미국 핵무기 시설이 SharePoint 취약점으로 인해 해외 해커에 의해 침해됨

 (csoonline.com)
1P by GN⁺ 14시간전 | ★ favorite | 댓글 1개
  • SharePoint의 보안 취약점으로 인해 해외 해커들이 미국의 핵무기 시설에 침투함
  • 이 침해는 단순한 IT 문제를 넘어 품질 보증 및 SCADA 시스템과 같은 운영 환경에도 영향 가능성을 보임
  • IT와 OT 보안의 불일치가 연방 기관 전체에서 중요한 문제로 드러남
  • 연방 정부는 전통적인 IT 네트워크의 제로 트러스트 전략은 진전시켰지만, OT 환경에 대한 적용은 늦어지는 상황임
  • 방위부가 OT용 제로 트러스트 컨트롤 개발을 추진하며, 앞으로 IT와 OT를 아우르는 통합적 보안 전략이 마련될 전망임

SharePoint 취약점과 미국 핵무기 시설 침해

  • SharePoint의 결함을 이용해 해외 해커들이 미국 핵무기 시설에 접근한 사건이 발생함
  • 전문가 Sovada는 이러한 접근이 품질 보증을 관리하는 분배 제어 시스템이나, 전력·환경 제어를 담당하는 SCADA 시스템에도 영향을 줄 수 있음을 강조함
  • 이 문제는 단순한 IT 취약점이 아님을 시사함

IT/OT 융합과 제로 트러스트 보안의 격차

  • 캔자스시티 사건은 연방 기관 전체에서 IT와 OT 보안 관행 간 불일치라는 구조적 문제를 부각시킴
  • 연방 정부는 기존 IT 네트워크에 대해 제로 트러스트 로드맵을 발전시키고 있음
  • 하지만 운영 환경(OT)에서는 비슷한 보안 프레임워크 구축이 상대적으로 지연되고 있는 상황임
  • 최근에는 이러한 운영 기술(OT) 보안 프레임워크 개발도 진전되고 있음

IT와 OT 보안을 통합하는 시도

  • Sovada는 제로 트러스트, 네트워크 분할, 인증 및 신원 관리를 위한 IT 관리 도구(팬 차트)가 존재함을 언급함
  • 미국 국방부는 OT 환경에서 제로 트러스트 적용을 위한 팬 차트를 개발 중임
  • 궁극적으로 IT와 OT의 제로 트러스트 관리 지침을 통합해, 모든 네트워크 유형에 걸친 포괄적 보안을 목표로 하고 있음
GN⁺ 14시간전  [-]
Hacker News 의견

  • 이직 제안이 오면 가장 먼저 하는 일 중 하나는 그 회사 이메일 도메인의 MX 레코드를 확인하는 것임, 이건 상대방 모르게 회사가 Microsoft 기반 회사인지 1초 만에 체크하는 방법임
    만약 Microsoft라면 내게는 대형 경고 신호임. Microsoft 제품이 대세라서 단순히 내 개인적 경험을 토대로 얘기하는 것이지만, 20년 넘게 일하며 느낀 건 MSFT 기반 IT 스택을 쓰는 회사는 대부분 내가 싫어하는 엔지니어링 문화를 갖고 있을 확률이 크다는 점임
    Outlook, Sharepoint, Teams 같은 것만 쓴다고 모두 나쁜 문화의 회사라고 할 수는 없겠지만, 인터뷰에서 물어보는 그 어떤 질문보다 열악한 기술 문화의 회사일 확률이 높은 지표라서 여전히 이 방법을 씀
    Microsoft 중심 엔지니어들에게 무례하게 들릴 수 있는데, 진짜 미안함. 문제는 나한테 있음

    • 솔직히 말해서 이렇게 생각하면 본인이 문제 있는 직원처럼 들림
      Microsoft 안 쓰는 회사들은 대부분 Google을 쓰고, 내가 경험하기로는 오히려 그게 더 나쁨
      실제로 Microsoft 혐오자들과 같이 일해본 경험상, 이런 사람들은 팀에서 회사가 선택한 도구를 안 써서 항상 발목을 잡는 타입이었음
      (추가로, 예전 글이 갑자기 평점이 왜 떨어지는지 모르겠음)

