미 재무부가 러시아 제로데이 익스플로잇 브로커 ‘오퍼레이션 제로’를 최초로 제재했다. 미국 방산업체 L3해리스에서 해킹 도구 8건을 훔쳐 러시아에 넘긴 전직 임원에게는 징역 7년 3개월이 선고됐다.
미 재무부, 러시아 제로데이 브로커 ‘오퍼레이션 제로’ 첫 제재
미 재무부 해외자산통제국(OFAC)은 2026년 2월 24일 러시아 제로데이 익스플로잇 브로커 ‘오퍼레이션 제로(Operation Zero)’와 설립자 세르게이 젤레뉴크(Sergey Sergeyevich Zelenyuk)를 제재 대상으로 지정했다. 오퍼레이션 제로의 법인명은 매트릭스(Matrix LLC)이다. 이번 조치는 미국 지식재산보호법(Protecting American Intellectual Property Act, PAIPA) 제정 이후 최초 적용 사례이다.
재무부는 젤레뉴크 외에도 보좌관 마리나 바사노비치(Marina Vasanovich), 아지즈존 마마쇼예프(Azizjon Mamashoyev), 트릭봇(Trickbot) 갱단 연루 의혹의 올레그 쿠체로프(Oleg Kucherov) 등 개인 4명과 법인 3개를 동시에 제재했다. 아랍에미리트(UAE) 소재 스페셜 테크놀로지 서비스(Special Technology Services)와 어드밴스 시큐리티 솔루션즈(Advance Security Solutions)도 제재 대상에 포함됐다.
스콧 베센트(Scott Bessent) 미 재무부 장관은 “미국의 영업비밀을 훔치면 반드시 책임을 묻겠다”고 밝혔다. 그는 “재무부는 트럼프 행정부와 함께 민감한 미국 지식재산을 보호하고 국가 안보를 지키기 위해 지속적으로 노력할 것”이라고 덧붙였다.
방산업체 전직 임원, 제로데이 8건 훔쳐 러시아에 판매
사건의 핵심은 미국 방산업체 L3해리스(L3Harris) 트렌천트(Trenchant) 사업부의 전직 총괄 피터 윌리엄스(Peter Williams)이다. 호주 국적의 윌리엄스는 2022년 4월부터 2025년 6월까지 약 3년 2개월간 최소 8개의 제로데이 익스플로잇을 절취해 오퍼레이션 제로에 암호화폐로 판매했다.
트렌천트는 미국 정부와 동맹국 전용 제로데이 익스플로잇 및 해킹 도구를 제작하는 방산 전문 기업이다. 구(舊) 아지무스(Azimuth)와 린치핀랩스(Linchpin Labs)가 L3해리스에 인수되면서 트렌천트로 재편됐다. 민감 코드는 인터넷과 물리적으로 분리된 에어갭(air-gapped) 네트워크에 보관한다.
윌리엄스의 수법은 치밀했다. 에어갭 네트워크에서 휴대용 하드드라이브로 코드를 다운로드한 뒤, 개인 컴퓨터로 옮겨 식별정보를 제거하고 오퍼레이션 제로에 전달했다. 범행 장소는 미국 워싱턴 DC와 호주 시드니 소재 트렌천트 시설이다.
거래 규모와 형량
| 항목 | 내용 |
|---|---|
| 절취 익스플로잇 수 | 최소 8건 |
| 확인된 수령 대금 | 130만 달러(약 18억 8,500만 원) 이상 |
| 계약 총액 | 400만 달러(약 58억 원) 초과 |
| L3해리스 추정 손실 | 3,500만 달러(약 507억 5,000만 원) |
| 선고 형량 | 징역 7년 3개월 |
| 벌금 | 25만 달러(약 3억 6,250만 원) |
| 배상금 | 3,500만 달러(약 507억 5,000만 원) |
개별 거래 내역을 보면, 최초 계약은 24만 달러(약 3억 4,800만 원)이었다. 2023년 12월에는 단일 도구 하나에 200만 달러(약 29억 원)가 오갔다. 2025년 6월 마지막 거래는 50만 달러(약 7억 2,500만 원)이었다. 윌리엄스는 이 돈으로 워싱턴 DC에 계약금 156만 달러(약 22억 6,200만 원)짜리 주택을 구입했다.
