미국 클라우드 지원 주권은 정부, 국방부 및 항공우주 규정 준수를 위해 외국 국적자가 없음을 보장합니다.
미국 클라우드 지원 주권은 정부, 국방부 및 항공우주 분야의 규정 준수를 위해 외국 국적자의 개입이 없음을 보장합니다.
미국 클라우드에서의 주권 지원은 연방, 주, 지방 정부, 국방부 및 항공우주 규정 준수를 위한 모든 미국 시민 대상 마이크로소프트 지원을 보장합니다. 주권 지원은 모든 MSFT 기술을 지원하면서 보안 IT 시스템에 외국인의 접근을 차단함으로써 불필요한 위험을 방지합니다.
대상: 공공 부문 계약 및 조달 | 정부, 국방부, 항공우주 IT 임원진
불필요한 위험
마이크로소프트 프리미어/통합 지원 서비스의 상당 부분은 아웃소싱되어 외국인에 의해 제공됩니다. 많은 연방 기관, 국방 계약업체 및 항공우주 기업에게 이는 데이터 유출, 랜섬웨어 및 간첩 활동과 같은 불필요한 위험을 초래합니다.
외국인을 미국의 기술 지원 공급망에 투입하는 것은 무책임한 행위이며, 우리의 지적 재산권과 국가 안보에 불필요한 위험을 초래합니다.
— 로버트 E. 라미어 4세, 설립자, US CLOUD
마이크로소프트는 연방 클라우드 고객사의 IT 프로젝트를 위해 초고가 요금으로 제공되는 제한된 수의 보안 승인 지정 지원 엔지니어(DSE) 풀을 보유하고 있습니다. 그러나 MSFT는 모든 프리미어/통합 지원 티켓이 미국 시민에 의해 처리될 것이라고 계약상 약속하지 않아 많은 기관과 계약업체가 규정 미준수 상태에 놓이게 됩니다. 다행히도, 이러한 기관들은 이제 MSFT 지원 비용을 절감하고 US Cloud를 통해 우수한 지원을 받을 수 있는 능력을 갖추게 되었습니다.
신뢰성 훼손
정부, 국방부 또는 항공우주 IT 시스템의 경우 보안은 최우선 관심사입니다.
앞서 언급한 바와 같이, 마이크로소프트는 외국 국적자가 정부 고객사에 마이크로소프트 지원 서비스를 제공하지 않을 것이라고 보장할 수 없습니다. 2019년 12월, 대규모 마이크로소프트 지원 데이터 유출 사고 으로 인해 수천 명의 마이크로소프트 프리미어 지원 고객의 시스템 정보, 로그 및 티켓이 노출되었습니다. 이 데이터 유출로 수집된 시스템 정보 일부가 2021년 발생한 여러 주요 마이크로소프트 해킹 사건의 성공률을 높였을 가능성이 큽니다.
마이크로소프트가 프리미어/통합 지원 서비스의 상당 부분을 해외에 아웃소싱하고 있다는 점을 고려하면, 프리미어 지원 데이터 유출 사고는 마이크로소프트 본사가 아닌 해외 아웃소싱 파트너사에 의해 발생한 것으로 보입니다. 마이크로소프트 프리미어 지원 데이터 유출 사고에서 얻은 세 가지 주요 교훈은 다음과 같습니다:
- 침해된 지원 데이터베이스는 암호화되지 않았습니다(마이크로소프트 전문가 같지 않네요).
- 다섯 개의 지원 데이터베이스는 멀티 테넌트 Azure 공용 클라우드에 위치해 있었습니다(지역은 공개되지 않음; 미국 외 지역일 수 있음?).
- 지원 데이터베이스는 다년간에 걸친 범위를 제한하기 위해 정리되지 않았습니다. (2005-2019년 노출)
지원 우위
국방부는 육상, 공중, 해상, 우주 및 사이버 영역에서의 군사적 우위에 대한 기대를 공식적으로 표명했습니다. 합동 전투원 클라우드 역량(JWCC) 프로그램은 국방부가 시스템을 신속히 현대화하고 임무 성공을 위해 클라우드, 머신러닝 및 인공지능을 활용할 수 있도록 할 것입니다.
