미국 핵무기 시설이 SharePoint 취약점으로 인해 해외 해커에 의해 침해됨

• SharePoint의 보안 취약점으로 인해 해외 해커들이 미국의 핵무기 시설에 침투함
• 이 침해는 단순한 IT 문제를 넘어 품질 보증 및 SCADA 시스템과 같은 운영 환경에도 영향 가능성을 보임
• IT와 OT 보안의 불일치가 연방 기관 전체에서 중요한 문제로 드러남
• 연방 정부는 전통적인 IT 네트워크의 제로 트러스트 전략은 진전시켰지만, OT 환경에 대한 적용은 늦어지는 상황임
• 방위부가 OT용 제로 트러스트 컨트롤 개발을 추진하며, 앞으로 IT와 OT를 아우르는 통합적 보안 전략이 마련될 전망임

SharePoint 취약점과 미국 핵무기 시설 침해

• SharePoint의 결함을 이용해 해외 해커들이 미국 핵무기 시설에 접근한 사건이 발생함
• 전문가 Sovada는 이러한 접근이 품질 보증을 관리하는 분배 제어 시스템이나, 전력·환경 제어를 담당하는 SCADA 시스템에도 영향을 줄 수 있음을 강조함
• 이 문제는 단순한 IT 취약점이 아님을 시사함

IT/OT 융합과 제로 트러스트 보안의 격차

• 캔자스시티 사건은 연방 기관 전체에서 IT와 OT 보안 관행 간 불일치라는 구조적 문제를 부각시킴
• 연방 정부는 기존 IT 네트워크에 대해 제로 트러스트 로드맵을 발전시키고 있음
• 하지만 운영 환경(OT)에서는 비슷한 보안 프레임워크 구축이 상대적으로 지연되고 있는 상황임
• 최근에는 이러한 운영 기술(OT) 보안 프레임워크 개발도 진전되고 있음

IT와 OT 보안을 통합하는 시도

• Sovada는 제로 트러스트, 네트워크 분할, 인증 및 신원 관리를 위한 IT 관리 도구(팬 차트)가 존재함을 언급함
• 미국 국방부는 OT 환경에서 제로 트러스트 적용을 위한 팬 차트를 개발 중임
• 궁극적으로 IT와 OT의 제로 트러스트 관리 지침을 통합해, 모든 네트워크 유형에 걸친 포괄적 보안을 목표로 하고 있음