“도면 털리면 수십조 원 증발”… K-방산, ‘디지털 진주만’ 경고등

대한민국 방위산업이 미 해군 MRO(유지·보수·정비) 시장 진출과 핵추진 잠수함 기술 확보라는 쾌거를 이루며 '민주주의의 병기고'로 발돋움하고 있다.

그러나 화려한 수출 성과 뒤에는 치명적 그림자가 드리워져 있다. 북한·중국·러시아의 전방위 사이버 공세와 취약한 공급망 보안이 맞물려, 자칫 기술 유출을 넘어 '디지털 진주만' 공격을 당할 수 있다는 경고가 나온다. 수출은 초격차를 달성했지만, 보안도 이에 걸맞게 강화해야 한다는 지적이 나오는 합리적 이유다.


2025년 현재, 대한민국 사이버 전선은 단순 정보 유출을 넘어 AI가 주도하는 파괴와 기만의 장, 즉 '해킹 3.0' 시대로 진입했다. 생성형 AI와 딥페이크로 무장한 해킹 조직의 사이버 침투로 대한민국 전역이 사이버 전쟁터가 되고 있다.

적들은 더 이상 어설픈 피싱 메일을 보내지 않는다. 생성형 AI로 제작한 가짜 최고경영자 목소리로 송금을 지시하고, 자동화 봇으로 수만 개 서버 취약점을 동시다발 타격한다. 지난 2년간 발생한 사건들은 이것이 단순 범죄가 아니라, 국가 기간망 마비를 노린 '하이브리드 전쟁' 전초전임을 보여준다.
대한민국의 디지털 혈관인 통신망과 금융망이 유린당했다. 기간망부터 민간 공급망까지 예외가 없었다.

2025년 4월, 중국 기반 해킹 조직이 987일간 SKT 서버에 잠복하며 유심 정보 2696만 건을 탈취했다. KT 서버에서도 동일한 'BPFDoor' 악성코드가 발견됐다. 전문가들은 이를 개인정보 탈취가 아닌, 전시 통신망 교란과 도청을 위한 사전 지도 작성 작업으로 분석한다.

2025년 9월에는 금융권 연쇄 공격이 있었다. 러시아 기반 랜섬웨어 그룹 '치린(Qilin)'이 국내 주요 시중은행과 기업을 강타했다. 단순 데이터 암호화를 넘어, 백업 서버까지 파괴하겠다며 금융 시스템 가용성을 위협한 '디지털 인질극'이었다.

해외 사례는 AI 해킹이 얼마나 치명적인지 보여주는 '미리 보는 미래'다.

2024년 1월, 홍콩에서 금융사 딥페이크 사기 사건이 발생했다. 해커들은 AI로 제작한 '가짜 최고재무책임자'를 화상회의에 등장시켰다. 참석자 전원이 딥페이크 영상이었음에도 직원은 속아 2억 홍콩달러(약 376억 원)를 송금했다. '보는 것이 믿는 것'이라는 상식이 무너진 해킹 3.0의 상징적 사건이다.
북한 정찰총국 산하 라자루스 그룹은 2025년 초, 암호화폐 거래소 ByBit 등을 해킹해 약 15억 달러(약 2조 1900억 원) 규모의 암호화폐를 탈취했다. 이 자금은 고스란히 북한의 핵·미사일 고도화와 대남 사이버 공작 비용으로 전용되고 있다.

2023년 4월에는 이탈리아 핀칸티에리 조선소 공정이 마비됐다. 미 해군 차기 호위함을 건조하는 조선소가 랜섬웨어 공격을 받아 CNC(컴퓨터 수치 제어) 공작기계 등 운영기술 시스템이 멈춰 섰다. 데이터 유출 없이도 물리적 공정을 마비시켜 납기를 지연시키고 국방력 공백을 초래할 수 있음을 입증했다.

보안 전문기업들 분석을 종합하면, 2024~2025년 사이 북한·중국·러시아 국가 배후 해킹 그룹 공격으로 전 세계 방위·금융 산업이 입은 유무형 피해 규모는 약 4조 원에 달하는 것으로 추산된다.

그러나 금전적 피해보다 뼈아픈 것은 '신뢰 붕괴'다. 통신망이 뚫리고, 방산 도면이 유출되며, 금융 거래가 조작되는 상황에서 대한민국이 자랑하는 '디지털 강국' 위상은 사상누각에 불과하다. 정찰은 끝났다. 이제 적들은 우리 급소를 노리며 파괴 버튼을 만지작거리고 있다.