국방부는 US Cloud의 IT 지원 주권성을 활용하여 JWCC 및 기타 국방부 활성 보안 환경에 대한 마이크로소프트 지원 공급망으로 군사적 우위를 확장할 수 있습니다. US Cloud는 계약상 모든 암호화된 지원 로그 및 티켓이 미국 내에 보관되며, 헬프데스크 티켓을 처리하는 모든 지원 인력이 엄격한 심사를 거친 미국 시민임을 보장할 것입니다.
모든 마이크로소프트 기술에 대한 US Cloud Premier 지원은 MSFT 대비 4배 빠른 응답 시간을 제공하며 업계 유일의 재정적 보증이 적용된 SLA를 제공합니다. 모든 연방, 주 및 지방 정부 고객은 상당한 예산 절감 효과와 더불어 우수한 지원 혜택을 누릴 수 있습니다. 미국 국무부는 38%를 절감했습니다. 미국 노동부는 42%를 절감했습니다. 환경보호청은US Cloud의 주권적 지원을 통해 향후 5년간 53%의 비용 절감과 750만 달러를 절약했습니다.
Azure 정부 클라우드
마이크로소프트는 국방부의 데이터 주권 요구사항을 충족시키기 위해 노력하고 있으며, 미국 연방 클라우드 데이터 센터에는 심사된 미국 시민만 근무하도록 하고 있습니다. 그러나 국방부 기관이 Office 365, Azure 또는 기타 마이크로소프트 관련 문제로 전화를 걸었을 때, 상대방이 외국인일 가능성을 마이크로소프트는 보장하지 않습니다.
정부용 Microsoft Azure 클라우드 도입 프레임워크
US Cloud는 국방부, 연방 정부, 주 정부, 지방 정부 및 항공우주 기관에 서비스를 제공하는 Azure for Gov의 유지보수 단계에서 핵심적인 역할을 수행합니다.
마이크로소프트 프리미어(통합) 지원에서 다루는 대부분의 문제는 상당히 일상적이며 기관 운영에 치명적이지 않지만, 민감한 정보가 지원 담당자에게 노출될 수 있는 사고가 발생할 수 있으며 실제로 발생할 것입니다.
외국인이 마이크로소프트 애저 정부 클라우드 지원 티켓을 처리하는 과정에서 불필요한 위험을 감수하게 하여 회복 불가능한 피해를 초래할 수 있다는 것은 무책임한 일입니다.
안전 지원
마이크로소프트 프리미어(통합) 지원 서비스는 자체 팀을 보강하기 위해 제3자 공급업체(위프로, 타타 등 포함)를 점점 더 많이 활용하고 있습니다. 국방부, 연방 정부, 정보 기관, 주/지방 정부 및 항공우주 기관들은 계약상 마이크로소프트가 외국 국적자가 지원 라인에 응답하거나 티켓을 처리하지 않을 것이라고 보장하지 않는다는 사실을 확인했습니다. 많은 기관들이 임무, 구성원 및 예산을 더 잘 보호하기 위해 마이크로소프트에서 미국 클라우드(US Cloud)로 전환하고 있습니다.
2019년 4월, 인도 정보기술(IT) 아웃소싱 및 마이크로소프트 프리미어(통합) 지원 제공업체 위프로(Wipro, NYSE: WIT)가 해킹당했다. 이 소식은 크렙스 온 시큐리티(Krebs on Security)가 최초 보도했다. 관련 소식통에 따르면, 2019년 3월 원격 접속 도구 '스크린커넥트(ScreenConnect)'가 Wipro 시스템 침해에 사용되었으며, 이후 이를 발판으로 미국 및 기타 국가의 Wipro 고객사들을 공격한 것으로 알려졌다. 공격의 근원은 아직 밝혀지지 않았으나, Wipro 데이터 유출 사건이 보도된 바로 그 달에 흥미로운 거래가 발생했다.
외국 국가 위험 – 2019년 4월 4일, 인도 정부는 위프로(Wipro)의 '적국 주식' 약 1억 6,600만 달러 상당을 매각했다. 비즈니스 스탠다드(The Business Standard)의 이 기사에 따르면, 적국 주식은 원래 파키스탄이나 중국으로 이주하여 더 이상 인도 시민이 아닌 사람들이 보유했던 주식이기 때문에 그렇게 불린다.
