- 마이크로소프트, 저렴한 인건비 찾아 중국인 다수 고용
- 이들 관리하는 美 '디지털 에스코트', 해당 기술 잘 몰라

 

마이크로소프트가 10년 동안 미국인 디지털 에스코트의 감독 아래 중국인 엔지니어를 미국 국방부 클라우드 시스템 관리에 투입했다가 드러나 큰 문제가 됐다. 미국 국방부의 민감 정보가 중국인에게 노출된 것이다./연합 
마이크로소프트가 10년 동안 미국인 디지털 에스코트의 감독 아래 중국인 엔지니어를 미국 국방부 클라우드 시스템 관리에 투입했다가 드러나 큰 문제가 됐다. 미국 국방부의 민감 정보가 중국인에게 노출된 것이다./연합 

미국에 대한 중국과 북한 등의 사이버 테러가 기승을 부리고 있다. 미국 국가정보국장실(ODI)은 중국을 "미국 정부, 민간 부문, 그리고 중요 인프라 네트워크에 가장 적극적이고 지속적인 사이버 위협"으로 규정했다. 지난2023년 중국 해커들이 미국 고위 정부 관리들의 클라우드 기반 메일함에 침투해 상무부 장관, 주중 미국대사, 그리고 국가 안보 관련 업무 담당자들의 데이터와 이메일을 대량으로 절취해 간 사건이 대표적이다. 

이 가운데 마이크로소프트가 중국 엔지니어들에게 미국 국방부 관련 업무를 맡겼다가 드러나 보안상 큰 문제가 됐다. 결국 미국 상원의원까지 나서 외국인의 미국 국방부 컴퓨터 접속을 법률로 막아야 한다고 하기에 이르렀다.

미국의 비영리 언론 프로퍼블리카의 최근 보도에 따르면 “마이크로소프트가 미국 국방부 클라우드 시스템을 유지ㆍ 관리하기 위해 중국 엔지니어를 ‘디지털 에스코트’라는 미국인들의 감독 하에 투입해 왔으며, 이로 인해 미국의 가장 민감한 자료가 중국 해커들에게 노출된 것으로 드러났다.

마이크로소프트의 방식은 보안 허가를 받은 미국인 디지털 에스코트가 중국 엔지니어의 작업을 감독하며, 간첩 및 사보타지 행위를 차단하는 것이었다. 하지만 프로퍼블리카의 보도에 따르면 이들 디지털 에스코트들은 중국 엔지니어들에 비해 컴퓨터 지식이 부족한 사람들이 많았다. 심지어 일부는 프로그래밍 경험이 없는 인원들도 있었다.

디지털 에스코트들의 임금은 최저임금보다 약간 높은 정도였다. 이런 방식은 약 10년이나 시행돼 왔지만 마이크로소프트의 고객인 국방부는 이에 대해 전혀 보고받은 바가 없었다. 

미국 국방부는 가장 민감한 데이터를 다루는 모든 사람은 미국 시민권자 또는 영주권자여야 한다고 규정하고 있다. 즉 외국인은 그런 데이터에 접근할 수 없다. 그러나 마이크로소프트는 미국 외에도 전 세계에 인건비 저렴한 인력을 많이 갖고 있기 때문에 이들을 최대한 활용, 최저 입찰가로 국방부 클라우드 시스템 유지ㆍ 관리 계약을 따내기 위해 일종의 편법인 디지털 에스코트 시스템을 개발 및 적용한 것이다. 

문제는 디지털 에스코트들이 컴퓨터 지식이 부족하다는 점이다. 따라서 중국 엔지니어가 악성 코드가 들어간 컴퓨터 명령어를 디지털 에스코트에게 주며 이것을 미국 국방부 컴퓨터 시스템에 입력하라고 해도 디지털 에스코트가 걸러내기 어렵다.

디지털 에스코트의 감독을 받는 중국 엔지니어들이 미국 정부를 상대로 사이버 공격을 감행한 적이 있는지는 불명이다. 하지만 일각에서는 이것이 ”지난 몇 년간 미국 정부가 당해온 수 많은 사이버 공격의 원인 중 하나가 아닌가“ 하는 의혹을 제기하고 있다.

마이크로소프트 사내에서도 디지털 에스코트 시스템이 근본적으로 위험하다며 문제를 제기했지만, 회사는 이를 일축하고 최근까지 사용했다. 또한 국방부 뿐 아니라 법무부, 재무부, 상무부 등 다른 정부 기관의 클라우드 시스템 역시 디지털 에스코트로 관리해 왔다. 

이러한 보도를 접한 미국 의회 의원들과 도널드 트럼프 행정부는 마이크로소프트의 사이버 보안 관행에 의문을 제기하고, 이것이 국가 안보에 잠재적 위협이라고 밝혔다. 피트 헤그세스 국방장관은 최근 사회관계망서비스 X(옛 트위터)에 올린 글에서 "중국을 포함한 모든 외국인 엔지니어가 국방부 시스템의 유지ㆍ 관리에 참여해서는 안 된다"고 밝혔다.

또한 상원 정보위원회 위원장 톰 코튼(공화당, 아칸소 주) 의원은 헤그세스 장관에게 지난 6일 편지를 보내 외국인이 더 이상 국방부의 보안 시스템에 접근할 수 없도록 현행 국방부 정책을 즉각 바꿔야 한다고 촉구했다. 이를 위해 그는 외국인의 접근을 막는 2025 회계연도 국방수권법 개정안도 발의했다.

코튼 의원은 적대 세력의 위협이 커짐에 따라 국방부의 사이버 보안을 강화해야 할 필요성을 반복해서 강조했다. 그는 지난 4일 인텔 이사회 의장인 프랭크 이어리에게 서한을 보내 지난 3월 인텔 CEO로 취임한 립부 탄 인텔 CEO가 수백 개의 중국 기술 기업에 투자한 것에 대한 우려를 제기했다. 그중 8개는 중국군과 관련이 있는 것으로 알려졌기 때문이다./이동훈 기자 ldh@sandtimes.co.kr

 

저작권자 © 샌드타임즈 무단전재 및 재배포 금지