# 연방 사이버 보안 전문가들이 의심에도 불구하고 Microsoft 클라우드 서비스를 승인함

> Clean Markdown view of GeekNews topic #27633. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=27633](https://news.hada.io/topic?id=27633)
- GeekNews Markdown: [https://news.hada.io/topic/27633.md](https://news.hada.io/topic/27633.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-03-19T09:47:14+09:00
- Updated: 2026-03-19T09:47:14+09:00
- Original source: [propublica.org](https://www.propublica.org/article/microsoft-cloud-fedramp-cybersecurity-government)
- Points: 1
- Comments: 1

## Topic Body

- 미국 정부의 **FedRAMP 프로그램**이 보안 우려에도 불구하고 Microsoft의 **Government Community Cloud High(GCC High)** 서비스를 승인함  
- 내부 평가 보고서에서는 **“전체 보안 상태를 평가할 자신이 없다”** 고 명시되었으며, 일부 검토자는 시스템을 “엉망진창”이라 표현함  
- Microsoft는 **암호화 구조와 데이터 흐름 다이어그램** 등 핵심 보안 문서를 수년간 완비하지 못했지만, 이미 정부 기관들이 해당 서비스를 사용 중이어서 승인 결정이 내려짐  
- 승인 과정에서 **제3자 평가기관의 이해상충**, **Justice Department와 Microsoft 간의 압력 행사**, **FedRAMP 인력 축소** 등이 복합적으로 작용함  
- 이 사건은 미국 정부의 **클라우드 보안 검증 체계가 형식적 절차로 전락**했음을 드러내며, 국가 기밀 보호에 심각한 위험을 제기함  

---

### FedRAMP 승인과 Microsoft GCC High 논란
- FedRAMP는 정부 기관의 클라우드 서비스 보안을 검증하는 프로그램으로, Microsoft의 **GCC High**는 민감한 정부 데이터를 다루는 서비스임  
  - 내부 보고서에 따르면 Microsoft는 “적절한 보안 문서가 부족”했고, 평가자들은 시스템의 보안 수준을 확신할 수 없었음  
  - 그럼에도 불구하고 2024년 말 FedRAMP는 “조건부 승인” 형태로 GCC High를 승인함  
- 승인 결정은 **Justice Department와 국방 산업**이 이미 해당 서비스를 사용 중이었기 때문으로, 거부 시 정부 운영에 차질이 우려되었음  
- 승인서에는 “알려지지 않은 위험이 존재하므로 각 기관이 주의해 사용할 것”이라는 **경고 문구**가 포함됨  

### Microsoft의 보안 문서 미비와 장기 지연
- FedRAMP는 2020년부터 Microsoft에 **데이터 암호화 흐름도** 제출을 요구했으나, 회사는 “복잡성”을 이유로 완전한 자료를 제공하지 않음  
  - Microsoft는 일부 백서만 제출했으며, 데이터가 언제 암호화·복호화되는지 명확히 설명하지 못함  
- 다른 클라우드 제공업체(Amazon, Google)는 유사 자료를 제공했으나, Microsoft는 수개월 단위로 불완전한 응답을 반복함  
- FedRAMP 검토자는 Microsoft 시스템을 “**스파게티 파이**처럼 얽힌 구조”라 비유하며, 데이터 흐름의 불투명성이 보안 위험을 높인다고 지적함  

### 제3자 평가기관과 이해상충 문제
- Microsoft가 고용한 **Coalfire**와 **Kratos**는 FedRAMP에 비공식적으로 “Microsoft로부터 충분한 정보를 받지 못했다”고 전달함  
  - 이들 기관은 Microsoft로부터 직접 비용을 받는 구조로, **독립성 훼손 우려**가 제기됨  
- FedRAMP는 Kratos에 “시정 조치 계획”을 통보했으나, 회사는 평가의 정당성을 주장함  
- Microsoft는 “모든 요청에 성실히 응답했다”며 **비공식 보고(backchannel)** 의 존재를 부인함  

### 정부 기관의 압력과 승인 과정의 왜곡
- 2023년 FedRAMP는 Microsoft의 미흡한 대응으로 검토를 중단했으나, **Justice Department와 Microsoft 간의 로비**로 재개됨  
  - Microsoft 측 인사는 “시장 진출이 지연된다”며 Justice Department에 FedRAMP 승인 압력을 요청함  
  - 회의에서 Justice의 CIO Melinda Rogers가 Microsoft 편에 서서 FedRAMP의 검토 방식을 비판함  
- 이후 White House는 FedRAMP가 “엄격한 검토를 수행해야 한다”는 지침을 발표했지만, GCC High는 이미 여러 기관에 확산된 상태였음  

