사건 대응에 참여한 소식통에 따르면, 외국 해커가 패치되지 않은 마이크로소프트 셰어포인트 취약점을 악용해 미 에너지부 산하 국가핵안보국(National Nuclear Security Administration, NNSA)의 핵심 제조시설인 캔자스시티 국가안보 캠퍼스(Kansas City National Security Campus, KCNSC)에 침입했다. 이번 침입은 지난 8월 해당 발생한 것으로 알려졌다.

이번 공격의 대상이 된 KCNSC는 미국 핵무기의 비핵심 핵심 부품 대부분을 생산하는 시설로, NNSA가 관리하는 주요 제조 거점이다. NNSA는 미 에너지부(Department of Energy, DOE) 산하의 준독립 기관으로, 미국 핵무기의 설계·생산·유지보수를 총괄한다. 해당 캠퍼스는 허니웰 연방제조기술(Honeywell Federal Manufacturing & Technologies, FM&T)이 NNSA와의 계약을 통해 운영하고 있다.

캔자스시티 캠퍼스와 허니웰 FM&T, 그리고 DOE는 9월 한 달 동안 여러 차례의 언론 질의에도 아무런 답변을 내놓지 않았다. 무응답은 미국 정부 셧다운 사태 이전부터 이어졌다. 미국 국가안보국(NSA) 공보 담당관 에디 베넷은 “추가로 제공할 내용이 없다”라며, 관련 질의를 에너지부로 돌렸다.

이번 공격의 배후가 중국 정부 지원 해커인지, 혹은 러시아 사이버 범죄 집단인지는 명확히 밝혀지지 않았다. 전문가들은 이번 사건이 “OT를 보호하기 위해 IT 시스템에 영향을 미치는 취약점을 방어하는 것이 얼마나 중요한지를 보여주는 사례”라고 분석했다.

공격 전개 방식

공격자는 최근 공개된 마이크로소프트 셰어포인트 취약점 2가지(스푸핑 취약점 CVE-2025-53770과 원격 코드 실행 취약점 CVE-2025-49704)를 악용해 침투를 시도했다. 두 취약점은 온프레미스 서버에 영향을 미치며, 마이크로소프트는 해당 취약점에 대한 패치를 7월 19일 배포했다.

7월 22일, NNSA는 셰어포인트 취약점을 악용한 공격으로 피해를 본 조직 가운데 하나임을 확인했다. DOE 대변인은 “7월 18일 금요일부터 마이크로소프트 셰어포인트 제로데이 취약점의 악용이 에너지부에 영향을 미치기 시작했다”라고 말했다.

당시 DOE는 “DOE는 마이크로소프트 M365 클라우드를 광범위하게 사용하고 있으며, 우수한 사이버보안 체계를 갖추고 있기 때문에 피해는 최소한에 그쳤다”라며 “영향받은 시스템은 극히 일부에 불과하며, 모든 시스템을 복구 중이다”라고 밝혔다.

그러나 소식통은 지난 8월 초 NSA를 포함한 연방 대응 인력이 캔자스시티 시설에 직접 투입돼 현장 조사를 진행했다고 전했다.

미주리주에 위치한 KCNSC는 미국의 핵 방위 체계에 사용되는 비핵심 기계·전자·소재 부품을 생산하는 시설이다. 또한 금속공학 분석, 분석 화학, 환경 시험, 시뮬레이션 모델링 등 첨단 기술 서비스를 제공한다.

미국이 보유한 핵무기 비핵심 부품의 약 80%가 이곳 KCNSC에서 생산된다. 구체적인 설계와 프로그램 관련 정보는 대부분 기밀로 분류돼 있지만, 이 공장은 핵무기 체계 생산망에서 핵심적인 역할을 수행하고 있어 연방 정부의 무기 단지 중에서도 가장 민감한 시설로 평가된다.

중국인가, 러시아인가…엇갈리는 배후 분석

마이크로소프트는 이번 셰어포인트 취약점 악용의 전반적인 공격 배후를 중국과 연계된 3개의 해킹 그룹으로 지목했다. 이들은 각각 리넨 타이푼(Linen Typhoon), 바이올렛 타이푼(Violet Typhoon), 그리고 스톰-2603(Storm-2603)으로, 마이크로소프트는 이들 공격집단이 영향을 받은 시스템 전반에 워록(Warlock) 랜섬웨어를 배포할 준비를 하고 있었다고 밝혔다.