    • 회사에서 Mac 노트북을 지급하면 내게는 좋은 신호이고, 반면에 Windows 노트북을 지급하면 부정적인 신호임
      내가 다녔던 최고의 회사는 매 소프트웨어 엔지니어에게 Mac 노트북과 Linux 데스크톱을 기본 장비로 제공했음

    • 완전히 공감함. 두 가지 환경에서 모두 일해봤고, 이제 MS 환경에서는 연봉이 7자리(백만 단위)가 아니면 절대 다시 일하고 싶지 않음

    • 개인적으로 노동에 대한 존중이 낮은 회사(예: h1b 비자 남용)와 MS 환경 사용이 연관 있다고 느낌
      캘리포니아에 있다 보니 특히 로컬 인재나 노동자에 대한 존중이 거의 없음
      노동조합이나 주 자체조차 빠르게 허물게 하는 분위기임

    • 이런 환경은 진짜 엄청나게 나쁨
      소프트웨어와 컴퓨터는 원래 별로라는 심리를 심어주고, 이런 문화가 소프트웨어를 만드는 사람들에게도 나쁜 영향을 주는 것 같음

  • 이런 주제의 글이 나오면 항상 사람들은 "마이크로소프트 구리네 ㅋㅋ" 라고 하는데, 그들을 지탱하는 비즈니스적 이유를 생각하지 않는다고 봄
    Exchange를 쓰지 말라고? 다른 대안은 뭔가? 15명부터 15만 명까지 지원 가능한가? 나는 7만 명이 쓰는 Exchange 클러스터 운영했었음. 비공유 디스크로 이중화된, 단일 엔드포인트로 접속하는 시스템을 대체할 수 있는 메일 소프트가 있나?
    Sharepoint에 또 RCE(원격 코드 실행) 두 개 터졌다고? 놀랍지 않음, 소프트웨어 자체는 그닥임
    그럼에도 불구하고 이 소프트웨어는 대용량 부하에 잘 견딤. 모든 오픈소스 솔루션은 소규모 환경에서는 괜찮아도 대규모에는 자주 무너짐
    오픈소스 개발자가 이런 지루하고, 컴퓨터 문맹 사용자와 인터페이스하는 일을 무료로 하려고 안 하는 점도 이해함
    그리고 Microsoft 소프트웨어는 어느 정도 하위 호환도 해줌. 회사들에는 수십 년간 아무도 건드리지 않은 이력서, 매크로 있는 엑셀 파일 등 레거시 소프트가 널려 있음
    Registry 손 보고 보안도 좀 떨어지겠지만 97년 엑셀 매크로 파일이 여전히 돌아감. MS Office 정도의 호환성 있는 오피스 제품 찾기 힘들다고 생각함
    요는 Microsoft가 진짜 고르디우스 매듭 같은 문제를 갖고 있고, 사실상 "하위 호환 이제 그만, 다 업그레이드하세요" 밖엔 답이 없음
    그러는 와중에 몇 년 전 회사에서 Exchange Web Services로 만들어준 솔루션을 또 업그레이드해달라고 연락이 옴. Microsoft가 Office365에서는 Exchange Web Services를 껐고, 이제 GraphAPI로 바꿔달라고 함

    • Exchange 중심의 MS 제품이 가진 장점을 이야기하는 것 같은데, 지금 이슈는 Sharepoint임
      Windows와 마찬가지로 Microsoft는 Exchange 같은 걸로 방어선을 쌓았음
      진짜 궁금한 건 왜 모든 회사가 Microsoft의 전 생태계를 선택하는지임. 특히 웹 기술 관련해서는 MS가 정말 끔찍하게 못 하고, Sharepoint는 그중에서도 최악임
      그런데 Postfix/Dovecot 같은 대규모 메일 시스템 설치 사례도 실제로 꽤 있는 듯.
      reddit의 대규모 메일서버 구축 경험 공유

    • Sharepoint가 RCE가 또 터졌다고 하는데, 이 소프트웨어가 심각하다고 말함
      하지만 결국 이 기능은 파일 공유 서버 같은 거 아님? (나는 안 써봤음)
      Samba나 FTP 서버도 대용량 문제없다고 봄. 실제로는 UI(인터페이스) 문제라고 생각함

