META-X

디지털 에스코트의 허상, 미국 국방 클라우드 보안 논란: X 기자 / 기사승인 : 2025-07-29 09:00:00

마이크로소프트, 중국 인력 전면 배제 선언

마이크로소프트(Microsoft)가 국방부(DoD) 클라우드 시스템 유지보수에 중국 엔지니어를 활용해온 사실이 ProPublica의 보도로 드러나면서, 미국 내 사이버 보안 우려가 극에 달하고 있다.

미국 상원과 국방부는 즉각 진상 조사를 시작했으며, 마이크로소프트는 관련 업무에서 중국 엔지니어를 전면 배제하겠다고 밝혔다.

ProPublica 보도에 따르면, 마이크로소프트는 지난 10여 년간 미국 국방부의 민감한 클라우드 시스템 유지·관리를 중국 현지 엔지니어에게 맡기면서, 미국 시민(디지털 에스코트)이 현장을 감시하는 ‘감독자’로 동원해왔다. 이들은 보안 등급을 가진 미국 시민이지만, 대부분 IT 전문성은 부족하고 저임금의 계약직에 불과했다.

핵심은 이른바 ‘디지털 에스코트’라는 감시 체계가 실제로는 기술적 감시와 방어에 한계가 크다는 점이다. 복잡한 코드나 서버 관리, 해킹 탐지에 대한 전문 역량 없이 단순히 현장을 ‘지켜보는’ 역할만 하다 보니, 첨단 기술을 다루는 중국 엔지니어의 악의적 행동이나 해킹을 막을 실질적 수단이 없다는 비판이 이어졌다.

ProPublica는 실제로 디지털 에스코트 업무에 종사한 인력들이 “무슨 일이 벌어지고 있는지 진짜 알 수 없다”며 익명으로 불안을 토로했다고 전한다. 심지어 이 제도를 직접 설계했던 마이크로소프트 전직 엔지니어마저 “누군가 악성 스크립트를 실행해도 에스코트는 알아차릴 수 없다”고 인정했다.

이 시스템은 미국 정부의 ‘비분류 고위험 데이터(Impact Level 4·5)’ — 군사작전 지원 정보 등 — 관리에도 적용되어 왔으나, 국방부 IT 담당자들조차 이 같은 시스템의 존재를 제대로 파악하지 못했다. 미 국가안보국(NSA), CIA 등 정보기관 고위 관계자들 역시 ProPublica를 통해 이 제도를 처음 인지했다고 밝혔을 정도다.

논란이 확산되자, 미 상원 정보위원회 소속 톰 코튼(Tom Cotton) 의원은 피트 헤그세스 국방장관에게 공식 서한을 보내 “중국 등 외국 엔지니어가 국방 시스템 유지·관리에 참여하는 것을 즉시 금지할 것”을 촉구했다.

헤그세스 장관 역시 “어떤 국가 출신이든, 외국 엔지니어는 국방망에 접근하거나 유지·관리해서는 안 된다”고 단언했다.

논란이 확산되자, 마이크로소프트 측은 “이번 주 초 제기된 우려에 대응해, 미국 정부 고객 지원 시스템에서 중국 소재 엔지니어가 국방부 클라우드와 관련 서비스 지원을 전면 중단하도록 정책을 변경했다”고 발표했다. 이는 ProPublica 보도 이후 불거진 미 정부와 사회적 압력에 따른 신속한 조치다.

마이크로소프트는 “글로벌 엔지니어는 고객 데이터 및 시스템에 직접 접근하지 않으며, 디지털 에스코트는 특정 훈련과 보안 검증을 받은 인력”이라고 해명했으나, 감시 시스템의 실효성에 대한 의문은 해소되지 않았다.

사이버보안 전문가들은 이번 사태를 단순 해프닝이 아니라, 미국 및 전 세계 클라우드·공공 인프라의 구조적 위협 징후로 본다. 중국은 미국 정부·민간·핵심 인프라를 대상으로 세계에서 가장 집요한 사이버 공격을 감행하고 있으며, 2023년에도 미국 고위 관료 이메일이 대량 탈취되는 사건이 있었다.

특히, ‘에스코트 체계’는 원격 지원·글로벌 엔지니어링의 편의성에 기댄 공급망 보안의 허점을 드러냈다. 단순히 국가별 차단이나 인력 정책만으로 해결될 문제가 아니며, 클라우드 사업자-공공기관-감독기관 간 더 정교한 기술·관리·감시 체계가 필요함이 확인됐다.

마이크로소프트, AWS, 구글 등 빅테크가 미국 정부 클라우드 사업을 두고 치열한 경쟁을 벌이고 있는 가운데, 이슈는 미국뿐 아니라 전 세계적으로도 큰 파장을 낳고 있다. 각국 정부는 자국 핵심 인프라·데이터가 글로벌 IT 기업의 하청망과 해외 엔지니어에 의존하는 현실을 직시해야 하며, 공급망 보안과 내재화 전략, 그리고 외국 인력 통제의 새로운 기준을 마련해야 할 시점이다.

마이크로소프트 사태는 ‘디지털 감시’만으로 사이버보안이 담보되지 않음을 보여준다. 이제 보안의 본질은 단순 접근 차단이 아니라, 구조적 위험을 사전에 식별·차단하는 다층적 기술-조직적 방어에 있다. 공급망 리스크, 기술적 전문성 부족, 내부 통제 허점 등 새로운 시대의 위협을 인식하고, 민관 협력 하에 실질적 보안 수준을 높여야 할 때다.