윌리엄스는 2025년 10월 29일 영업비밀 절취 2건에 유죄를 인정했다. 2026년 2월 24일 징역 7년 3개월을 선고받았으며, 검찰 구형은 9년이었다. DC 주택 1채, 시계 22점, 보석류, 고급 의류, 다수 은행 및 암호화폐 계좌가 압수됐다. 형 집행 후 호주로 추방된다.
오퍼레이션 제로, 제로데이 1건에 최대 290억 원 제시
오퍼레이션 제로는 2021년 러시아 상트페테르부르크에서 설립됐다. 제로데이 취약점을 매입해 비(非)나토(NATO) 국가와 외국 정보기관에 재판매하는 것이 주요 사업이다. 특히 발견한 취약점을 해당 소프트웨어 개발사에 통보하지 않아, 랜섬웨어 공격 등 악의적 활동에 악용될 위험이 크다.
이 기업의 제로데이 현상금 규모는 시장의 크기를 보여준다. 2023년 오퍼레이션 제로는 안드로이드와 아이폰 풀체인 제로데이에 최대 2,000만 달러(약 290억 원), 텔레그램 제로데이에 최대 400만 달러(약 58억 원)를 공개 제시했다. 함께 제재된 어드밴스 시큐리티 솔루션즈 역시 스마트폰 해킹 제로데이에 최대 2,000만 달러를 현상금으로 내걸었다.
검찰은 재판 과정에서 “사이버 브로커는 차세대 국제 무기 딜러”라고 경고했다. 제재 대상에 UAE 소재 기업 2곳이 포함된 것은 중동이 사이버 무기 거래의 중간 거점으로 부상하고 있음을 시사한다.
한국 시사점
이번 사건은 한국에도 직접적인 경고를 던진다.
첫째, 유출된 익스플로잇의 위협이다. 한국은 미국 동맹국으로서 트렌천트의 해킹 도구를 활용할 수 있는 ‘선별된 동맹국’ 범주에 해당할 가능성이 높다. 유출된 익스플로잇이 한국 대상 사이버 공격에 악용될 수 있다.
둘째, 러시아발 사이버 위협이 이미 현실화됐다. 2026년 2월 러시아어권 해커 조직이 생성형 AI를 무장해 한국 포함 55개국 방화벽 약 600대를 돌파한 사건이 발생했다. 아마존닷컴 보안 연구팀의 CJ 모지(CJ Mosey)는 “그들은 견고한 보안 시스템과 씨름하는 대신 AI를 활용해 방어가 약한 약 600개 장비를 비용 효율적으로 식별했다”고 분석했다.
셋째, 한국 사이버보안 시장에는 기회이기도 하다. 한국 사이버보안 시장은 2033년까지 118억 6,000만 달러(약 17조 원) 규모로 연평균 14% 성장할 전망이다. 안랩, 삼성SDS 등 국내 보안 기업은 AI 기반 위협 탐지 및 제로데이 대응 역량을 강화하고 있다.
넷째, 방산업체 내부자 위협 관리가 중요하다. 에어갭 네트워크도 물리적 반출에는 취약하다는 것이 이번 사건에서 드러났다. 한국 방산업체도 이동식 저장매체 관리를 강화해야 한다.
다섯째, 암호화폐를 통한 사이버 무기 거래 대금 결제가 확인돼, 한국 금융당국의 가상자산 자금세탁 방지(AML) 규제와도 직접 연결된다. 미국의 PAIPA 최초 적용은 사이버 무기 거래에 대한 국제 규범 강화의 신호이며, 한국도 관련 법제도 정비가 필요하다.
© 2026 TechMore. All rights reserved. 무단 전재 및 재배포 금지.
기사 제보
제보하실 내용이 있으시면 techmore.main@gmail.com으로 연락주세요.
