[워싱턴] 미국 에너지부(U.S. Department of Energy, DOE)는 마이크로소프트(NASDAQ:MSFT)의 협업 플랫폼인 SharePoint에서 발견된 제로데이(zero-day) 취약점으로 인해 일부 내부 시스템이 영향을 받았다고 18일(현지시간) 밝혔다. 특히 이 취약점은 미국의 핵무기 관리 기관인 국가핵안전국(National Nuclear Security Administration, NNSA)이 운용하는 네트워크에도 영향을 미친 것으로 확인됐다.
2025년 7월 23일, 인베스팅닷컴의 보도에 따르면, DOE는 전날 언론에 배포한 이메일 성명을 통해 이번 보안 사고로부터 "극히 제한적인(minimally impacted) 피해"만을 입었다고 설명했다.
"우리는 Microsoft M365 클라우드 서비스의 광범위한 도입과 고성능 사이버 보안 체계 덕분에 영향을 최소화할 수 있었다"고 DOE는 밝혔다.
기관은 또한 영향을 받은 시스템이 "매우 소수"에 불과하며 현재 모든 시스템을 복구(recovery) 중이라고 덧붙였다.
제로데이 취약점이란?
제로데이 취약점은 소프트웨어 공급자가 공식 패치를 배포하기 전에 공격자에게 먼저 노출되는 미공개 보안 결함을 의미한다. 이름 그대로 개발사에 대응 시간이 ‘0일’밖에 주어지지 않는다는 점에서, 정부 기관과 대기업의 정보 자산을 겨냥한 고위험 공격에 자주 악용된다.
NNSA의 역할
국가핵안전국은 미국 핵무기 비축 관리, 비확산(non-proliferation) 정책 실행, 핵추진 항공모함·잠수함용 핵연료 공급 등을 총괄한다. 따라서 NNSA 시스템이 공격에 노출됐다는 사실만으로도 국가 안보 차원의 우려가 제기된다.
Microsoft 365(M365)의 방어 체계
DOE가 언급한 Microsoft 365는 전자메일, 파일 저장, 협업 도구를 통합 제공하는 클라우드 기반 생산성 플랫폼이다. 다단계 인증(MFA), 조건부 접근 정책, 위협 인텔리전스 기반 회피 탐지 등 다양한 내장 방어 메커니즘이 포함돼 있어, 취약점이 발견되더라도 영향을 국소화할 수 있게 설계됐다.
보안 커뮤니티의 시사점 이번 사고는 클라우드 전환 가속화가 보안 완충지(buffer) 역할을 할 수 있음을 시사한다. 한편, SharePoint처럼 널리 쓰이는 솔루션에서 제로데이 결함이 드러났다는 사실은, "완벽한 보안은 존재하지 않는다"는 냉엄한 현실을 다시 보여준다. 기관·기업은 실시간 로그 모니터링, 취약점 탐지 프로그램 참여, 즉각적인 패치 적용 등 적극적 위협 관리 전략을 유지해야 한다.
DOE는 아직 외부 침입자 신원이나 구체적인 침투 경로를 공개하지 않았다. 다만 "조사 결과가 나오는 대로 필요한 모든 후속 조치를 취할 것"이라고 강조했다. 현재까지 핵무기 관련 기밀 데이터 유출 징후는 없으며, 복구 작업이 완료되는 대로 추가 현황을 발표할 예정이다.
이 기사는 AI의 도움을 받아 작성됐으며 편집자의 검수를 거쳤다.