### 인력 축소와 제도적 한계
- FedRAMP는 예산 삭감으로 **직원 20여 명, 연간 예산 1천만 달러** 수준으로 축소되어, 사실상 **산업계의 형식적 승인 기관**으로 전락함  
- GSA는 “프로그램의 역할은 보안 수준 판단이 아니라 정보 제공”이라고 밝혀, 실질적 검증 책임을 회피함  
- 전문가들은 FedRAMP가 “국민의 데이터를 지켜야 할 감시자 역할을 잃었다”고 비판함  

### 후속 파장과 윤리 논란
- ProPublica 보도 후 Microsoft는 **중국 기반 엔지니어의 국방 관련 업무 참여 중단**을 발표함  
- Justice Department는 **Accenture 전 직원의 FedRAMP 사기 혐의 기소**를 통해 클라우드 보안 허위 보고를 단속 중임  
- 2025년, FedRAMP 관련 사이버 보안 정책을 주도했던 **Lisa Monaco 전 법무차관이 Microsoft 글로벌 어페어즈 사장으로 영입**되며, **윤리적 논란**이 이어짐  
- Microsoft는 모든 채용이 “법규와 윤리 기준을 준수했다”고 해명함  

### 결론: 형식화된 보안 인증의 위험
- ProPublica는 이번 사례를 통해 **FedRAMP 인증이 실제 보안 보증이 아님**을 지적함  
- Microsoft GCC High는 여전히 **“알려지지 않은 위험(unknown unknowns)”** 을 안고 있으며, 정부 기관들은 그 위험을 자체적으로 감수해야 하는 상황임  
- 전문가들은 미국 정부의 클라우드 보안 체계가 **“보안이 아닌 보안 쇼(Security Theater)”** 로 전락했다고 평가함

## Comments



### Comment 53334

- Author: neo
- Created: 2026-03-19T09:47:15+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=47426057) 
- 연방 기관들이 검토 중에도 제품을 배포할 수 있었기 때문에 GCC High가 정부와 방위 산업 전반에 퍼졌음  
  결국 **FedRAMP** 검토자들은 완전한 검토가 끝나지 않았음에도 불구하고 이미 워싱턴 전역에서 사용 중이라는 이유로 승인할 수밖에 없었음  
  즉, “이 도구가 안전한가?”가 아니라 “이걸 거부할 만큼 **위험하거나 정치적으로 감당 가능한가**?”로 기준이 바뀐 셈임
  - FedRAMP는 비판받아야 함. 너무 느리고 업계 피드백을 무시함  
    그 결과 정부에 제품을 팔려는 거의 모든 스타트업이 **Palantir 세금**을 내야 하는 구조가 됨. 연간 20~50만 달러 수준이며, 직접 FedRAMP 인증을 받으려면 최소 200~300만 달러와 2~3년이 걸림  
    결국 대부분의 기업은 Palantir(혹은 2F)에 의존할 수밖에 없음. 이건 정부 규제가 강제한 독점 구조임  
  - 이런 이유로 대형 벤더들은 어떤 대가를 치르더라도 먼저 발을 들이려 함  
    일단 자리 잡으면 **이탈이 불가능**해지고, 사실상 무한한 수익원이 됨  
  - 진짜 보안을 보장하려면 복잡한 구성보다 단순화가 중요함  
    가장 안전한 건 지하실에 잠금장치 걸린 서버 몇 대 두고 검증된 소프트웨어만 돌리는 것임  

- 최근 **Entra ID**를 써봤는데, MFA 설정만 12가지, 사용자 비활성화 20가지, 인증 방식 4가지, 조건부 접근 정책은 50개 변수와 템플릿이 있음  
  커스터마이징은 자유롭지만, 설정 후 동료들이 로그인조차 못 함. 그게 나름 보안 강화 방식임
  - Microsoft의 **SSO 로그인 플로우**는 가장 버그가 많음. 리디렉션이 너무 많고 “remember me”는 절대 작동하지 않음  
  - Microsoft는 기능은 많지만 제대로 작동하는 건 거의 없음  
  - 추가 설정 방법이 있지만, 접근 불가능한 **SharePoint 문서** 깊숙이 숨어 있음  
  - 우리도 같은 경험을 했음. 게다가 매주 Entra ID 통계 메일을 강제로 보내며, 수신 거부도 불가능함  
  - 현대 Microsoft의 문제는 세 가지를 동시에 추구한다는 것임  
    - “**Move fast and break things**”식 빠른 출시  
    - “**We do not break user space**”식 하위 호환성 집착  
    - 수십 년간 **제품을 폐기하지 않음**  
    이 조합 덕분에 Microsoft 제품은 겹치는 API와 미완성 기능의 **미로**가 되어버림  

- Microsoft는 보안에 약했고, 그래서 **클라우드 중앙화**가 더 위험함  
  예를 들어 [Storm-0558 사건](https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/)에서는 도난당한 서명 키 하나로 모든 Azure AD 계정의 인증 토큰을 위조할 수 있었음  
  이런 수준의 접근이 국가 단위로 악용된다면 경제 재앙임
  - 사실 서명 키를 훔칠 필요조차 없었던 취약점도 있었음. [관련 기사](https://www.bleepingcomputer.com/news/security/microsoft-entra-id-flaw-allowed-hijacking-any-companys-tenant/) 참고  
  - 하지만 이런 사고는 어느 회사에서도 일어날 수 있음. 결국 **인간의 실수** 문제임  

