[샌프란시스코=로이터] 미국 의회가 미국 국방부(DOD)와 마이크로소프트가 체결한 클라우드 컴퓨팅 계약 과정에서 중국 현지 엔지니어들이 취급한 정보 범위를 둘러싸고 집중 조사를 요구하고 있다.
2025년 7월 24일, 인베스팅닷컴 보도에 따르면, 공화당의 톰 코튼 상원의원(아칸소주)은 피트 헥세스 국방장관에게 보내는 서한에서 “중국인 기술자들이 접근한 자료의 내용과 보안 사고 유무를 의회에 상세히 보고하라”고 촉구했다.
ProPublica가 최근 보도한 조사 결과에 따르면, 마이크로소프트(NASDAQ:MSFT)는 디지털 에스코트(digital escort)로 불리는 미국인 감독 요원을 배치해 중국 엔지니어의 업무를 모니터링해 왔다. 그러나 해당 감독 요원들이 사이버보안 전문성이 부족할 수 있다는 문제가 제기되자, 마이크로소프트는 지난주 해당 관행을 전면 중단했다고 밝혔다.
국방부의 긴급 점검
피트 헥세스 국방장관은 2주간의 전면 감사를 지시해 “같은 방식으로 해외 인력을 활용하는 다른 하도급업체가 있는지” 살펴보고 있다. 미국 국방부가 방대한 클라우드·AI 사업을 추진하는 과정에서 중국계 인력 활용 논란은 이번이 처음이 아니다.
코튼 의원은 서한에서 중국 공산당의 기술·정보 수집 능력을 지적하며,
“전임 장관들이 체결한 계약과 감시 체계는 빠르게 성장하는 중국의 위협을 충분히 고려하지 못했다”
고 비판했다. 그는 다음과 같은 정보를 요청했다:
- 중국 엔지니어가 실질적으로 접근·열람·수정한 데이터의 범위
- 이미 발생했거나 발생 가능성이 높은 사이버보안 사고 현황
- 마이크로소프트가 시행한 자체 감사(self-audit) 여부 및 그 결과
용어 설명 및 배경
ProPublica는 뉴욕에 본사를 둔 비영리 탐사저널리즘 매체로, 기업·정부의 불투명한 관행을 심층 보도하는 것으로 유명하다. 디지털 에스코트는 외국인 또는 외주 인력이 기밀 시스템에 접근할 때, 미국 시민권자를 동석시켜 실시간으로 화면·행동을 감시하는 일종의 ‘디지털 동반자’ 제도를 의미한다.
미 국방부는 수년간 ‘제로 트러스트(Zero Trust)’ 아키텍처를 추진해 왔지만, 실제 현장에서 외국인 기술 인력 의존도가 상당하다는 지적이 꾸준히 제기돼 왔다. 이번 사안은 그동안 업계가 암묵적으로 유지해 온 관행을 정면으로 드러냈다는 평가를 받는다.
전문가 시각
사이버보안 전문가들은 “클라우드 인프라 특성상 물리적 위치와 상관없이 접근 권한만으로도 중대한 정보 유출이 가능하다”며, 감독 인력의 기술 역량 부족이 더 큰 리스크라고 지적했다. 특히 군·정보기관 계약의 경우, 엔드포인트·네트워크 레벨의 실시간 로그 분석과 행동 기반(anomaly-based) 탐지가 필수라는 의견이 많다.
마이크로소프트는 그간 미 국방부 JEDI 사업과 후속 JWCC(Joint Warfighting Cloud Capability) 프로그램에서 핵심 파트너로 선정되어 있다. 따라서 이번 사안은 단순 기술 지원 차원을 넘어, 차세대 국방·AI 전략 전반에 영향을 미칠 수 있다는 관측이 나온다.
향후 전망
국방부의 2주간 감사 결과는 의회 청문회 및 차기 예산 심의 과정에서 중요한 근거 자료로 활용될 가능성이 크다. 만약 보안 사고가 확인될 경우, 국방부·마이크로소프트뿐 아니라 다른 빅테크 클라우드 사업자도 인력 배치·감사 체계를 전면 재구조화해야 할 수 있다.
코튼 의원은 서한 말미에서 “해당 프로그램은 미군의 작전·병참·정보 분석에 사용되는 만큼, 단일 사고라도 발생하면 국가 안보에 중대한 타격을 줄 수 있다”고 거듭 경고했다. 이는 바이든 행정부가 추진 중인 국가사이버전략 2025와도 맞물려, 향후 국내 클라우드·보안 산업 전반에 걸쳐 대대적인 제도 개선을 촉발할 것으로 전망된다.
