이란 사이버 부대, 미국·이스라엘 기간망 정조준…"키보드 전쟁" 전면 확전

공습 사이렌이 울려 퍼지는 이스라엘 하늘 아래, 수천 명의 시민은 이스라엘군을 사칭한 문자 메시지를 받았다. 가짜 대피소 안내 앱을 설치하라는 내용이었지만 실상은 개인정보를 통째로 탈취하려는 디지털 덫이었다. 뒤이어 "네타냐후는 죽었다. 곧 지옥문이 열릴 것이니 팔레스타인을 떠나라"는 섬뜩한 협박 문자가 대량 살포됐다. 총성 없는 전장, 이란의 해킹 조직이 이스라엘과 미국의 심장부를 향해 벌이고 있는 사이버 확전의 단면이다.

지난달 31일(현지시각) 영국 파이낸셜타임스(FT)는 이란의 사이버 작전 세력이 이스라엘과 미국을 겨냥해 전례 없는 수준의 파상공세를 이어가고 있다고 보도했다. 공포 조장과 정보 수집을 동시에 노리는 이 공격은 단순한 해킹을 넘어 군사작전 수준의 치밀한 설계로 구성돼 있다. 전직 미국 사이버보안청(CISA) 국장 크리스 크레브스는 "이란은 가용한 모든 자원을 쏟아붓고 있다"며 "그들의 사이버 요원들이 숨을 쉬고 있다면, 지금 모두 키보드 앞에 앉아 있을 것"이라고 경각심을 일깨웠다.




이란의 사이버 공격 체계는 고도로 조직화된 3단계 구조로 운영된다는 점에서 다른 국가들과 차별화된다. 이 구조의 핵심 설계 원리는 '책임 회피(plausible deniability)'다. 국가의 직접 개입 사실을 부인하면서도 공격 규모와 빈도를 무제한으로 확장할 수 있도록 설계돼 있다.
이 구조는 서방 정보기관이 배후를 특정하더라도 이란 정부가 "민간 해킹 집단의 소행"이라고 부인할 여지를 항상 남겨두는 비대칭 전력이다.


이 3단계 구조의 파괴력은 지난 3월 미국 의료기기 기업 스트라이커(Stryker) 사태에서 그대로 드러났다. 이란 정보부와 연계된 것으로 추정되는 해킹 그룹 '한다라(Handala)'는 61개국에 진출해 연 매출 250억 달러(약 38조 원) 규모를 자랑하는 스트라이커의 글로벌 전산망을 겨냥했다. 월스트리트저널(WSJ)에 따르면 공격 직후 마이크로소프트 운영체제를 사용하는 수천 명의 직원 휴대전화와 노트북이 작동 불능 상태에 빠졌으며, 내부 데이터 20만 건이 삭제되고 50TB 상당의 데이터가 외부로 유출됐다는 주장도 제기됐다.

스트라이커 측은 주문 처리·제조·출하 업무에 광범위한 차질이 생겼다고 공식 인정했다. 다만 "환자와 직결된 의료기기 자체에는 영향이 없었다"고 선을 그었다. 그럼에도 블룸버그는 미국 내 다수 병원이 이 기업의 수술용 장비를 사용하고 있어 사태가 장기화했다면 예정된 수술이 줄줄이 지연되는 초유의 의료 공백 사태로 이어질 수 있었다고 지적했다. 크레브스 전 국장은 이번 사태를 두고 "미국을 겨냥한 사이버 공격 중 가장 심각한 피해를 낳은 사례"로 평가했다.

한국과의 연결고리도 주목할 만하다. 스트라이커는 한국에도 1989년 진출해 인공관절 로봇수술 시스템 '마코(Mako)' 등을 국내 주요 병원에 공급하고 있다. 이번 공급망 공격은 스트라이커와 협력 관계에 있는 전 세계 병원·유통망으로 충격이 전이될 수 있다는 점에서 국내 의료계도 주의가 요구된다.

이란의 사이버 전술은 정보 탈취를 넘어 고위 인사를 겨냥한 심리전으로 빠르게 진화하고 있다. 보안 전문매체에 따르면, 이란 정보부와 연계된 것으로 평가되는 해킹 조직이 캐시 파텔 미국 연방수사국(FBI) 국장의 개인 이메일 계정에 침입해 개인 사진과 과거 이메일을 외부에 공개한 것으로 알려졌다. FBI는 유출 자료에 정부 기밀은 포함되지 않았다고 밝혔지만, 특히 미국 당국이 해당 조직의 인프라를 압수한 직후 이 공격이 발생했다는 점에서 보복 성격이 짙다는 분석이 나온다.

이런 수법은 이번이 처음이 아니다. 2022년에는 이스라엘 정보기관 모사드 국장의 부인 휴대전화가 해킹돼 개인정보가 유출되었다. 가족과 측근을 표적으로 삼아 심리적 압박을 극대화하는 이 전략은, 최첨단 기술이 없어도 상대국 핵심 인사를 흔들 수 있다는 이란식 비대칭 접근법의 전형이다.

이뿐만 아니라 이란 해커들은 알바니아 정치인의 이메일을 해킹하고, 폴란드 핵 연구소와 미국 국방 관련 기업 직원들의 신상 정보를 온라인에 공개하는 등 전방위 공세를 이어가고 있는 것으로 알려졌다. 이스라엘 보안기업 체크포인트 소프트웨어의 길 메싱 이사는 "이란이 이스라엘 기업에 수천 건의 데이터 삭제 공격을 감행해 약 50곳을 마비시키는 데 성공한 것으로 파악된다"며 "해킹으로 확보한 보안카메라 영상이 드론·미사일 공격의 좌표 설정에 활용되는 정황도 있다"고 분석했다.


