연방 사이버 보안 전문가들이 의심에도 불구하고 Microsoft 클라우드 서비스를 승인함

• 미국 정부의 FedRAMP 프로그램이 보안 우려에도 불구하고 Microsoft의 Government Community Cloud High(GCC High) 서비스를 승인함
• 내부 평가 보고서에서는 “전체 보안 상태를 평가할 자신이 없다” 고 명시되었으며, 일부 검토자는 시스템을 “엉망진창”이라 표현함
• Microsoft는 암호화 구조와 데이터 흐름 다이어그램 등 핵심 보안 문서를 수년간 완비하지 못했지만, 이미 정부 기관들이 해당 서비스를 사용 중이어서 승인 결정이 내려짐
• 승인 과정에서 제3자 평가기관의 이해상충, Justice Department와 Microsoft 간의 압력 행사, FedRAMP 인력 축소 등이 복합적으로 작용함
• 이 사건은 미국 정부의 클라우드 보안 검증 체계가 형식적 절차로 전락했음을 드러내며, 국가 기밀 보호에 심각한 위험을 제기함

FedRAMP 승인과 Microsoft GCC High 논란

• FedRAMP는 정부 기관의 클라우드 서비스 보안을 검증하는 프로그램으로, Microsoft의 GCC High는 민감한 정부 데이터를 다루는 서비스임
  • 내부 보고서에 따르면 Microsoft는 “적절한 보안 문서가 부족”했고, 평가자들은 시스템의 보안 수준을 확신할 수 없었음
  • 그럼에도 불구하고 2024년 말 FedRAMP는 “조건부 승인” 형태로 GCC High를 승인함
• 승인 결정은 Justice Department와 국방 산업이 이미 해당 서비스를 사용 중이었기 때문으로, 거부 시 정부 운영에 차질이 우려되었음
• 승인서에는 “알려지지 않은 위험이 존재하므로 각 기관이 주의해 사용할 것”이라는 경고 문구가 포함됨

Microsoft의 보안 문서 미비와 장기 지연

• FedRAMP는 2020년부터 Microsoft에 데이터 암호화 흐름도 제출을 요구했으나, 회사는 “복잡성”을 이유로 완전한 자료를 제공하지 않음
  • Microsoft는 일부 백서만 제출했으며, 데이터가 언제 암호화·복호화되는지 명확히 설명하지 못함
• 다른 클라우드 제공업체(Amazon, Google)는 유사 자료를 제공했으나, Microsoft는 수개월 단위로 불완전한 응답을 반복함
• FedRAMP 검토자는 Microsoft 시스템을 “스파게티 파이처럼 얽힌 구조”라 비유하며, 데이터 흐름의 불투명성이 보안 위험을 높인다고 지적함

제3자 평가기관과 이해상충 문제

• Microsoft가 고용한 Coalfire와 Kratos는 FedRAMP에 비공식적으로 “Microsoft로부터 충분한 정보를 받지 못했다”고 전달함
  • 이들 기관은 Microsoft로부터 직접 비용을 받는 구조로, 독립성 훼손 우려가 제기됨
• FedRAMP는 Kratos에 “시정 조치 계획”을 통보했으나, 회사는 평가의 정당성을 주장함
• Microsoft는 “모든 요청에 성실히 응답했다”며 비공식 보고(backchannel) 의 존재를 부인함

정부 기관의 압력과 승인 과정의 왜곡

• 2023년 FedRAMP는 Microsoft의 미흡한 대응으로 검토를 중단했으나, Justice Department와 Microsoft 간의 로비로 재개됨
  • Microsoft 측 인사는 “시장 진출이 지연된다”며 Justice Department에 FedRAMP 승인 압력을 요청함
  • 회의에서 Justice의 CIO Melinda Rogers가 Microsoft 편에 서서 FedRAMP의 검토 방식을 비판함
• 이후 White House는 FedRAMP가 “엄격한 검토를 수행해야 한다”는 지침을 발표했지만, GCC High는 이미 여러 기관에 확산된 상태였음

인력 축소와 제도적 한계

• FedRAMP는 예산 삭감으로 직원 20여 명, 연간 예산 1천만 달러 수준으로 축소되어, 사실상 산업계의 형식적 승인 기관으로 전락함
• GSA는 “프로그램의 역할은 보안 수준 판단이 아니라 정보 제공”이라고 밝혀, 실질적 검증 책임을 회피함
• 전문가들은 FedRAMP가 “국민의 데이터를 지켜야 할 감시자 역할을 잃었다”고 비판함

후속 파장과 윤리 논란

• ProPublica 보도 후 Microsoft는 중국 기반 엔지니어의 국방 관련 업무 참여 중단을 발표함
• Justice Department는 Accenture 전 직원의 FedRAMP 사기 혐의 기소를 통해 클라우드 보안 허위 보고를 단속 중임
• 2025년, FedRAMP 관련 사이버 보안 정책을 주도했던 Lisa Monaco 전 법무차관이 Microsoft 글로벌 어페어즈 사장으로 영입되며, 윤리적 논란이 이어짐
• Microsoft는 모든 채용이 “법규와 윤리 기준을 준수했다”고 해명함

결론: 형식화된 보안 인증의 위험

• ProPublica는 이번 사례를 통해 FedRAMP 인증이 실제 보안 보증이 아님을 지적함
• Microsoft GCC High는 여전히 “알려지지 않은 위험(unknown unknowns)” 을 안고 있으며, 정부 기관들은 그 위험을 자체적으로 감수해야 하는 상황임
• 전문가들은 미국 정부의 클라우드 보안 체계가 “보안이 아닌 보안 쇼(Security Theater)” 로 전락했다고 평가함