MS 클라우드, 보안 문제에도 정부 승인?

ProPublica의 보도에 따르면, FedRAMP는 MS의 GCC High에 대한 승인을 결정했으나, 데이터 흐름 다이어그램(Data Flow Diagram) 등 핵심 보안 정보 부족으로 인해 검토 과정에서 어려움을 겪었다고 한다. 특히, MS가 암호화(Encryption) 방식을 제대로 설명하지 못해, FedRAMP는 시스템의 전반적인 보안 상태에 대한 확신을 갖지 못했다. 이러한 상황에서도 승인이 이루어진 것은, 이미 GCC High가 정부 내에서 광범위하게 사용되고 있었기 때문이다.

기사에서 지적된 바와 같이, FedRAMP는 클라우드 기술의 보안을 평가하기 위해 제3자 평가 기관을 활용하지만, 이들 기관은 평가 대상 기업(MS)으로부터 고용 및 보수를 받는다. 이러한 이해관계 충돌(Conflict of Interest)은 평가의 객관성을 저해할 수 있으며, 실제로 MS가 고용한 평가 기관이 FedRAMP에 부정적인 피드백을 전달하는 등, 독립성 부족 문제가 드러났다. 이는 FedRAMP의 신뢰성을 훼손하는 요인으로 작용한다.

커뮤니티에서는 MS의 보안 능력에 대한 의구심이 제기되었으며, 과거 Storm-0558 사건과 같은 보안 사고를 언급하며, MS의 클라우드 보안에 대한 우려를 표명했다. 특히, MS가 보안 취약점을 인지하고도 적절한 조치를 취하지 않았다는 점을 지적하며, MS의 데이터 미저장 정책(Zero-Retention Policy) 부재에 대한 비판도 제기되었다. 이러한 문제들은 MS 클라우드 서비스의 신뢰도를 떨어뜨리는 요인으로 작용한다.

이번 사건은 정부의 클라우드 전환 정책과 FedRAMP의 역할에 대한 근본적인 질문을 제기한다. FedRAMP는 클라우드 서비스의 보안을 보장하는 역할을 수행해야 하지만, 이번 사건을 통해 그 역할 수행에 실패했다는 비판을 받았다. 특히, FedRAMP의 인력 부족과 예산 삭감으로 인해, 제대로 된 검토가 이루어지지 못했다는 지적이 제기되었다. GDPR 규제 준수(GDPR Compliance)와 같은 보안 규정 준수 여부도 제대로 검토되지 못했을 가능성이 있다.