연방 사이버 보안 전문가들이 의심에도 불구하고 Microsoft 클라우드 서비스를 승인함

 (propublica.org)
1P by GN⁺ 8시간전 | ★ favorite | 댓글 1개
  • 미국 정부의 FedRAMP 프로그램이 보안 우려에도 불구하고 Microsoft의 Government Community Cloud High(GCC High) 서비스를 승인함
  • 내부 평가 보고서에서는 “전체 보안 상태를 평가할 자신이 없다” 고 명시되었으며, 일부 검토자는 시스템을 “엉망진창”이라 표현함
  • Microsoft는 암호화 구조와 데이터 흐름 다이어그램 등 핵심 보안 문서를 수년간 완비하지 못했지만, 이미 정부 기관들이 해당 서비스를 사용 중이어서 승인 결정이 내려짐
  • 승인 과정에서 제3자 평가기관의 이해상충, Justice Department와 Microsoft 간의 압력 행사, FedRAMP 인력 축소 등이 복합적으로 작용함
  • 이 사건은 미국 정부의 클라우드 보안 검증 체계가 형식적 절차로 전락했음을 드러내며, 국가 기밀 보호에 심각한 위험을 제기함

FedRAMP 승인과 Microsoft GCC High 논란

  • FedRAMP는 정부 기관의 클라우드 서비스 보안을 검증하는 프로그램으로, Microsoft의 GCC High는 민감한 정부 데이터를 다루는 서비스임
    • 내부 보고서에 따르면 Microsoft는 “적절한 보안 문서가 부족”했고, 평가자들은 시스템의 보안 수준을 확신할 수 없었음
    • 그럼에도 불구하고 2024년 말 FedRAMP는 “조건부 승인” 형태로 GCC High를 승인함
  • 승인 결정은 Justice Department와 국방 산업이 이미 해당 서비스를 사용 중이었기 때문으로, 거부 시 정부 운영에 차질이 우려되었음
  • 승인서에는 “알려지지 않은 위험이 존재하므로 각 기관이 주의해 사용할 것”이라는 경고 문구가 포함됨

Microsoft의 보안 문서 미비와 장기 지연

  • FedRAMP는 2020년부터 Microsoft에 데이터 암호화 흐름도 제출을 요구했으나, 회사는 “복잡성”을 이유로 완전한 자료를 제공하지 않음
    • Microsoft는 일부 백서만 제출했으며, 데이터가 언제 암호화·복호화되는지 명확히 설명하지 못함
  • 다른 클라우드 제공업체(Amazon, Google)는 유사 자료를 제공했으나, Microsoft는 수개월 단위로 불완전한 응답을 반복함
  • FedRAMP 검토자는 Microsoft 시스템을 “스파게티 파이처럼 얽힌 구조”라 비유하며, 데이터 흐름의 불투명성이 보안 위험을 높인다고 지적함

제3자 평가기관과 이해상충 문제

  • Microsoft가 고용한 CoalfireKratos는 FedRAMP에 비공식적으로 “Microsoft로부터 충분한 정보를 받지 못했다”고 전달함
    • 이들 기관은 Microsoft로부터 직접 비용을 받는 구조로, 독립성 훼손 우려가 제기됨
  • FedRAMP는 Kratos에 “시정 조치 계획”을 통보했으나, 회사는 평가의 정당성을 주장함
  • Microsoft는 “모든 요청에 성실히 응답했다”며 비공식 보고(backchannel) 의 존재를 부인함

정부 기관의 압력과 승인 과정의 왜곡

  • 2023년 FedRAMP는 Microsoft의 미흡한 대응으로 검토를 중단했으나, Justice Department와 Microsoft 간의 로비로 재개됨
    • Microsoft 측 인사는 “시장 진출이 지연된다”며 Justice Department에 FedRAMP 승인 압력을 요청함
    • 회의에서 Justice의 CIO Melinda Rogers가 Microsoft 편에 서서 FedRAMP의 검토 방식을 비판함
  • 이후 White House는 FedRAMP가 “엄격한 검토를 수행해야 한다”는 지침을 발표했지만, GCC High는 이미 여러 기관에 확산된 상태였음

인력 축소와 제도적 한계

  • FedRAMP는 예산 삭감으로 직원 20여 명, 연간 예산 1천만 달러 수준으로 축소되어, 사실상 산업계의 형식적 승인 기관으로 전락함
  • GSA는 “프로그램의 역할은 보안 수준 판단이 아니라 정보 제공”이라고 밝혀, 실질적 검증 책임을 회피함
  • 전문가들은 FedRAMP가 “국민의 데이터를 지켜야 할 감시자 역할을 잃었다”고 비판함

