[워싱턴] 미국 핵무기 안전과 설계를 담당하는 미국 국가핵안보청(National Nuclear Security Administration·NNSA)이 마이크로소프트(NASDAQ:MSFT)의 협업·문서 관리 플랫폼 쉐어포인트(SharePoint)를 겨냥한 해킹 공격의 피해 기관에 포함됐다고 블룸버그통신이 전했다.
2025년 7월 23일, 로이터 통신의 보도에 따르면 이번 침해는 주말 사이에 탐지됐으며, 해커는 쉐어포인트의 취약점을 악용해 연방 정부 여러 기관의 내부 문서 시스템에 접근한 것으로 알려졌다. 현지 보안 당국은 “공격자가 내부망에 침투한 흔적은 확인됐지만, 핵무기 설계·배치와 관련된 기밀 자료는 유출되지 않았다”고 잠정 결론 내렸다.
블룸버그는
“이번 사건으로 NNSA의 핵무기 데이터베이스나 과학연구 네트워크와 같은 1급 보안 구역에 저장된 정보는 손상되지 않은 것으로 보인다”고 복수의 익명 소식통을 인용해 보도했다. 그러나 내부 조사 결과가 최종 확정되기까지는 상당한 시간이 걸릴 전망이다.
용어‧기관 설명
SharePoint 는 기업 및 공공기관이 문서를 저장·공유·협업할 수 있게 해 주는 마이크로소프트의 웹 기반 플랫폼이다. NNSA는 미국 에너지부(DOE) 산하의 반자율 기관으로, 핵무기 비축·현대화, 핵 비확산, 해체 등을 총괄한다. 이 두 시스템이 함께 침해됐다는 사실은 국가 안보에 중대한 잠재적 위험을 시사한다.
전문가들은 “기관 간 파일 공유가 늘어남에 따라, 쉐어포인트 같은 협업 도구는 해커에게 훌륭한 교두보”라며 “광범위한 연방 네트워크에 침투할 수 있는 ‘디지털 관문’이 되고 있다”고 지적한다.
사건 경과 및 대응
로이터는 이와 관련해 미 에너지부(DOE), 사이버·인프라 보안국(CISA), 그리고 마이크로소프트 모두에게 논평을 요청했으나, 기사 송고 시점까지 공식 답변을 받지 못했다고 밝혔다.
미국 정부는 사건 즉시 CISA와 정보국(ODNI) 산하의 사이버 위협 대응 조직을 투입해 사이버 사고 대응 프로토콜을 가동했다. 현재까지 파악된 공격 벡터는 쉐어포인트의 인증 우회 취약점으로, 계정 탈취 후 권한을 상승시키는 방식이 사용된 것으로 분석된다.
사이버 보안 전문가들은 이번 공격을 ‘공급망 공격’(supply-chain attack) 유형으로 분류한다. 즉, 해커가 1차 목표(마이크로소프트 서비스)를 먼저 공략해 이를 쓰는 다수의 2차 목표(연방 기관·민간 기업)로 침투 범위를 확장하는 방식이다. 과거 2020년 솔라윈즈(SolarWinds) 사태 때와 유사한 시나리오라는 점에 보안 업계는 주목하고 있다.
잠정 피해 범위
CISA는 아직 정확한 침해 기관 수와 데이터 손실 규모를 밝히지 않았지만, 블룸버그는 “NNSA를 포함해 최소 수 개의 연방 기관이 동일한 해킹 캠페인의 영향을 받았다”고 전했다. 에너지부 산하의 연구소 일부 서버도 검사 대상에 올랐다.
관계자들은 “‘민감하지만 기밀은 아닌 정보’의 외부 유출 가능성을 배제하지 않고 있다”면서, 예컨대 외주 업체 계약서·시설 유지보수 계획·부서 간 회의록 등이 포함될 수 있다고 설명했다. 이러한 데이터라도 침해되면 보안 시스템 파악이나 사회공학적 추가 공격에 악용될 수 있다.
정치·외교적 파장
미 의회 일각에서는 이번 사고를 두고 “핵무기 관리 체계의 전반적 취약성”을 재점검해야 한다는 목소리가 높아지고 있다. 사이버 안보 관련 청문회 개최 가능성도 거론된다. 특히 핵 인프라를 노린 사이버 공격은 국제 안보 환경에도 직접적 영향을 미칠 수 있어, 동맹국과의 정보 공유 체계 강화가 시급하다는 지적이다.
현재까지 공격 주체가 누구인지 공식적으로 확인된 바는 없으며, 미 정부는 ‘포렌식 분석 결과가 나올 때까지 특정 국가나 단체를 지목하지 않겠다’는 방침을 유지하고 있다. 다만 일부 민간 보안업체들은 “지능적 지속 위협(APT) 그룹의 전술·기술·절차(TTP)가 포착됐다”고 진단했다.
전문가 평가 및 전망
워싱턴 소재 싱크탱크 CSIS의 사이버 전략 선임연구원은
“핵무기 관리를 담당하는 기관에서도 클라우드·협업 플랫폼 의존도가 빠르게 증가하고 있어, 물리적 보안과 디지털 보안 간 격차가 커지고 있다”
고 평가했다. 그는 “베스트 프랙티스(다중 인증·제로트러스트·권한 최소화) 도입이 시급하다”고 강조했다.
마이크로소프트 측은 “조사 지원 및 패치 배포에 총력을 다하고 있으며, 고객 및 파트너에게 공식 보안 권고문을 전달했다”고 밝혔다. 회사는 쉐어포인트 클라우드·온프레미스 사용자에게 신규 보안 패치를 신속히 적용할 것을 권고하고 있다.
사이버 보안 업계는 이번 사건을 계기로 연방 정부의 ‘클라우드 우선(Cloud First)’ 전략에 대한 재검토가 불가피하다고 보고 있다. 핵심 인프라를 다루는 기관이 상용 소프트웨어‧서비스(COTS·SaaS)를 채택할 때 요구되는 보안 인증·감사 체계가 대폭 강화될 것이라는 전망도 나온다.
향후 일정
미 에너지부와 CISA는 조사 중간 결과를 수일 내 의회에 보고할 계획이다. 관련 청문회 날짜는 아직 확정되지 않았지만, 정보위원회·에너지위원회·군사위원회가 공동 소집할 가능성이 높다. 포렌식 분석 결과 및 피해 기관 리스트는 기밀 등급 검토를 거쳐 공개 수준이 결정될 예정이다.
한편, 해킹 사고 알림 의무(Incident Notification Mandate) 시행이 다가오면서, 이번 사건은 ‘최초의 테스트 케이스’가 될 전망이다. 연방 기관은 72시간 이내 사이버 사고를 보고해야 하는데, NNSA 침해 사실이 제때 전파됐는지도 조사 대상이다.
이처럼 고도화된 공격이 반복되면서, 미국은 핵 인프라 보호를 위한 ‘디지털 방화벽’ 구축에 막대한 투자를 지속할 것으로 보인다. 전문가들은 “사이버 방어는 단순 기술 구현이 아니라, 거버넌스·인력·예산이 결합된 종합 체계”라고 입을 모은다.