K-조선이 직면한 위협은 개별 해커들의 산발적 공격이 아니다. 북한, 러시아, 중국이라는 거대한 국가 권력이 배후에서 치밀하게 역할을 분담해 '삼각 파도'가 동시에 몰려온다. 이들은 각각 '생존을 위한 기술 절취(북한)', '전략 시설 파괴(러시아)', '패권 경쟁을 위한 잠복(중국)'이라는 명확한 목표 아래 한국 방산 심장부를 겨눈다.

북한은 안다리엘, 김수키, 라자루스 등 정찰총국 산하 3대 해킹 조직을 운용한다. 이들에게 한국의 3000톤급 잠수함(KSS-III)과 무인잠수정 기술은 단순 정보가 아니라, 체제 생존을 위한 '마지막 퍼즐'이다. 잠수함발사탄도미사일 탑재가 가능한 잠수함 건조 기술을 확보해 '수중 핵 전력'을 완성하려는 김정은 정권의 지상 과제가 달려 있다.

안다리엘은 최근 미 사법 당국의 기소와 제재에도 아랑곳하지 않고 더욱 대담해졌다. 이들은 '자급자족형 스파이'로 진화했다. 병원이나 중소기업에 랜섬웨어를 심어 뜯어낸 자금으로 고가의 제로데이 취약점 정보를 구매하고, 이를 이용해 방산 협력업체 서버를 정밀 타격한다. 보안 전문가들은 "과거 대우조선해양 도면 4만 장 유출은 서막에 불과하며, 지금은 협력업체 소프트웨어 업데이트망을 변조해 악성코드를 심는 수준까지 진화했다"고 경고한다.

러시아는 치린 등 친러시아 랜섬웨어 그룹을 동원한다. 우크라이나 전쟁 이후 러시아 해킹 그룹은 '정보 유출'에서 '물리적 파괴'로 노선을 변경했다. 이들의 목표는 사무실 PC가 아니라, 조선소 현장의 크레인, 용접 로봇, 전력망을 제어하는 운영기술 시스템이다.

러시아는 북한과 군사적 밀착을 넘어 사이버 전술까지 공유하는 정황이 포착됐다. 러시아의 고도화된 랜섬웨어 기술이 북한의 침투력과 결합할 경우, 한국 조선소의 스마트 야드 시스템이 암호화되어 멈춰 서는 악몽이 현실화될 수 있다. 이는 전시에 함정 건조와 수리를 불가능하게 만드는 사실상의 '디지털 미사일 공격'과 다름없다.

중국은 서해와 인도·태평양에서 미 해군을 노리는 잠복자다. 볼트 타이푼 등 국가 지원 해킹 그룹들이 한미 핵 잠수함 협력을 가만히 지켜보지 않을 것이다.

중국의 접근법은 가장 은밀하고 치명적이다. 이들은 시스템을 파괴하거나 정보를 빼내 바로 도망치지 않는다. 대신 미 해군 함정이 수리를 위해 들어올 한국 조선소 인프라 깊숙한 곳에 '침묵의 백도어'를 심고 장기간 숨죽여 기다린다.

한국이 미국의 '해군 MRO 거점'이 되는 순간, 중국 해커들은 조선소 내 중국산 ZPMC 크레인이나 통신 장비에 심어둔 백도어를 활성화할 수 있다. 이를 통해 미 해군 함정의 위치, 수리 상태, 작전 투입 시기 등 민감한 정보를 베이징으로 실시간 전송하거나, 대만 분쟁 등 유사시 전력망을 차단해 미군의 발을 묶는 '사전 배치' 전략을 구사할 것이다.


한화오션과 HD현대중공업 등 '빅2'는 난공불락의 보안 요새를 구축했다. 문제는 그 뒤에 있는 수천 개의 중소 협력업체다.

한화오션은 독자 개발한 '시큐에이더'로 미국 선급 ABS의 까다로운 사이버 보안 인증을 획득했고, HD현대중공업은 세계 최초로 도청이 원천적으로 불가능한 양자 암호 통신망을 구축했다. 겉으로 보면 난공불락의 요새다.