    • 이런 시스템 없이 예전 무기 제조시설들은 어떻게 일을 했는지 궁금함

    • 실제로 Exchange 서버가 15만 명을 지원해야 할 회사가 얼마나 되는지 의문임
      일반적인 제조업체에서 이런 규모는 거의 없을 것 같음

    • 오픈소스 개발자들이 이런 틈새, 지루하고 컴맹 사용자와 소통해야 하는 소프트웨어를 맡으려는 경우가 거의 없음. 이건 정부가 오픈소스 소프트웨어를 개발하는 사람을 고용해서 공공의 이익에 기여하게 할 수도 있음
      미국 정부는 오바마 행정부 시절 "18F"라는 조직을 만들어서 실제로 시민에게 유용한 소프트웨어를 개발했음
      항상 문제였던 세금신고 프로그램 등, 정말 효과적으로 일했지만, 트럼프는 두 번째 임기 직후 바로 이 조직을 폐지함
      (참고: 18F 역사와 가치, Lawfare: 18F의 교훈)

  • 국가 중요 시설에 SharePoint를 어떤 생각으로 설치하는지 도통 모르겠음. 어떻게 이렇게 중요한 정보에 연관된 곳에서 SharePoint 같은 MS 제품을 쓸 수 있는지?
    MS Office 365, Teams, Edge까지도 포함해서
    당장 보안 정책을 재설계해야 할 것 같음

    • 이런 상황에 대해 정말 안 좋은 소식이 있음

    • 그렇다면 추천할 대안 솔루션이 있는지 궁금함

    • 핵심 기밀문서를 리조트 공공 화장실에 저장했다는 사람 이야기도 있는데…

    • 하지만 이렇게 해서 다 공짜로 쓸 수 있잖아! /농담

  • 예전에 Excel로 알림 시스템을 다운시킨 경험이 있음
    (사실 MSFT보다는 의도치 않은 부작용에 관한 이야기임)
    내가 알림 시스템을 운영하고, 로그 기반으로 'alert_log'라는 키워드를 찾는 구조임
    데이터 추적용으로 Excel 스프레드시트를 만들고 시트 중 하나를 'alert_log'라고 명명했음
    그런데 클라우드 버전 Excel을 썼기 때문에 입력된 텍스트가 모두 파이어월을 통과함
    파이어월 로그에 'alert_log'라는 텍스트가 기록됨
    알림 시스템이 로그에 이 키워드가 있다고 생각해 계속 알림을 트리거함
    두 번째 알림에는 또다시 파이어월 로그 내용이 들어가면서 무한 루프가 시작됨
    시스템들이 의도치 않게 상호작용하며 예측 못한 일이 벌어질 수 있음
    그래서 감사를 비롯해 레드팀, defense in depth 같은 다층적 접근이 중요함

    • 파이어월 엔지니어로서 이 문제 때문에 파이어월의 트래픽 로그를 syslog로 내보낼 때 로그 생성을 반드시 꺼야 한다고 안내함

  • Sharepoint는 내가 써본 최악의, 버그가 가장 많은 소프트웨어임
    Solidworks(3D 설계 툴)와 연동 시 파일이 갑자기 열리지 않는 버그가 수년째 있음
    Microsoft는 이 문제를 알고 있고, 해결 불가능한 사유도 보이지 않는데 몇 년째 방치함
    Microsoft의 클라우드 스토리지는 미로 같아서 찾고 싶은 파일이 어디 있는지, 동작하는지도 불확실함
    어떤 기능은 브라우저, 어떤 건 앱에서만 동작하고, 이런 목록도 정리돼 있지 않음
    그래서 무한대로 뚫릴 수 있는 취약점이 더 있을 거라 확신함

    • 최근 Microsoft 제품(특히 클라우드)은 매번 사용할 때마다 여러 단계의 버그와 오류, 생각보다 느린 구동 속도를 체험하게 됨
      최근에 새로운 서브도메인으로 메일 발송을 하려고 365에서 DKIM 설정을 찾는데, 이 메뉴 위치 찾는 것도 정말 고생임
      결국 서브도메인 이메일을 위한 DKIM 키 값도 루트 도메인에 붙여야 한다는 걸 알아냄
      진짜 비효율적임

