미국 정부가 마이크로소프트 클라우드에 '쓰레기 더미'라 했다

미국 연방정부의 사이버보안 평가팀은 보고서를 이렇게 마무리했다. "이 패키지는 쓰레기 더미다." 공식 문서에 담긴 표현이었다.

무슨 일이 있었나

2024년 말, 미국 연방정부의 사이버보안 평가 기관은 마이크로소프트의 주요 클라우드 컴퓨팅 서비스를 심사했다. 결과는 혹독했다. 내부 보고서에는 마이크로소프트가 "적절하고 상세한 보안 문서를 제공하지 않았다"고 명시됐다. 평가팀은 결국 "시스템의 전반적인 보안 상태를 평가할 자신이 없다"는 결론에 도달했다. 미국의 탐사보도 매체 ProPublica가 이 내부 보고서를 입수해 공개했다.

단순히 점수가 낮은 게 아니다. 평가 자체가 불가능했다는 뜻이다. 문서가 없으니 무엇이 안전하고 무엇이 위험한지 판단할 근거가 없었던 것이다.

왜 이게 심각한가

마이크로소프트의 클라우드 서비스, 특히 Azure와 Microsoft 365는 미국 연방정부 기관들이 광범위하게 사용하는 인프라다. 국방부, 보건부, 교육부 등 민감한 데이터를 다루는 기관들이 포함된다. 보안 문서가 부실하다는 건 단순한 행정 실수가 아니다. 어떤 취약점이 있는지, 해킹 시도가 있을 때 어떻게 대응해야 하는지, 데이터가 어디에 저장되는지 — 이 모든 것을 파악할 수 없다는 뜻이기 때문이다.

타이밍도 예사롭지 않다. 이 평가가 이루어진 2024년 말은 마이크로소프트가 중국 해킹 그룹 Salt Typhoon에 의해 미국 고위 관리들의 이메일이 침해된 사건의 여파가 채 가시지 않은 시점이었다. 미국 상원 청문회에서 마이크로소프트의 보안 문화가 "부적절하다"는 비판이 쏟아진 직후였다.

광고

광고주 모집

[email protected]

광고

이해관계자들의 엇갈린 반응

미국 정부 입장에서 이번 보고서는 단순한 경고를 넘어선다. 클라우드 서비스 제공업체에 대한 의존도가 높아질수록, 그 업체의 보안 투명성은 국가 안보 문제가 된다. 평가팀이 "자신이 없다"고 공식 문서에 적었다는 건, 이미 신뢰가 무너졌다는 신호다.

기업 고객 입장은 더 복잡하다. 삼성, SK, 현대 등 국내 대기업들도 Azure 기반 서비스를 운영하고 있다. 국내 금융기관과 공공기관도 마찬가지다. 미국 정부조차 보안 실태를 파악하지 못한 클라우드 위에 자사의 핵심 데이터를 올려놓고 있다는 사실을 어떻게 받아들여야 할까.

마이크로소프트 입장에서는 반론의 여지가 있다. 클라우드 서비스의 보안 문서는 방대하고 복잡하며, 정부 평가팀의 요구 수준이 비현실적으로 높을 수 있다는 주장도 가능하다. 실제로 마이크로소프트는 2023년 '시큐어 퓨처 이니셔티브(Secure Future Initiative)'를 출범시키며 보안 강화를 공언한 바 있다. 하지만 그 이니셔티브가 발표된 이후에도 이런 평가가 나왔다는 점이 문제다.

한국에 미치는 영향

국내에서도 클라우드 전환은 빠르게 진행 중이다. 행정안전부는 공공 클라우드 전환 정책을 추진하고 있고, 네이버클라우드, KT클라우드 같은 국내 사업자들과 함께 마이크로소프트, AWS, 구글 같은 글로벌 사업자들도 공공 시장에 깊이 들어와 있다. 이번 사건은 클라우드 서비스 선택 기준에 '보안 문서의 투명성'이라는 항목을 추가해야 한다는 신호로 읽힌다.

국내 기업들이 클라우드 사업자를 선택할 때 주로 보는 건 가격, 성능, 서비스 안정성이다. 보안 문서를 직접 요청하고 검토하는 기업은 드물다. 미국 정부조차 그걸 제대로 받지 못했다면, 민간 기업은 어떨까.