마이크로소프트, 적절한 보안 인가(clearance)를 받은 전문 인력에 부족함이 있는가?
마이크로소프트(Microsoft)는 프로퍼블리카(ProPublica)의 보도 이후, 중국에 기반을 둔 엔지니어들이 미 국방부(DoD) 컴퓨터 시스템에 접근하여 작업하는 것을 더 이상 허용하지 않는다고 밝혔습니다. 테크 크런치(Tech Crunch)에 따르면, 이전 마이크로소프트의 시스템은 적절한 보안 인가(security clearances)를 가진 미국 직원들, 즉 '디지털 에스코트'의 감시를 통해 해외 엔지니어들의 업무 과정을 관리해 왔습니다. 하지만 일부 미국 시민권자들은 자신이 감시하는 직원이 정규 업무를 수행하는 것인지, 아니면 백도어(backdoor)를 심고 있는 것인지 판별할 충분한 지식을 갖추지 못했다는 지적이 나왔습니다.
한 디지털 에스코트는 프로퍼블리카와의 인터뷰에서 "그들의 행위가 악의적인 것인지 신뢰할 수는 있지만, 실제로 알 수는 없습니다"라고 말했습니다. 마이크로소프트는 해당 관행을 연방 정부에 공개했다고 주장했으나, 과거 및 현재의 당국은 이 사실을 전혀 알지 못했던 것으로 드러났습니다. 피트 헤그세스(Pete Hegseth) 국방장관은 X(구 트위터)를 통해 "외국 엔지니어들은 — 물론 중국 국적의 엔지니어들도 포함하여 — 어떠한 국가 출신이든 DoD 시스템을 유지하거나 접근하는 것을 결코 허용해서는 안 된다"고 강하게 반발했습니다.
회사에 대한 비판 여파로, 마이크로소프트의 최고 커뮤니케이션 책임자(Chief Communications Officer)인 프랭크 X. 쇼(Frank X. Shaw)는 X에 글을 올려 중국 기반 인력이 DoD 프로젝트에 참여하는 것이 중단되었음을 강조했습니다.
한편, Nvidia는 중국의 군부 조직이 미국 기술에 의존하는 것은 '비상식적'이라고 지적했습니다.
쇼는 "이번 주 초에 제기된 미국 감독 하의 해외 엔지니어 관련 우려에 대응하여, 마이크로소프트는 중국 기반 엔지니어링 팀이 DoD 정부 클라우드 및 관련 서비스에 기술 지원을 제공하지 않도록 미국 정부 고객을 위한 지원 방식에 변화를 주었습니다"라고 말했습니다. 이어 "우리는 국가 안보 파트너들과 협력하여 필요에 따라 보안 프로토콜을 평가하고 조정하는 것을 포함하여, 미국 정부에 가능한 가장 안전한 서비스를 제공하는 데 지속적으로 전념할 것입니다"라고 덧붙였습니다.
마이크로소프트 중국 인력이 실제로 스파이 행위를 했다는 증거는 현재까지 없습니다. 그러나 민감한 정부 컴퓨터 시스템에 외국 인력이나 계약자들이 근무하는 것은 우호적이든 적대적이든 정보 기관에 의해 악용되기 쉬운 환경입니다. 더욱이, '디지털 에스코트'가 비인가 인력을 감시하고 있었다고 알려졌음에도 불구하고, 에스코트 중 한 명이 입을 열었다는 사실 자체가 심각한 문제로 다뤄지고 있습니다. 마이크로소프트와 미국 정부 모두 자신들의 코앞에서 악성 코드(malware), 트로이 목마(trojan), 또는 시스템 취약점(vulnerability) 등이 설치되고 있다는 사실을 알지 못했을 가능성을 시사하기 때문입니다.
따라서 이번 조치 이후, DoD는 마이크로소프트 직원이 해외에서 접촉했던 모든 시스템을 철저히 점검하여 시스템에 보안상 손상이 발생한 부분이 없는지 확인해야 합니다. 결국, 가장 강력한 보안 체계라 할지라도 단 하나의 약한 연결고리로 인해 무너질 수 있기 때문입니다.
최신 뉴스, 분석, 리뷰를 받으려면 구글 뉴스에서 Tom's Hardware를 팔로우하십시오. 팔로우 버튼을 클릭하는 것을 잊지 마십시오.