"인도 적국 재산 관리인이 보유한 총 4,440만 주가 뭄바이 증권거래소에서 주당 259루피에 매각됐다"고 비즈니스 스탠다드가 보도했다. "매수자는 국영 기업인 인도생명보험공사(LIC), 뉴인디아어슈어런스, 제너럴인슈어런스 LLC였다."
외국 국가 주도의 공격 – 2019년 6월 발표된 클라우드 호퍼(Cloud Hopper) 공격은 타타(Tata)를 포함한 여러 주요 공급업체를 침해했습니다. 타타는 마이크로소프트 프리미어(통합) 지원 서비스의 일반적인 제3자 인력 확장 업체입니다. 로이터 통신이 최초 보도했으며, 타타는 논평을 거부했습니다. 현재 미국 기소가 진행 중이며, 중국 국가안전부가 공격의 배후로 의심받고 있습니다.
로이터 소식통에 따르면, 해당 공격은 2014년부터 2017년까지 지속되었으며 글로벌 IT 아웃소싱 업체들을 대상으로 고객사의 영업비밀을 훔치는 것을 유일한 목적으로 삼았다. 우연히도 2014년 타타는 미국에서 에픽 시스템즈로부터 지적재산권 침해로 소송을 당해 4억 2천만 달러의 배상 판결을 받았다.
JEDI는 JWCC로 대체됨
클라우드 컴퓨팅 프로젝트를 둘러싼 갈등은 아직 완전히 끝나지 않은 것으로 보인다. 국방부는 보도자료를 통해 여전히 기업 규모 클라우드 역량이 필요하다고 밝히며 '합동 전투원 클라우드 역량(JWCC)'이라는 새로운 다중 공급업체 계약을 발표했다. 해당 기관은 아마존과 마이크로소프트 양사로부터 계약 제안서를 요청할 계획이라고 밝히며, 이들이 요구사항을 충족할 수 있는 유일한 클라우드 서비스 제공업체라고 덧붙였다. 그러나 다른 업체들도 사양을 충족할 수 있는지 확인하기 위해 시장 조사를 계속할 것이라고 밝혔다.
국방부 정보기술 담당 차관보 대행 존 셔먼은 "이번 작업의 주요 동인은 임무 수행상 필요성이었습니다"라고 말했다.
국방부는 신규 계약을 위한 클라우드 공급업체가 세 가지기밀 등급 (비기밀, 비밀, 최고기밀) 모두를 처리할 수 있어야 하며, 전 세계적으로 이용 가능하고 최상위 수준의 사이버 보안 통제 기능을 갖추어야 하는 등 여러 기준을 충족해야 한다고 밝혔다.
해당 기관은 신규 계약 규모가 수십억 달러에 달할 것으로 예상하지만, 최대 규모는 아직 확정 중이라고 밝혔다. 계약 기간은 최대 5년으로, 3년의 기본 이행 기간과 2회의 1년 연장 옵션 기간으로 구성될 예정이다.
펜타곤은 JWCC가 "장기적 접근 방식의 가교 역할을 할 것"으로 기대한다고 셔먼은 말했다. 그는 국방부가 2022년 4월경 계약을 통해 직접 보상을 시행하고 2025년 초부터 더 광범위한 경쟁을 개시할 계획이라고 밝혔다.
JWCC 외교부
해외 업체에 아웃소싱된 마이크로소프트 지원팀은 일반적으로 이메일에서 V-대시(V-)로 식별됩니다. 프리미어/통합 지원 티켓을 처리하는 V-대시 마이크로소프트 이메일을 확인하신다면, 귀사의 데이터, 티켓 및 지원 담당자가 미국 외 지역에 위치할 가능성이 높으며, 이는 귀사의 규정 준수 상태를 위태롭게 할 수 있습니다.
V-대시: 마이크로소프트와 협력하는 공급업체로, "V-" 접두사가 붙은 임시 마이크로소프트 이메일 주소를 보유할 수도 있습니다. "그린 배지"이라고도 불리며, 이는 회사 캠퍼스 내 활동 시 마이크로소프트에서 발급하는 물리적 배지의 색상에서 유래함.