그러나 캔자스시티 사건에 정통한 관계자는 필자와의 인터뷰에서 “이번 침입의 배후는 중국이 아닌 러시아 해킹 조직으로 보인다”라고 말했다. 셰어포인트 취약점 악용 사례를 추적해온 사이버보안 기업 리시큐리티(Resecurity)는 “자체 분석 결과, 공격의 주요 흐름은 중국 정부 지원 해커 그룹과 일치했다”면서도 “러시아 측의 개입 가능성도 배제할 수 없다”라고 설명했다.

리시큐리티 연구팀은 이번 사건과 관련해 “초기 제로데이 취약점을 개발하고 활용한 것은 중국 해커 그룹으로 보이지만, 이후 금전적 이익을 노린 러시아 해커가 6월 말 기술 세부 정보가 유출되기 전에 독자적으로 익스플로잇을 재현했을 가능성이 있다”라고 분석했다.

앞서 5월, 베트남의 비엣텔 사이버 시큐리티(Viettel Cyber Security) 연구팀은 독일 베를린에서 열린 ‘폰투오운(Pwn2Own) 베를린’ 대회에서 셰어포인트 취약점 CVE-2025-49706과 CVE-2025-49704를 연쇄적으로 활용한 공격을 시연한 바 있다. 리시큐리티 측은 “이 시연이 여러 위협 행위자가 해당 취약점을 리버스 엔지니어링하는 속도를 가속화했을 가능성이 높다”라고 말했다.

리시큐리티 연구팀은 이번 공격의 초기 단계에서 대만, 베트남, 한국, 홍콩 등지에 위치한 인프라를 통해 스캐닝과 취약점 악용 활동이 이루어진 정황을 포착했다고 밝혔다. 이런 공격 분포 양상은 흔히 중국의 APT(advanced persistent threat) 그룹이 배후 추적을 어렵게 하기 위해 사용하는 전형적인 전술과 유사하다고 설명했다.

리시큐리티 연구팀은 “셰어포인트 취약점 악용의 근본적인 원인은 중국이 마이크로소프트 액티브 프로텍션 프로그램(Microsoft Active Protections Program, MAPP)을 오용한 것과 밀접하게 관련돼 있다”라며 “가장 가능성이 높은 배후 세력은 리넨 타이푼과 바이올렛 타이푼 같은 중국 정부 지원 해커 집단”이라고 전했다.

그러나 리시큐리티는 러시아 기반 위협 행위자가 취약점 정보를 조기에 입수했을 다른 경로로 지하 거래소에서의 거래나, 익스플로잇이 알려진 뒤 네트워크 스캐닝 데이터를 분석한 가능성을 제시했다. 제로데이에서 N데이로 전환되면서 패치가 적용되지 않은 시스템을 노릴 수 있는 틈이 생겼고, 그 결과 2차 행위자가 해당 시스템을 악용할 여지가 열렸다는 분석이다.

OT 시스템으로 침입이 확산했을 가능성은?

이번 침입은 KCNSC의 IT 인프라를 직접 겨냥한 것이지만, 공격자가 무기 부품 생산을 직접 통제하는 제조 및 공정 제어 환경, 즉 OT 시스템으로까지 침투했을 가능성에 대한 우려도 제기된다.

필자가 인터뷰한 OT 보안 전문가들은 KCNSC의 생산 시스템이 일반적으로 외부 네트워크와 분리된 에어갭(air-gap) 상태이거나, 최소한 기업용 IT 네트워크와 격리돼 있을 가능성이 높다고 분석했다. 이 경우 IT 침입이 곧바로 제조 시스템으로 확산될 위험은 크게 줄어든다. 그러나 전문가들은 “격리가 완전한 안전을 보장한다고 단정해서는 안 된다”라며 경계를 늦추지 말아야 한다고 경고했다.

클래로티(Claroty)의 공공부문 총괄 젠 소바다는 이번 사건 자체가 아니라 일반적인 맥락에서 “국가 기반 해커가 IT 취약점을 악용해 어떻게 OT 시스템에 접근할 수 있는지를 심각하게 고민해야 한다”라고 말했다.

소바다는 “KCNSC처럼 핵무기의 설계, 제조, 비상 대응, 해체, 공급망 관리 등 전체 수명주기를 관리하는 시설에서는 여러 기능이 서로 긴밀하게 연결돼 있다”라며 “공격자가 네트워크 내에서 횡적 이동을 할 수 있다면, 비핵심 무기 부품의 정밀 조립 장비나 로봇을 제어하는 프로그램 로직 컨트롤러(PLC)까지 영향을 미칠 수 있다”라고 설명했다.

