by Wizard

미국 국방부 시스템, 중국 엔지니어 손에? 마이크로소프트 계약 논란 심층 분석

최근 미국-중국 간 긴장이 고조되는 가운데, 마이크로소프트가 미국 국방부의 컴퓨터 시스템 유지 보수를 중국 엔지니어들에게 맡기고 있다는 충격적인 보도가 나왔습니다. ProPublica의 보도에 따르면, 이 계약은 10년 가까이 지속되었으며, "디지털 에스코트"라는 미국인 직원이 중국 엔지니어를 감독하는 방식으로 이루어지고 있습니다. 하지만 과연 이 방식이 안전할까요?

디지털 에스코트, 허술한 보안의 구멍?

디지털 에스코트는 중국 엔지니어를 감독하며 보안을 유지하는 역할을 합니다. 하지만 ProPublica는 에스코트들이 업무를 효과적으로 감시할 수 있는 기술적 능력이 부족하다고 지적합니다. 실제로 한 에스코트는 "그들이 악의적인 행동을 하지 않기를 바라지만, 실제로 무엇을 하는지 알 수 없다"고 밝혔습니다. 숙련도 부족은 중국 엔지니어들이 잠재적으로 악용할 수 있는 보안 허점을 만들 수 있습니다.

미국 정보 당국의 경고

미국 국가정보국장실(ODNI)은 이미 중국을 "미국 정부 및 민간 부문 네트워크에 대한 가장 광범위하고 활동적이며 지속적인 사이버 스파이 위협"으로 지목했습니다. 2025년 정보 위협 평가에서는 "중국이 미국 이익을 전 세계적으로 위협할 수 있는 가장 강력한 행위자"라고 강조했습니다. 이러한 상황에서 중국 엔지니어에게 미국 정부 시스템 접근 권한을 부여하는 것은 우려스러운 결정입니다.

마이크로소프트의 해명, 과연 충분할까?

마이크로소프트는 CSO의 논평 요청에 즉각 응답하지 않았지만, ProPublica에 "에스코트 모델에 대한 세부 정보를 연방 정부에 공개했다"고 밝혔습니다. 또한, 글로벌 직원들은 "고객 데이터 또는 고객 시스템에 직접 접근할 수 없으며", 에스코트들이 "적절한 허가와 교육을 통해 직접 지원을 제공한다"고 주장했습니다. 그러나 ProPublica는 현장 직원들이 이러한 보호 조치가 불충분하다고 마이크로소프트에 알렸다고 보도했습니다.

계약 업체의 구인 공고, 드러난 현실

계약 업체인 Insight Global의 "DoD Secret Cleared Escort" 구인 공고는 디지털 에스코트의 업무 내용을 보여줍니다. 시급 18~28달러에 의료 보험을 제공하며, 에스코트는 "서비스의 최전선" 역할을 수행하고, 엔지니어의 지시를 받아 명령을 실행하고 결과를 공유합니다. 이러한 활동에는 Exchange Server 유지 보수, Active Directory 관리, SQL 데이터베이스 작업, Hyper-V를 사용한 가상 머신 관리, 네트워크 관리 등이 포함됩니다. 이 공고는 감독 대상 노동자의 국적에 대해서는 언급하지 않습니다.

민감한 데이터 보호, 여전히 숙제

외국 엔지니어들은 연방 클라우드에 대한 자세한 정보에 접근할 수 있으며, 이는 해커에게 악용될 수 있습니다. 디지털 에스코트의 기술 부족은 모든 의심스러운 활동을 포착하는 데 어려움을 야기합니다. 미국 정부와 마이크로소프트는 민감한 데이터 보호를 위해 더욱 강력하고 투명한 보안 시스템을 구축해야 합니다. 이번 사건은 미국 국방부의 IT 시스템 보안에 대한 심각한 우려를 제기하며, 재검토가 시급합니다.