JWCC는 마이크로소프트의 아웃소싱 지원이 조직의 사명까지 위협할 수 있는 좋은 사례입니다.
시나리오 1 최소 영향: 마이크로소프트의 제3자 해외 아웃소싱 업체를 통해 근무하며 국방부와의 마이크로소프트 프리미어(통합) 지원 계약을 통해 합동 전투원 클라우드 역량(JWCC) 프로그램을 지원하는 외국 국적 직원이 "임무 핵심" 중대성 지원 티켓을 접수한 후 고의로 해결 과정을 수 시간 또는 수 일간 지연시킨다. 최소한 국방부의 작전 속도를 저하시키며, 최악의 경우 현역 전투병력의 임무 수행을 위협한다. 이후 해당 '마이크로소프트 직원'은 자신의 실제 고용국인 국가 기관에 근본 원인 분석(RCA) 결과를 전달하여 향후 JWCC에 대한 사이버 공격의 기반을 마련한다.
시나리오 2 중간 영향: 마이크로소프트의 제3자 해외 아웃소싱 업체를 통해 근무하는 외국 국적자가 국방부 시스템에 대한 원격 접근 권한이 필요하다고 주장하며 문제 해결을 위해 권한을 부여받는다. 이후 가상 신분증을 소지한 이 '마이크로소프트 직원'은 해당 접근 권한을 이용해 악성코드를 심어 환경을 침해하거나, 민감한 데이터를 실제 고용국인 국가로 유출한다.
시나리오 3 심각한 영향: 마이크로소프트의 제3자 해외 아웃소싱 업체를 통해 근무하는 외국 국적자가 JWCC 시스템에 원격 접근 권한을 획득했으며, 점진적이고 은밀하게 해당 시스템의 장애 조치 모델을 분석하고 있다. 이후 v-card를 보유한 이 "마이크로소프트 직원"은 해당 모델을 활용하여 잠복 상태의 탐지되지 않은 악성코드를 활성화할 준비를 마쳤으며, 이를 통해 인증 정보를 탈취하고 JWCC의 일부 또는 전체를 마비시켜 국방부가 미국을 대상으로 한 대규모 조직적 사이버 또는 군사 공격을 탐지하거나 대응하는 능력을 제한할 수 있습니다.
예산 보존
국방부, 연방정부, 정보기관, 주/지방 정부 및 항공우주 기관들은 모두 기술적 부채와 레거시 시스템에 시달리고 있습니다. 이들은 임무를 추진하기 위해 현대화를 이루고 신기술에 투자해야 합니다.
미국 클라우드 서비스는 첫해에 마이크로소프트 프리미어(통합) 지원 비용의 30~50%를 예산으로 즉시 환원합니다. 마이크로소프트 통합 지원은 주로 MSFT 클라우드 사용량 증가에 의해 주도되므로, 5년 예측을 통해 미국 클라우드 서비스로 인한 추가 절감 효과가 더욱 두드러지게 나타납니다.
일반적으로 2~5년 차 절감 효과는 250%를 초과합니다. 대규모 조직의 경우 5년간 300% 이상의 절감 효과를 달성하는 것은 흔한 일이며, 수백만 달러의 자금이 확보되어 혁신에 투자하고 미션을 추진하는 데 활용됩니다.
계약 수단
미국 정부용 클라우드 프리미어 지원은 다음 기관의 요구를 충족합니다: 연방 정부, 주 정부, 지방 정부, 항공우주, 의료/병원, 교육/학교 및 연구소.
전자 조달: SAP Ariba, GSA, Exostar
미국 클라우드 비즈니스 프로필: SAM.gov에 등록된 인증 중소기업, MPIN 86137652R, SBA 사무소 코드 0768, DUNS 번호 78-462-6355, NAICS 541511, PSC AJ26, CAGE 4XKR3, NIGP 920-45-84, 국가 189, 의회 선거구 02, 대도시 통계 지역 7040
계약 차량: NASPO, GSA, GWAC, IDIQ
신원 조회: DD254, DHS E-Verify
