마이크로소프트(Microsoft)가 자사 클라우드 서비스 ‘애저(Azure)’를 이용하는 미국 국방부 고객에 대해 중국 본토 엔지니어의 기술 지원을 전면 중단했다. 회사 측은 이번 결정을 통해 국가안보 및 사이버보안 리스크를 선제적으로 줄이겠다고 밝혔다.
2025년 7월 18일, CNBC 뉴스의 보도에 따르면, 마이크로소프트는 미 국방부(DoD)와 기타 정부기관이 사용하는 클라우드 시스템에 더 이상 중국 소재 엔지니어가 접근하지 못하도록 내부 프로세스를 긴급 수정했다. 프랭크 쇼(Frank Shaw) 최고커뮤니케이션책임자(CCO)는 같은 날 X(구 트위터) 계정을 통해 “미국 정부 고객 지원 과정에 중국 팀이 참여하지 않는다”고 재확인했다.
이번 조치는 탐사보도 매체 프로퍼블리카(ProPublica)가 미 국방부가 의존해 온 중국 소재 마이크로소프트 엔지니어 체계를 집중 조명한 직후 나왔다. 해당 보도는 ‘디지털 에스코트(digital escort)’로 불리는 감독 체계를 통해 미국 측 관리자들이 중국 엔지니어를 원격 관리하고 있으나, 관리자의 기술 수준이 오히려 엔지니어보다 떨어져 사이버 공격 취약점을 키울 수 있다고 지적했다.
변경 사항과 재무적 영향
마이크로소프트의 클라우드 부문 애저(Azure)는 현재 회사 전체 매출의 25% 이상을 차지하며, 구글 클라우드보다 크고 아마존 웹서비스(AWS)보다는 작다. 2025년 1분기 마이크로소프트 총매출 700억 달러 중 절반 이상이 미국 내 고객에서 발생했으며, 회사는 “정부 계약에서 상당한 매출을 올리고 있다”고 밝혔다.
2019년 마이크로소프트는 100억 달러 규모의 ‘JEDI’ 클라우드 계약을 따냈으나, 2021년 미 국방부가 해당 계약을 취소했다. 이후 2022년 12월, 국방부는 아마존·구글·오라클·마이크로소프트 등 4개 기업에 최대 90억 달러 규모의 새 클라우드 계약을 분산 발주했다.
‘디지털 에스코트’란 무엇인가?
‘디지털 에스코트’는 기술 인력 통제 모델로, 미국 내 보안 승인을 받은 관리자가 원격지(중국)의 엔지니어가 처리하는 클라우드 운영 업무를 실시간 모니터링·승인하는 방식을 가리킨다. 그러나 프로퍼블리카는 미국 관리자들이 중국 엔지니어보다 기술 지식이 부족해, 문제 발생 시 즉각 대응이 어렵다고 지적했다.
마이크로소프트는 당초 “해당 모델이 미국 정부 규정을 준수한다”고 밝혔지만, 이번에 중국 인력 배제라는 강수를 두면서 보안 수준을 한 단계 끌어올리겠다는 의지를 드러냈다.
시장 및 지정학적 파장
전문가들은 이번 결정이 미·중 기술 패권 경쟁 속에서 클라우드·AI 인력 운용 구조를 재편하려는 ‘신뢰 구축’ 시도라고 분석한다. 미국 정부가 ‘공급망 속 중국 리스크’를 예의 주시해온 만큼, 타 빅테크 기업도 유사한 점검에 나설 가능성이 있다.
또한 이번 조치는 클라우드 산업 전반의 보안 스탠더드를 강화하는 기폭제가 될 수 있다. 실제로 다국적 기업들은 국가별 데이터 주권·감독 규제에 맞춰 ‘현지 인력, 현지 데이터 센터’를 강조하는 추세다.
마이크로소프트는 “미국 정부에 가장 안전한 서비스를 계속 제공하겠다”며 “국가안보 파트너와 함께 보안 프로토콜을 지속적으로 평가·조정하겠다”고 밝혔다.
“우리는 미국 정부에 가장 안전한 서비스를 제공하기 위해 최선을 다하고 있으며, 필요 시 보안 프로토콜을 지속적으로 조정하겠다.” — 프랭크 쇼, 마이크로소프트 CCO
배경 지식: 애저와 정부 클라우드
애저는 전 세계 60개 이상의 리전을 통해 가상 서버·AI·데이터 분석·보안 서비스를 제공한다. 정부 클라우드의 경우, FedRAMP·DoD SRG 등 별도 인증 체계를 거쳐야 하며, 데이터 접근이 철저히 통제된다.
이번 인력 재편은 곧바로 FedRAMP 고도화 전략으로 이어질 전망이다. 마이크로소프트 내부에서는 “보안 강화를 통해 장기적으로 미국 정부·방산 부문 매출 의존도를 높일 수 있다”는 기대도 나온다.
전망
향후 미 국방부와 계약한 다른 클라우드·소프트웨어 기업들이 해외 인력 분산 전략을 재검토하고, 엔지니어링 지원 거점을 미국 혹은 동맹국으로 재배치하는 흐름이 가속화될 것으로 보인다. 사이버 위협 환경이 고도화되는 가운데, 이번 결정은 클라우드 거버넌스를 ‘신뢰 가능한 국적’ 위주로 재편하려는 움직임에 불을 붙일 가능성이 있다.