    • 현재 정부계약 프로젝트를 진행하고 있는데 Slack에서 MS Teams로 모두 마이그레이션하라는 압박이 있음
      20년 가까이 MS 제품을 쓰지 않고 버텼는데, 대기업/공공기관에서는 사용자 경험(UX) 고통에 대한 인내력이 무한하다는 것을 깨닫는 중임

    • 우리는 MS가 호스팅하는 Sharepoint에 rsync로 파일을 동기화함
      MS 계열 파일(예: 엑셀)의 경우 파일이 도착하면 내부 메타데이터가 바뀌어 체크섬이 달라지고, 그 결과 rsync는 또다시 파일이 달라졌다고 인식해서 반복 동기화가 필요하게 만듦

    • MS Word 온라인은 적어도 2년 이상 Firefox Linux(다른 OS에서도?)에서 텍스트를 삭제하는 버그가 있음
      텍스트 에디터가 해야 할 1순위가 문서에 내용을 쓰는 건데 이게 안 되고 버그도 고쳐지지 않음
      오히려 유료 Overleaf로 갈아타고 비전문가들에게 LaTeX나 내장 에디터를 가르치는 게 나았음
      문서 출력도 아름답고, Overleaf는 멈추지 않고 정상 작동함. 정말 만족함
      비즈니스 365 유료 계정 고객임에도 Microsoft의 우선순위가 이상하다고 생각함
      MS Word 웹 버전에서 텍스트가 지워지는 버그 공식 Q&A

    • Sharepoint 같은 MS 서비스는 내부적으로 너무 필수적인 역할을 하는데도 마치 잊혀진 문제아처럼 취급하는 것 같음

  • Sharepoint가 그렇게 좋지 않다면 왜 대규모 악용 사례가 없을까 궁금함
    Fortune 500 기업 다수를 상대하는데, 체감상 90% 이상이 Sharepoint를 씀
    물론 구축 방식 차이는 많지만, 잘 구축하면 상당히 쓸만함
    더 나은 대안이 있다 해도 여러 벤더 제품 5~10가지를 유지하는 것 자체가 더 힘듦
    Teams 싫어하는 의견도 이해 못하겠음
    나는 Zoom, Slack, Discord 등 다양한 협업툴을 쓰지만 Teams도 일정, 회의, 녹화, Copilot 활용 등 모든 업무에 충분히 쓰임
    Discord의 실시간 멀티화면 공유와 자유 채널 참가 기능은 디버깅/페어 프로그래밍 시 마음에 들지만, Teams가 기본 필요는 모두 충족함

    • Sharepoint를 사용하는 대부분은 내부 서비스로만 열어둠
      MS가 o365(Office 365)로 SaaS 방식의 "신규" Sharepoint를 푸시하면서 MS가 알아서 인터넷에 노출하는 방식으로 바뀜
      다만 대신 MS가 패치나 WAF 등 보안관리를 책임지는 구조임

  • OT 시스템을 지원하는 회사 입장에서 Purdue 모델의 Level 5에서 Level 1/0 단계에 직접 쓰기 권한을 둔 걸 볼 때마다 곤혹스러움
    (추가) 위 퍼듀 모델에 대해서는 이 링크에서 설명함

  • 이 이슈를 보면 howfuckedismydatabase.com의 MSSQL 편이 떠오름

    • MSSQL은 개인적으로 Microsoft 제품 중에서 진짜 괜찮은 축에 든다고 생각함
      독특한 점(오라클도 마찬가지)이 있지만 기능, 안정성 모두 훌륭함

  • (CVE-2025-53770 관련 최근 보안사건 링크 공유)

  • 핵분열 시설을 인터넷에 노출시키는 사람은 감옥 가야 한다고 생각함

    • 사실 핵분열 시설이 아니라, 미국 핵무기용 핵심 부품을 제조하는 공장이 맞음
      보도 내용상 IT 시스템이 해킹 대상이었고, 실제 운영 시스템은 에어갭(외부 네트워크와 분리) 상태였을 수도 있음
      그래도 민감한 생산 시설도 완벽히 외부와 차단할 수는 없음
      그곳 직원들도 먹을 것, 사무용품, 화장지 등 기본적 생활이 필요하니까 어느 정도 외부 연결은 불가피함
답변달기