AI 요약
2024년 말, 미 연방 위험 및 인증 관리 프로그램(FedRAMP)은 마이크로소프트의 클라우드 서비스인 GCC High에 대해 공식 보안 승인을 내렸습니다. 그러나 ProPublica가 입수한 내부 보고서에 따르면, 정부 보안 검토관들은 MS의 보안 문서가 극도로 부실하여 시스템의 전반적인 보안 태세를 신뢰할 수 없다고 결론지었습니다. 특히 검토팀 내에서는 MS의 보안 패키지를 "쓰레기 더미(a pile of shit)"라고 혹평할 정도로 문서화 및 안전성 검증 수준이 낮았음을 시사했습니다. 그럼에도 불구하고 FedRAMP는 각 부처에 '구매자 주의' 통보를 곁들이며 이례적으로 승인을 강행했습니다. 이는 클라우드 검증을 담당하는 제3자 업체가 평가 대상 기업으로부터 비용을 직접 지불받는 구조적 이해관계 충돌과, 과거 MS 취약점을 통한 러시아·중국 해커의 미 국립핵안보청(NNSA) 및 내각 인사 이메일 해킹 전력이 무시되었다는 비판을 불러일으키고 있습니다.
핵심 인사이트
- 내부 혹평: 정부 보안 전문가들은 보고서를 통해 MS의 보안 문서화가 상세하지 않아 시스템 보안을 평가할 신뢰가 부족하다고 명시했으며, 한 검토관은 이를 "a pile of shit"이라 표현함.
- 해킹 전력: MS 제품은 최근 3년간 러시아 해커의 국립핵안보청(NNSA) 데이터 절취와 중국 해커의 미 내각 장관급 인사를 포함한 고위 관료 이메일 침투 사건의 핵심 경로였음.
- 승인 자축: MS의 보안 아키텍트 리처드 웨이크먼(Richard Wakeman)은 이번 승인 직후 온라인 포럼에 레오나르도 디카프리오 밈과 함께 "BOOM SHAKA LAKA"라는 표현을 쓰며 성과를 과시함.
- 구조적 한계: 클라우드 기술을 검증하는 제3자 평가 기관이 연방 정부가 아닌, 평가 대상 기업인 마이크로소프트로부터 직접 고용되고 비용을 받는 구조가 지적됨.
주요 디테일
- GCC High의 목적: 이 서비스는 미 국가 안보와 관련된 가장 민감한 데이터를 처리하기 위해 설계된 전용 클라우드 서비스군임.
- FedRAMP의 이례적 조치: FedRAMP는 보안 우려를 해소하지 못한 상태에서 승인을 내주며, 서비스를 도입하는 각 정부 기관이 위험을 감수해야 한다는 취지의 통보를 포함시킴.
- 비즈니스 영향: 이번 보안 인증 획득은 MS가 수십억 달러 가치를 지닌 미국 정부 클라우드 비즈니스 제국을 더욱 확장하는 데 결정적인 디딤돌이 됨.
- 기술적 불확실성: 정부 전문가들은 클라우드 내 서버 간 데이터 이동 시 민감 정보가 어떻게 보호되는지에 대해 MS가 명확히 설명하지 못했다고 판단함.
- Cloud First 정책: 연방 정부의 클라우드 전환 가속화 정책이 보안성 검증보다 우선시되면서 나타난 부작용으로 분석됨.
향후 전망
- 보안 신뢰도 논란: 보안 전문가들의 경고를 무시한 승인인 만큼, 향후 실제 보안 사고 발생 시 FedRAMP 프로그램의 존립 근거와 신뢰성에 치명적인 타격이 예상됨.
- 시장 독점 심화: 정부의 공식 '보안 승인' 낙인을 획득함에 따라 경쟁사 대비 MS의 연방 정부 시장 점유율은 더욱 공고해질 것으로 보임.