후속 파장과 윤리 논란

  • ProPublica 보도 후 Microsoft는 중국 기반 엔지니어의 국방 관련 업무 참여 중단을 발표함
  • Justice Department는 Accenture 전 직원의 FedRAMP 사기 혐의 기소를 통해 클라우드 보안 허위 보고를 단속 중임
  • 2025년, FedRAMP 관련 사이버 보안 정책을 주도했던 Lisa Monaco 전 법무차관이 Microsoft 글로벌 어페어즈 사장으로 영입되며, 윤리적 논란이 이어짐
  • Microsoft는 모든 채용이 “법규와 윤리 기준을 준수했다”고 해명함

결론: 형식화된 보안 인증의 위험

  • ProPublica는 이번 사례를 통해 FedRAMP 인증이 실제 보안 보증이 아님을 지적함
  • Microsoft GCC High는 여전히 “알려지지 않은 위험(unknown unknowns)” 을 안고 있으며, 정부 기관들은 그 위험을 자체적으로 감수해야 하는 상황임
  • 전문가들은 미국 정부의 클라우드 보안 체계가 “보안이 아닌 보안 쇼(Security Theater)” 로 전락했다고 평가함
GN⁺ 8시간전  [-]
Hacker News 의견들

  • 연방 기관들이 검토 중에도 제품을 배포할 수 있었기 때문에 GCC High가 정부와 방위 산업 전반에 퍼졌음
    결국 FedRAMP 검토자들은 완전한 검토가 끝나지 않았음에도 불구하고 이미 워싱턴 전역에서 사용 중이라는 이유로 승인할 수밖에 없었음
    즉, “이 도구가 안전한가?”가 아니라 “이걸 거부할 만큼 위험하거나 정치적으로 감당 가능한가?”로 기준이 바뀐 셈임

    • FedRAMP는 비판받아야 함. 너무 느리고 업계 피드백을 무시함
      그 결과 정부에 제품을 팔려는 거의 모든 스타트업이 Palantir 세금을 내야 하는 구조가 됨. 연간 20~50만 달러 수준이며, 직접 FedRAMP 인증을 받으려면 최소 200~300만 달러와 2~3년이 걸림
      결국 대부분의 기업은 Palantir(혹은 2F)에 의존할 수밖에 없음. 이건 정부 규제가 강제한 독점 구조임
    • 이런 이유로 대형 벤더들은 어떤 대가를 치르더라도 먼저 발을 들이려 함
      일단 자리 잡으면 이탈이 불가능해지고, 사실상 무한한 수익원이 됨
    • 진짜 보안을 보장하려면 복잡한 구성보다 단순화가 중요함
      가장 안전한 건 지하실에 잠금장치 걸린 서버 몇 대 두고 검증된 소프트웨어만 돌리는 것임

  • 최근 Entra ID를 써봤는데, MFA 설정만 12가지, 사용자 비활성화 20가지, 인증 방식 4가지, 조건부 접근 정책은 50개 변수와 템플릿이 있음
    커스터마이징은 자유롭지만, 설정 후 동료들이 로그인조차 못 함. 그게 나름 보안 강화 방식임

    • Microsoft의 SSO 로그인 플로우는 가장 버그가 많음. 리디렉션이 너무 많고 “remember me”는 절대 작동하지 않음
    • Microsoft는 기능은 많지만 제대로 작동하는 건 거의 없음
    • 추가 설정 방법이 있지만, 접근 불가능한 SharePoint 문서 깊숙이 숨어 있음
    • 우리도 같은 경험을 했음. 게다가 매주 Entra ID 통계 메일을 강제로 보내며, 수신 거부도 불가능함
    • 현대 Microsoft의 문제는 세 가지를 동시에 추구한다는 것임
      • Move fast and break things”식 빠른 출시
      • We do not break user space”식 하위 호환성 집착
      • 수십 년간 제품을 폐기하지 않음
        이 조합 덕분에 Microsoft 제품은 겹치는 API와 미완성 기능의 미로가 되어버림

  • Microsoft는 보안에 약했고, 그래서 클라우드 중앙화가 더 위험함
    예를 들어 Storm-0558 사건에서는 도난당한 서명 키 하나로 모든 Azure AD 계정의 인증 토큰을 위조할 수 있었음
    이런 수준의 접근이 국가 단위로 악용된다면 경제 재앙임

