E. 라미어 4세(Robert E. LaMear IV)는 US Cloud의 창립자로서 이 솔루션을 제시했습니다. US Cloud는 마이크로소프트 엔터프라이즈 소프트웨어를 위한 선도적인 제3자 지원 제공업체입니다.

마이크로소프트는 중국 지원팀을 미국 클라우드 서비스로 대체해야 합니다. 당사는 기관 보안 승인 요건을 충족하기 위해 적극적으로 협력할 의사가 있습니다. 당사는 연방 데이터 주권 및 시민권 요건을 충족하도록 처음부터 구축되었습니다. 또는 기관들이 당사와 직접 계약할 수도 있습니다.

특히 SharePoint 팀과 관련하여, 마이크로소프트는 중국에 기반을 둔 엔지니어링 팀을 인정하면서도 "해당 팀은 미국에 기반을 둔 엔지니어의 감독을 받으며 모든 보안 요건과 관리자 코드 검토를 준수한다"고 강조했습니다. "이 업무를 다른 지역으로 이전하기 위한 작업이 이미 진행 중"이라고 덧붙였습니다.

디지털 에스코트 관련 폭로는 정부 관계자와 사이버 보안 전문가들을 우려하게 만든 마이크로소프트 보안 문제의 광범위한 패턴에 부합한다. 프로퍼블리카는 마이크로소프트가"고객 보안보다 기업 이익을 반복적으로 우선시해왔다"고 지적했는데, 여기에는 러시아 국가 지원 해커들이 이후 역사상 최대 규모의 사이버 공격 중 하나에서 악용한 제품 결함에 대한 엔지니어들의 경고를 회사가 무시한 이전 사건도 포함된다.

미 국방부 조달 프로그램 관리자 프레스콧 폴린이 2024년 링크드인에 게시한 이 영상은 마이크로소프트의 중국 아웃소싱 지원 문제를 예고하는 사례다. 영상에서 폴린은 "근무 시간 외 국방 관련 계정 접근 문제" 발생 시 마이크로소프트가 중국 콜센터로 연결해준다고 밝혔다. 마이크로소프트 사고 지원 추적 ID: 2407040040000430.

에스코트 시스템 자체는 마이크로소프트가 연방 클라우드 계약을 적극적으로 추진하던 시기에 등장했으며, 동료들은 정부 보안 요건을 능숙하게 처리하는 한 핵심 설계자를 'FedRAMP 전문가'라 불렀다. 이 체계는 마이크로소프트가 비용 효율적인 글로벌 인력 구조를 유지하면서도 연방 보안 요건에 대한 표면적 준수를 충족시킬 수 있게 했다.

프레스콧 폴린, 국방부 조달 프로그램 관리자, 2024년 마이크로소프트 지원 서비스 중국 아웃소싱 영상

프로퍼블리카의 조사 결과, 마이크로소프트 내부와 협력사들 사이에서 디지털 에스코트 시스템에 대한 우려가 처음부터 존재했음이 드러났다. 마이크로소프트 사이버보안 책임자를 포함한 여러 관계자들이 해당 시스템이 본질적으로 위험하다고 경고했음에도 불구하고, 마이크로소프트는 "그럼에도 불구하고 이를 출시하고 확장했다."

특히 주목할 만한 사례는 2024년 국방부 핫라인에 연락하고 여러 연방 의원들에게 서신을 보내 디지털 에스코팅에 대해 경고한 전직 인사이트 글로벌 계약직 직원 톰 쉴러와 관련된 사건이다. 그의 고발 내용은 결국 국방정보시스템국(DISA) 감사관실로 전달되었으며, 해당 부서는 면담을 진행했으나 결국 조사를 진행하기보다는 사건을 DISA 관리부서로 다시 회부했다.

현재의 에스코트 직원들도 우려를 제기해왔다. 인사이트 글로벌의 한 직원은 프로퍼블리카에 "수년간, 그리고 최근인 4월까지도 마이크로소프트와 인사이트 글로벌의 변호사들에게 지식 격차에 대한 우려를 반복적으로 제기했다"고 말했다. 해당 에스코트는 특히 광범위한 데이터 수집 권한을 부여하는 중국 법률과 이로 인해 미국 정부 네트워크가 노출될 수 있다는 점을 크게 걱정했다고 전했다.