- 전문가들이 맞았음. **Azure**는 내가 써본 것 중 가장 엉망인 플랫폼임  
  새 제품이 기존 Azure 구성요소를 억지로 물려받아 일관성도 없고, 팀 간 소통도 없어 통합이 전혀 안 됨  
  로그 포맷부터 보안 개념까지 제각각이라, Microsoft가 **SIEM**이 뭔지 아는지조차 의심스러움
  - 10년 넘게 Microsoft에서 일했는데, 내부에서도 같은 문제를 느낌  
    예를 들어 내부 시스템 **Cosmos**는 뛰어난 데이터 처리 엔진이지만, 외부에는 늦게 공개됐고 지원도 엉망이었음  
    Synapse는 망했고, Fabric이 새 버전이지만 내부에서도 거의 안 씀  
    계정과 보안 환경이 너무 복잡해서 **작업 자체가 고통**임  
    Azure가 돈을 버는 이유는 단지 Microsoft의 규모 때문임. 실질적으로는 “**실패하면서 성장 중**”임  
    [Cosmos 관련 논문 링크](https://www.microsoft.com/en-us/research/publication/big-data-processing-at-microsoft-hyper-scale-massive-complexity-and-minimal-cost/)  
  - 이런 진화적 제품 구조는 2018년 이후 **Microsoft의 표준**임  
    빠른 출시와 사용자 피드백 기반 개선으로 인해 초기엔 실험적 느낌이 강하지만, 몇 년 지나면 쓸 만해짐  
  - 사용자에 대한 **무시**가 너무 명확함. 반독점 시절의 결과로, 지금은 경쟁할 필요조차 느끼지 못함  
  - Azure는 고객의 지갑으로 고객을 때리는 색임. 접근권을 주는 게 아니라 **소유권을 빼앗고 요금을 부과**함  
  - 이런 현상은 GitLab 같은 **‘시장 리더 따라잡기’** 기업에서도 보임. 기능 완성도보다 스프레드시트 상의 기능 수가 중요함  

- **법무부 CIO**가 FedRAMP 승인을 압박한 뒤 다음 해 Microsoft에 입사했음. 이건 승인 자체를 무효화해야 하는 사안 같음  

- 기사에서 “pile of shit”이라 한 건 실제 서비스가 아니라 **보안 문서 패키지**를 가리킨 것 같음  
  Microsoft가 명확한 정보를 제공하지 않아 평가 자체가 어려웠다는 맥락임
  - 내부 보고서에 따르면 Microsoft의 **보안 문서 부실**로 평가자들이 시스템의 보안 상태를 신뢰할 수 없었다고 함  
    ProPublica가 이를 클라우드 전체 문제로 확대한 건 다소 **클릭베이트** 같음  
  - 결국 문서가 없으니 평가 불가, 그런데도 승인이라니… “다음!” 하고 넘어간 셈임  
  - Microsoft는 기술 문서 담당자를 거의 해고해서, 지금은 **자동 생성된 API 문서**만 남음  
    예를 들어  
    ```
    Overrides the authorization for an identity.
    AuthorizationOverride(string identity);
    ```  
    이런 식이라, 보안 관련 설정의 의미나 영향 범위를 알 수 없음  

- 요구사항이 Microsoft 클라우드만 충족할 수 있게 설계된 듯함  
  그래서 **펜타곤에 Windows**가 깔린 것임  

- Microsoft 관련 **이해충돌**이 너무 많음. 승인 과정에 관여한 인물들이 나중에 Microsoft에 입사함  
  - 90년대 후반쯤 Microsoft가 이 게임의 룰을 완전히 익혔음. 반독점 사건 시기와 맞물림  
  - 물론 항상 악의적인 건 아님. 정부 계약자들이 제품을 잘 알아서 공급사로 옮기는 경우도 있음  
    결국 같은 **미션을 다른 팀에서 수행**하는 셈이라 생각함. 기술자로서 현장에서 문제를 해결하는 게 더 낫다고 믿는 경우도 있음  

- **FedRAMP**는 따르기도 힘들고, 실제 보안 수준을 보장하지도 못함. 이중으로 답답한 제도임  
  - 컴플라이언스 환경에서 일해본 적이 없으면 이 고통을 모름  

- “GCC High 검토자들이 평가 가능한 부분과 불가능한 부분 모두에서 문제를 발견했지만, 결국 FedRAMP와 Microsoft가 합의했고, 2024년 크리스마스 다음 날 승인됐다”는 구절을 보면,  
  도대체 **얼마짜리 기부금**이 오갔는지 궁금해짐