이어 “이런 접근은 품질 보증을 관리하는 유통 제어 시스템이나, 전력·설비·환경 제어를 담당하는 감시제어 및 데이터수집(SCADA) 시스템에도 영향을 미칠 수 있다”라며 “단순한 IT 취약점의 범위를 넘어서는 사안”이라고 강조했다.

IT/OT 융합과 제로 트러스트의 공백

KCNSC 침해 사건은 연방 정부 기관 전반에 걸친 구조적 문제, 즉 IT와 OT 보안 체계 간의 단절을 드러냈다. 연방 정부는 전통적인 IT 네트워크를 대상으로 한 제로 트러스트 보안 로드맵을 꾸준히 발전시켜왔지만, OT 환경에 대한 유사한 체계는 상대적으로 뒤처져 있는 상황이다. 다만 최근 들어 이 격차를 좁히려는 움직임이 나타나고 있다.

클래로티의 소바다는 “IT 영역에는 제로트러스트, 네트워크 세그먼테이션, 인증, ID 관리 등 각종 통제를 체계적으로 정리한 ‘팬 차트(fan chart)’가 존재한다. 국방부도 현재 OT 환경에서 제로 트러스트 보안을 구현하기 위한 유사한 팬 차트를 개발 중이며, 그 목표는 두 체계를 결합해 모든 네트워크 유형에 걸쳐 포괄적인 제로트러스트 모델을 완성하는 것”이라고 설명했다.

소바다는 이 같은 IT·OT 보안 체계의 정렬이 “이번 KCNSC에서 발생한 것과 같은 침입이 실제 물리적 운영 단계로 확산되는 것을 막는 핵심 요소”라고 강조했다.

기밀 아닌 데이터 탈취도 전략적 가치를 지닌다

소식통의 주장대로 러시아가 실제로 관여했다면, 이번 공격의 배후는 국가 정보기관이 아니라 금전적 이익을 노린 랜섬웨어 운영자일 가능성이 높다. 그러나 이런 경우라도 해커가 확보한 데이터는 여전히 전략적 가치를 지닐 수 있다.

클래로티의 소바다는 “만약 이번 공격이 랜섬웨어 공격 집단의 소행이라면, 핵무기 제조 관련 정보를 손에 넣은 뒤 이를 러시아 정부 관계자나 관련 전문가에게 넘기는 것이 더 이치에 맞을 것”이라고 말했다.

기밀 정보가 유출됐다는 증거는 없지만, 기밀이 아닌 기술 자료도 중대한 영향을 줄 수 있다. 소바다는 “기밀로 분류되지는 않았더라도 부품에 요구되는 정밀도를 드러내는 요구사항 문서처럼 단순한 자료일 수 있다. 무기 제조에서는 1mm 차이만으로도 장치의 탄도나 기동 장치의 신뢰성이 달라질 수 있다”라고 설명했다.

이런 정보는 적대국이 미국 무기의 허용오차, 공급망 의존도, 또는 제조 공정을 이해하는 데 도움을 줄 수 있으며, 이는 형식적으로 기밀이 아니더라도 민감한 사안이다.

침입자가 중국 정부 연계 행위자든 러시아 사이버 범죄자든, KCNSC 침해 사건은 핵심 방위 인프라 전반에서 IT 보안과 운영 보안이 만나는 취약한 지점을 드러냈다. 클래로티의 소바다는 “제로 트러스트를 더 이상 IT 개념으로만 생각할 수 없다. 제로 트러스트는 국가 방위를 지탱하는 물리적 시스템까지 확장돼야 한다”라고 강조했다.

*업데이트 : 미 에너지부(DOE)는 국가핵안보국(NNSA) 소속 직원 대부분이 무급휴직(furlough)에 들어갔다고 밝혔다. DOE 대변인은 “2000년 NNSA가 창설된 이후, 예산 공백 기간 동안 연방 직원을 일시 해고한 것은 이번이 처음이다. 이번에는 다른 선택의 여지가 없었다. 가능한 한 자금 운용을 이어가려 했지만, 더 이상 유지할 수 없었다”라고 밝혔다.

dl-itworldkorea@foundryco.com