마이크로소프트의 폭로는 연방 정부가 클라우드 컴퓨팅과 IT 현대화에 접근하는 방식에 더 광범위한 함의를 지닌다. 이 사건은 지난 10년간 정부 기술 도입을 형성해 온 비용 효율성, 기술 전문성, 보안 요구 사항 간의 근본적인 긴장 관계를 부각시킨다.

연방 정부의 클라우드 컴퓨팅 도입은 주로 비용 절감, 효율성 향상, 첨단 기술 접근성 확보라는 약속에 의해 추진되었다. 그러나 마이크로소프트 사례는 이러한 혜택이 정부 구매자나 감독 기관에게 즉시 드러나지 않는 숨겨진 보안 비용을 동반할 수 있음을 보여준다.

이 상황은 또한 현행 정부 감독 체계의 적절성에 대한 의문을 제기한다. 호송 시스템이 거의 10년간 운영되어 왔음에도 불구하고, 국방부 고위 관계자들조차 그 존재를 알지 못했던 것으로 보인다. 이는 정부 기관들이 기술 공급업체들의 관행을 이해하고 감독하는 방식에 상당한 공백이 존재함을 시사한다.

정부가 마이크로소프트 지원 관련 폭로의 파장을 헤쳐나가는 가운데, 글로벌 기술 시장에서 운영되는 현실적 제약과 보안 요구사항 사이의 균형을 어떻게 맞출지에 대한 근본적인 의문은 여전히 남아 있다. 디지털 에스코트 시스템은 이 난제를 해결하려는 한 시도를 보여주었으나, 그 명백한 실패는 보다 강력한 접근법이 필요할 수 있음을 시사한다.

이 사건은 핵심 기술 기능에 대한 외국인 인력 의존도를 낮추기 위한 정부의 광범위한 노력을 가속화할 수 있으나, 이러한 전환에는 상당한 비용과 기술적 어려움이 따를 것으로 보인다. 복잡한 정부 IT 요구사항을 처리할 수 있는 충분한 국내 기술 역량을 구축하는 것은 지속적인 투자와 정책적 관심이 필요한 중대한 과제이다.

마이크로소프트 사건은 정부 기술 계약에서 투명성의 중요성을 부각시킨다. 이처럼 중대한 보안 조치가 거의 10년 동안 대중의 인식 없이 운영되었다는 사실은 현대 기술 서비스의 복잡한 현실에 비추어 현재의 공개 요건이 불충분할 수 있음을 시사한다.

마이크로소프트가 미국 정부 시스템 지원을 위해 중국인 엔지니어를 활용한 사례는 핵심 기술 인프라에서 보안보다 효율성을 우선시했을 때 발생하는 의도치 않은 결과를 보여주는 사례 연구이다. 해당 기업의 디지털 에스코트 시스템은 연방 보안 요건의 문언상 요구사항을 충족했을지 모르나, 정교한 적대 세력이 악용할 수 있는 취약점을 생성함으로써 그 취지를 위반한 것으로 보인다.

마이크로소프트, 의회 및 행정부의 신속한 대응은 변화하는 지정학적 현실과 사이버 위협을 고려할 때 현행 체제가 지속 불가능하다는 점을 인식하고 있음을 시사한다. 그러나 정부 IT 역량을 유지하면서 이러한 시스템을 교체하는 과제는 신중한 계획과 상당한 자원을 필요로 할 것이다.

미국이 중국과 기술 및 사이버 역량 경쟁을 지속하는 가운데, 마이크로소프트의 지원 사실이 드러난 것은 핵심 시스템 설계 시 보안을 사후 고려사항으로 취급해서는 안 된다는 점을 뼈아프게 상기시켜 준다. 사이버보안을 소홀히 할 경우 발생하는 비용—데이터 유출, 국가 안보 훼손, 공공 신뢰 상실 등으로 측정되든—은 공급망 보안 요건을 소홀히 함으로써 얻을 수 있는 단기적 절감 효과를 훨씬 능가한다.

이 사태의 최종 결론은 점점 더 복잡해지는 글로벌 시장에서 정부가 기술 공급업체 감독 및 보안 요구사항을 어떻게 접근할지에 대한 중요한 선례를 마련할 가능성이 높다. 미국의 디지털 인프라 무결성은 이러한 결정이 올바르게 내려지는 데 달려 있으므로, 그 중요성은 그 어느 때보다 크다.