그러나 이 화려한 방패 뒤에는 수천 개에 달하는 중소 협력업체라는 치명적인 '구멍'이 존재한다. 방산 해킹의 80% 이상은 대기업이 아닌, 보안 투자 여력이 없는 2·3차 벤더를 통해 발생한다. 해커들은 굳이 철통 보안을 자랑하는 대기업 정문을 부수지 않는다. 보안 담당자조차 없는 영세한 부품업체의 서버를 감염시킨 뒤, 이를 '디지털 트로이 목마'로 삼아 대기업 내부망으로 우회 침투하는 '공급망 공격'을 감행한다.

더욱 심각한 것은 '비용의 장벽'이다. 미 국방부의 공급망 보안 인증인 CMMC(사이버보안 성숙도 모델 인증) 레벨 2 이상을 충족하려면, 보안 관제 구축과 전문 인력 운영에 연간 최소 수억 원 이상의 고정 비용이 든다. 영업이익률이 5% 남짓인 영세 뿌리 기업들에게 이는 감당 불가능한 비용이다.

최근에는 비용 절감을 위해 중소기업들이 이용하는 IT 위탁 관리 업체가 해커들의 먹잇감이 되고 있다. 해커가 IT 위탁 관리 업체 한 곳만 뚫으면, 그들이 관리하는 수십, 수천 개의 방산 협력업체 서버 권한을 동시에 탈취할 수 있기 때문이다. K-방산이 수출 잭팟을 터뜨리는 동안, 그 뿌리가 되는 공급망은 북한 해커들의 손쉬운 '놀이터'로 전락했다는 자조 섞인 비판이 나오는 이유다.


많은 기업이 미국 국방부 CMMC 인증 획득을 보안의 '종착역'으로 믿고 있지만, 전문가들은 이를 위험천만한 발상이라고 경고한다. 인증은 정해진 체크리스트를 통과했다는 '서류상 면허'일 뿐, 실시간으로 진화하는 지능형 지속 위협을 막아주는 '실전용 방패'가 아니기 때문이다.

실제로 2023년 미 해군 차기 호위함을 건조하던 이탈리아 핀칸티에리 조선소는 엄격한 나토 보안 규정을 준수했음에도 랜섬웨어 공격을 피하지 못했다. 해커들은 데이터를 훔치는 대신, 선박의 철판을 자르는 CNC 공작기계 서버를 암호화해버렸다. 이로 인해 건조 공정이 전면 중단되는 초유의 사태가 발생했다. 이는 규제 준수를 넘어, 적의 공격 시나리오를 예측하고 방어하는 '위협 기반 방어'로의 전환이 시급함을 시사한다.

더 뼈아픈 위협은 내부에서 자라나고 있다. 수조 원을 들인 보안 시스템도 내부자가 작정하고 열어주는 뒷문 앞에서는 무력하다. 이미 우리는 KDDX(한국형 차기 구축함) 기밀 유출 사건을 통해, 경쟁사의 기밀을 훔치려는 임직원들의 비뚤어진 성과주의와 도덕적 해이가 어떤 참사를 낳는지 목격했다.

여기에 인력난 해소를 위해 급격히 유입되는 외국인 노동자들은 또 다른 뇌관이다. 신원 검증이 완벽하지 않은 단기 체류자가 작업장 내 단말기에 악성 코드가 담긴 USB를 꽂거나, 설계 도면을 초소형 카메라로 촬영해 유출할 경우 이를 막을 방법이 마땅치 않다. 또한, 조선소 야드에 깔린 수만 개의 중국산 IoT 센서와 크레인에 제조 단계부터 심어진 '하드웨어 백도어' 역시 언제든 베이징의 지령을 수행할 첩보 위성으로 돌변할 수 있다. 사람과 장비를 믿지 않고 끊임없이 검증하는 '물리적 제로 트러스트' 도입이 절실한 시점이다.


지금 대한민국 방위산업은 중대한 기로에 서 있다. '방산 수출 4대 강국' 진입이라는 국가적 목표와 미 해군 MRO 시장 진출이라는 괄목할 성과를 목전에 두고 있지만, 그 화려한 이면에는 언제 터질지 모르는 '보안 파산'의 뇌관이 도사리고 있다. K-방산이 진정한 글로벌 리더로 도약하려면 '잘 만드는 능력'만큼이나 '잘 지키는 능력'을 입증해야 한다. 이를 위해 정부와 방산 업계는 지금 당장 뼈를 깎는 심정으로 현실적인 대안을 마련해야 한다.

첫째, K-방산 '사이버 방위 동맹' 구축이 시급하다.

