최근 사이버 공격에 대한 마이크로소프트의 사이버 보안 전략은 중국 간첩 활동 이후 정부 자문위원회에서 '예방 가능'하다고 평가

저명한 정부 자문 위원회가 최근 발표한 신랄한 보고서는 마이크로소프트의 사이버 보안 전략을 "예방 가능"하다고 가혹하게 조명했습니다. 이는 지난 여름 마이크로소프트를 표적으로 삼은 중국 스파이 활동 이후 이를 "예방 가능"하다고 규정한 것입니다. 이사회의 평가는 특히 민감한 미국 정부 데이터를 위험에 빠뜨린 여러 가지 중요한 위반 에 비추어 Microsoft의 사이버 보안 관행에 대한 중요한 비판을 나타냅니다.

CISA(사이버보안 및 기반시설 보안국) 내에서 운영되는 미국 사이버 안전 검토 위원회는 8월 초 출범 이후 Microsoft의 침해 사건을 부지런히 조사해 왔습니다. 지난 7월, 중국 정부 해커들은 마이크로소프트의 클라우드 네트워크에 침입해 지나 라이몬도(Gina Raimondo) 상무장관 등 고위 관료와 다양한 주정부 관료들을 포함해 약 25개 조직의 이메일 받은 편지함에 접근할 수 있게 됐다. Microsoft가 미국 정부의 주요 클라우드 공급자라는 점을 고려할 때 이 침해는 워싱턴에서 광범위한 우려를 불러일으켰습니다.

위원회의 보고서는 "피할 수 있는 오류"와 침해의 근본 원인으로 중요한 암호화 자산의 손상을 감지하지 못한 Microsoft의 실패를 지적합니다. 지난 7개월 동안 이사회 구성원은 Microsoft의 운영 및 전략적 결정을 면밀히 조사하여 기업 보안 투자의 우선 순위를 낮추고 엄격한 위험 관리를 기여 요인으로 강조했습니다.

그러나 조사는 재정이나 고용상의 이해관계가 상충되어 이사회 위원 3명이 기권하는 등 어려움에 직면했습니다. 그럼에도 불구하고 관계자들은 중국 정부 사이버팀이 미국의 고부가가치 기업을 지속적으로 표적으로 삼을 가능성을 경고하고 있다.

이 보고서는 Microsoft의 경쟁업체와 비평가들 사이에서 논쟁을 촉발시켰습니다. 이들은 미국 정부의 주요 클라우드 공급자로서 Microsoft가 지배적인 위치를 차지하고 있어 상당한 국가 안보 위험을 초래한다고 주장합니다. 이에 대응하여 Microsoft는 보안 로그에 대한 액세스를 확대하고 새로운 보안 조치를 구현하는 등 내부 사이버 보안 문화를 강화하기 위한 조치를 취했습니다.

앞으로 CISA는 업계 내 투명성과 책임성을 증진하는 것을 목표로 클라우드 서비스 제공업체를 위한 강력한 보안 관행의 기준을 확립할 계획입니다. Microsoft가 잠재적인 보안 강화에 대한 보고서를 검토함에 따라 디지털 시대의 사이버 보안 및 국방에 대한 광범위한 대화가 계속해서 발전하고 있습니다.