과거 이란은 사이버 전장에서 일방적으로 당하는 처지였다. 2010년 세상에 알려진 악성코드 '스턱스넷(Stuxnet)'이 대표적 사례다. 미국과 이스라엘이 공동 개발한 것으로 알려진 이 웜바이러스는 이란 나탄즈 핵농축 시설에 침투해 우라늄 원심분리기 1000여 기를 파괴하고 핵 개발을 수년간 지연시켰다. 이란의 핵 과학자들은 화면에 아무런 이상 징후가 표시되지 않는 상태에서 장비가 자폭하는 장면을 목격해야 했다.

이 충격적인 패배 이후 이란이 선택한 반격의 무기는 첨단 기술이 아니었다. 보안 전문가들은 이란의 사이버 전력이 미국·중국·러시아 등 최상위 국가에 비해 최첨단 공격 기법 면에서는 제한적이라고 평가한다. 주로 이메일 낚시(피싱)나 데이터를 통째로 지워버리는 와이퍼(Wiper) 악성코드를 즐겨 쓴다. 그러나 대규모 동시다발 공격과 심리전을 결합하는 능력에서는 강점을 보인다. 적은 비용으로 상대국에 혼란을 심고 국민에게 심리적 타격을 입히는 데 특화된 '비용 효율형 비대칭 전쟁'이다.

체크포인트에 따르면, 이란 연계 해킹 조직들은 탈취한 VPN 계정으로 기업 내부망에 침투한 뒤 원격 데스크톱(RDP)을 통해 확산하고, 그룹 정책(GPO)으로 악성코드를 배포한 다음 와이퍼 공격으로 데이터를 초기화하는 정형화된 공격 패턴을 반복하고 있다.


더욱 우려스러운 것은 이란의 공격이 갈수록 대담해지는 반면 미국의 방어 태세가 거꾸로 약화하고 있다는 점이다. 미국 사이버 안보의 핵심축인 사이버보안청(CISA)은 트럼프 행정부와의 갈등 이후 2025년 1월부터 상임 국장이 공석인 상태다. 인력도 정상 수준의 3분의 1에 불과하다.

미국과 이스라엘의 구조적 차이도 약점으로 지목된다. 이스라엘은 국가가 핵심 인프라 보안을 직접 통제하는 중앙집중형 시스템을 운영하지만, 미국은 전력·의료·금융 등 핵심 인프라의 80~90%가 민간에 의해 운영된다. 연방-주정부-민간 부문의 방어 책임이 분절돼 있어 일관된 방어 체계를 갖추기 어려운 구조다.

미국 외교협회(CFR)의 매슈 페렌 연구원은 "이란이 재정비할 시간과 공간을 확보한다면 훨씬 결정적이고 치명적인 타격을 입힐 역량을 갖추게 될 것"이라고 경고했다. 전략국제문제연구소(CSIS)의 에밀리 하딩 연구원은 "우리의 방어망이 얼마나 취약한지 이미 적에게 다 노출된 상태"라고 우려를 표했다.

보안 전문가들은 이란 해킹 조직이 당장 파괴적 공격을 가하지 않더라도, 결정적인 순간에 사용하기 위해 미국 은행·공항·국방 소프트웨어 기업 네트워크 내부에 이미 잠복하며 취약점을 탐색하고 있을 가능성이 크다고 진단한다. 현재의 공격은 향후 지정학적 충돌이 격화되는 순간 대규모 파괴 작전으로 전환될 수 있는 '사전 침투 단계'일 수 있다는 경고다.


이란의 공격이 한국과 무관한 남의 일로 치부할 수 없는 이유가 있다. 한국은 방위산업 수출 규모가 급증하면서 중동 지역 분쟁과 연루된 공급망에 깊숙이 편입돼 있다. 한화에어로스페이스, LIG넥스원 등 국내 방산 기업들은 미국, 이스라엘과 협력 관계를 맺고 있으며, 글로벌 반도체 공급망의 핵심 고리인 삼성전자·SK하이닉스도 이란 해킹 조직의 잠재적 관심 대상이 될 수 있다.

국내 보안업계 관계자는 "한국 기업들이 미국·이스라엘과 공급망으로 연결된 한 이란의 공급망 공격 피탄 가능성을 배제할 수 없다"며 "특히 협력업체를 통한 측면 침투 방식은 대기업보다 보안 체계가 취약한 중소 협력사를 관문으로 삼는다"고 지적했다.

사이버 침투가 시장 교란으로 이어질 수 있다는 점을 감안해, 지금 당장 주시해야 할 지표 세 가지가 있다. 첫째, CISA의 상임 국장 임명 여부다. 미국 방어망의 최전선인 CISA가 수장 없이 공석 상태를 이어가는 한, 글로벌 사이버 공조 체계도 제 기능을 발휘하기 어렵다.

둘째, 이란의 핵 협상 진전 속도다. 외교적 출구가 막힐수록 이란은 사이버 공간에서 더 대담한 보복 카드를 꺼내 들 가능성이 높아진다.

셋째, 국내 주요 기반시설 및 방산·반도체 기업의 정보보호 투자 현황이다. 공격은 이미 공급망을 타고 흘러오고 있다.

하이테크 무기 못지않게 '키보드'가 국가 안보의 핵심 변수로 자리 잡은 지금, 사이버 방어망 재정비와 국제 공조 강화는 더 이상 미룰 수 없는 과제가 됐다.


김주원 글로벌이코노믹 기자 park@g-enews.com