    • 사실 서명 키를 훔칠 필요조차 없었던 취약점도 있었음. 관련 기사 참고
    • 하지만 이런 사고는 어느 회사에서도 일어날 수 있음. 결국 인간의 실수 문제임

  • 전문가들이 맞았음. Azure는 내가 써본 것 중 가장 엉망인 플랫폼임
    새 제품이 기존 Azure 구성요소를 억지로 물려받아 일관성도 없고, 팀 간 소통도 없어 통합이 전혀 안 됨
    로그 포맷부터 보안 개념까지 제각각이라, Microsoft가 SIEM이 뭔지 아는지조차 의심스러움

    • 10년 넘게 Microsoft에서 일했는데, 내부에서도 같은 문제를 느낌
      예를 들어 내부 시스템 Cosmos는 뛰어난 데이터 처리 엔진이지만, 외부에는 늦게 공개됐고 지원도 엉망이었음
      Synapse는 망했고, Fabric이 새 버전이지만 내부에서도 거의 안 씀
      계정과 보안 환경이 너무 복잡해서 작업 자체가 고통
      Azure가 돈을 버는 이유는 단지 Microsoft의 규모 때문임. 실질적으로는 “실패하면서 성장 중”임
      Cosmos 관련 논문 링크
    • 이런 진화적 제품 구조는 2018년 이후 Microsoft의 표준
      빠른 출시와 사용자 피드백 기반 개선으로 인해 초기엔 실험적 느낌이 강하지만, 몇 년 지나면 쓸 만해짐
    • 사용자에 대한 무시가 너무 명확함. 반독점 시절의 결과로, 지금은 경쟁할 필요조차 느끼지 못함
    • Azure는 고객의 지갑으로 고객을 때리는 색임. 접근권을 주는 게 아니라 소유권을 빼앗고 요금을 부과
    • 이런 현상은 GitLab 같은 ‘시장 리더 따라잡기’ 기업에서도 보임. 기능 완성도보다 스프레드시트 상의 기능 수가 중요함

  • 법무부 CIO가 FedRAMP 승인을 압박한 뒤 다음 해 Microsoft에 입사했음. 이건 승인 자체를 무효화해야 하는 사안 같음

  • 기사에서 “pile of shit”이라 한 건 실제 서비스가 아니라 보안 문서 패키지를 가리킨 것 같음
    Microsoft가 명확한 정보를 제공하지 않아 평가 자체가 어려웠다는 맥락임

    • 내부 보고서에 따르면 Microsoft의 보안 문서 부실로 평가자들이 시스템의 보안 상태를 신뢰할 수 없었다고 함
      ProPublica가 이를 클라우드 전체 문제로 확대한 건 다소 클릭베이트 같음
    • 결국 문서가 없으니 평가 불가, 그런데도 승인이라니… “다음!” 하고 넘어간 셈임
    • Microsoft는 기술 문서 담당자를 거의 해고해서, 지금은 자동 생성된 API 문서만 남음
      예를 들어 
      Overrides the authorization for an identity.
AuthorizationOverride(string identity);
      이런 식이라, 보안 관련 설정의 의미나 영향 범위를 알 수 없음

  • 요구사항이 Microsoft 클라우드만 충족할 수 있게 설계된 듯함
    그래서 펜타곤에 Windows가 깔린 것임

  • Microsoft 관련 이해충돌이 너무 많음. 승인 과정에 관여한 인물들이 나중에 Microsoft에 입사함

    • 90년대 후반쯤 Microsoft가 이 게임의 룰을 완전히 익혔음. 반독점 사건 시기와 맞물림
    • 물론 항상 악의적인 건 아님. 정부 계약자들이 제품을 잘 알아서 공급사로 옮기는 경우도 있음
      결국 같은 미션을 다른 팀에서 수행하는 셈이라 생각함. 기술자로서 현장에서 문제를 해결하는 게 더 낫다고 믿는 경우도 있음

  • FedRAMP는 따르기도 힘들고, 실제 보안 수준을 보장하지도 못함. 이중으로 답답한 제도임

    • 컴플라이언스 환경에서 일해본 적이 없으면 이 고통을 모름

  • “GCC High 검토자들이 평가 가능한 부분과 불가능한 부분 모두에서 문제를 발견했지만, 결국 FedRAMP와 Microsoft가 합의했고, 2024년 크리스마스 다음 날 승인됐다”는 구절을 보면,
    도대체 얼마짜리 기부금이 오갔는지 궁금해짐

답변달기