최근 K-조선 방산의 두 핵심축인 한화오션과 HD현대중공업이 오랜 소송전을 멈추고 마침내 손을 잡았다. 수년간 KDDX 기밀 유출을 빌미로 갈등을 빚던 두 거인이 극적으로 고소·고발을 취하하며 화해를 선택한 것은, 글로벌 생존과 국익을 위해 소모적 '제로섬 게임'을 중단했다는 점에서 매우 상징적이다.

이제 이 화해의 정신을 '보안 분야'로 확장해 실질적인 안보 연대를 구축해야 한다. 물론 기업 간 치열한 수주 경쟁 속에서 모든 보안 정보를 공유하는 것은 쉽지 않다. 보안 역량은 여전히 개별 기업의 핵심 경쟁력이기 때문이다. 그러나 최소한 국가 안보와 직결된 외부의 기술 침탈 위협 앞에서 경쟁을 넘어선 '공동 방어선'을 구축해야 한다. 북한과 중국 등 적대 세력의 해킹 시도는 상상을 초월하며, 우리 내부의 보안 균열은 적에게 대문을 열어주는 것과 다름없다.

정부와 방위사업청 또한 낡은 규제를 혁파해 기업들의 협력에 힘을 실어줘야 한다. 사고 발생 시 기업을 죄인 취급하며 감점만 매기는 현행 제도는 기업들이 보안 사고를 필사적으로 숨기게 만든다. 이를 '자진 신고 감경' 및 '위협 정보 공유 인센티브' 중심으로 과감히 전환해야 한다. 민·관·군이 실시간으로 해킹 위협 정보를 공유하고 공동 대응하는 체계를 갖출 때 비로소 방어막은 견고해진다.

둘째, 중소 협력업체의 보안 수준을 '공용 인프라'를 통해 상향 평준화해야 한다.

영세한 협력업체에 단순히 보안 장비 구입비 지원만으로는 미봉책에 불과하다. 전문 운용 인력이 없는 중소기업에 고가의 첨단 보안 장비는 '비싼 고철'이나 다름없다. 발상을 전환해야 한다. 정부와 대기업이 공동으로 재원을 마련하되, 이를 개별 기업 지원이 아닌 '공용 보안 인프라 구축'에 투입해야 한다.

현실적인 대안으로 '표준화된 보안 클라우드' 환경 제공을 적극 검토해야 한다.

대기업이 통제하는 중앙 집중식 보안 서버를 구축하고, 협력업체들은 이 서버에 접속해 작업하는 가상 데스크톱 환경을 제공하는 방식이다. 이는 설계 도면이나 핵심 기술 자료가 보안이 취약한 협력업체 개별 PC에 저장되는 것을 원천 차단하고, 중앙에서 통합 관제하는 '데이터 샌드박스' 모델이다. 막대한 초기 구축 비용과 데이터 책임 소재 등 현실적 장벽이 존재하지만, 미국 국방부의 '프로젝트 스펙트럼' 등 해외 사례를 벤치마킹하여 공급망 전체의 보안 수준을 대기업급으로 끌어올릴 가장 효과적인 대안으로 논의해야 한다.

셋째, '체크리스트 보안'을 넘어선 '실전형 방어 역량'을 확보해야 한다.

단순히 CMMC 인증을 획득하거나 보안 감사 규정을 준수했다고 해서 면죄부를 얻을 수는 없다. 해커들은 규정집을 보고 공격하지 않는다. 북한, 러시아 등 사이버 위협 조직의 최신 전술을 모사하여, 예고 없이 불시에 침투를 시도하는 '실전형 모의해킹'을 의무화하고 상시화해야 한다.

이는 단순히 IT망을 넘어, 공장 가동을 멈추게 할 수 있는 운영기술 영역까지 포함한 고강도 훈련이어야 한다. 이러한 실전적 훈련만이 실제 사이버 공격 상황에서 K-방산의 생존을 담보할 수 있다.

방산 전문가들은 지금이야말로 눈앞의 수주 실적에 취해 있을 때가 아니라, 냉철하고 처절하게 '보안 주권'을 확립해야 할 골든타임이라고 경고한다. 보안이 뚫리면 수출 실적도, 국익도, 굳건한 한미 동맹의 신뢰도 한순간에 물거품이 될 수 있음을 명심해야 한다.


박정한 글로벌이코노믹 기자 park@g-enews.com