[샌프란시스코=로이터] 마이크로소프트(NASDAQ:MSFT)는 자사 중국 내 엔지니어들이 미국 국방부 시스템에 대한 기술 지원을 더 이상 제공하지 않도록 업무 방식을 전면 수정한다고 19일 밝혔다. 이번 결정은 탐사보도 매체 프로퍼블리카(ProPublica)의 보도가 촉발한 미 의회 질의와 국방부 조사가 이어지면서 내려진 조치다.
2025년 7월 18일, 인베스팅닷컴의 보도에 따르면 마이크로소프트는 미국군(국방부) 클라우드·컴퓨팅 시스템 유지보수 과정에서 중국 본토 엔지니어를 활용해 왔으며, 이들을 감독하기 위해 미국 국적 하청 인력이 ‘디지털 에스코트(digital escort)’라는 명목으로 배치돼 왔다. 해당 에스코트들은 보안 클리어런스를 보유했지만, 실제로 사이버 보안 위험을 식별·평가할 만큼의 기술 역량을 충분히 갖추지 못했다는 점이 문제점으로 제기됐다.
프로퍼블리카는 “미국 정부가 발주한 민·군 복합 클라우드 프로젝트에서 중국 엔지니어 다수가 코드 리뷰 및 유지보수를 수행했으며, 이는 사이버 보안의 잠재적 허점을 키울 수 있다”고 지적했다. 마이크로소프트 측은 해당 관행을 정부 인증 절차에서 이미 공개했으며 ※절차상 위반은 없었다고 해명했다.
그러나 마이크로소프트는 자사가 최근 몇 년 동안 중국과 러시아 해커 집단으로부터 연달아 침해사고를 겪은 사실을 부인하지 않았다. 특히 올해 초 발생한 이메일 익스체인지 서버 침해 사건과 전년도 솔라윈즈(SolarWinds) 연쇄 공격 사례는, 정부·기업 클라우드 통합 환경에서 동일 코드·인프라가 공유될 때 파급효과가 얼마나 큰지를 단적으로 보여줬다는 평가다.
▶ 용어 설명: 디지털 에스코트
디지털 에스코트는 군사·보안 분야 프로젝트에서 외국 인력이 시스템에 접근할 때, 미국 시민권을 가진 기술 감독관이 실시간으로 활동을 모니터링해 악의적 행위 여부를 판단하는 제도를 일컫는다. 하지만 이번 사례처럼 감독관의 기술 숙련도가 낮으면 ‘형식적 감시’에 그칠 수 있다는 한계가 드러났다.
마이크로소프트 대변인 프랭크 쇼(Frank Shaw)는 X(옛 트위터)에 올린 성명에서 “이번 주 제기된 우려를 반영해, 미 국방부·연방기관 고객 지원 프로세스를 즉각 재구성했다”며 “중국에 소재한 어떠한 엔지니어링 팀도 펜타곤(미 국방부)의 서비스 유지보수에 관여하지 않도록 조치를 완료했다”고 밝혔다.
“해외 인력이 국방 시스템을 관리·접속하는 일은 어떠한 국가 출신이건 절대로 허용돼서는 안 된다.” — 피트 헥세스(Pete Hegseth) 미국 국방장관
이번 사안을 처음 공식 제기한 인물은 상원 정보위원회 위원장이자 군사위원회 소속인 톰 코튼(Tom Cotton) 공화당 상원의원(아칸소)이다. 코튼 의원은 같은 날 국방장관 앞으로 보낸 서한에서 “중국의 사이버 역량은 미국에 가장 위협적인 요소 중 하나”라며 “국방부는 하청 계약망을 포함한 모든 공급망 단계에서 잠재적 침투 가능성을 차단해야 한다”고 강조했다. 그는 이어 중국 인력을 활용하는 모든 국방부 계약업체 목록과, 디지털 에스코트가 의심 활동을 적발할 수 있는 교육을 이수했는지 여부를 상세히 보고하라고 요구했다.
피트 헥세스 국방장관은 X에서 코튼 의원의 지적이 “정곡을 찔렀다(spot on)”며, 국방부 차원에서 마이크로소프트 계약 프로세스를 전면 검토하고 있다고 밝혔다. 헥세스 장관은 “미국 국방부(DoD) 시스템에 대한 접속·유지보수 권한은 미국 혹은 동맹국 내 검증된 인력에만 허용돼야 한다”고 못 박았다.
전문가 시각 • 산업적 함의
이번 조치는 단순한 인력 교체를 넘어, 글로벌 소프트웨어 공급망 관리의 구조적 문제를 부각시키는 계기로 평가된다. 클라우드·SaaS 기업의 영토 불문형 개발 인력 활용 모델은 비용·속도 측면에서 유리하지만, 동맹·경쟁 구도가 뚜렷한 국방·안보 분야에서는 심각한 리스크가 될 수 있다.
실제 전문가들은 “국방부와 대형 IT업체 간 클라우드 계약은 외교·안보 맥락과 맞물려 복합적인 규제와 감사 체계를 필요로 한다”고 지적한다. 이번 사례가 계약 전 단계에서의 철저한 원천 기술·인력 심사, 그리고 계약 후 단계에서의 지속적 보안 감사 체계를 강화하는 방향으로 제도 개선을 촉진할 가능성이 크다.
또한, 마이크로소프트 같은 빅테크 기업·클라우드 공급자들이 해외 연구개발 거점을 운영할 때, 국적·거점 국가의 규제 변화가 즉각적으로 핵심 비즈니스 의사결정과 보안정책에 영향을 미친다는 점도 다시 한 번 확인됐다. 업계는 향후 ‘소버린 클라우드(국가 주권형 클라우드)’ 수요 확대와 맞물려, 코드·데이터 주권 수위가 한층 강화될 것으로 보고 있다.
마이크로소프트는 이미 미 연방정부·국방부와 100억 달러(약 13조 원) 규모의 장기 클라우드 계약을 체결한 바 있다. 이번 중국 인력 배제 결정이 얼마나 빠르게 현장에 적용될지, 그리고 후속 감사 결과가 어떻게 나올지에 따라 연방기관·기업 시장 전반에 보안 가이드라인이 재편될 전망이다.
