미국-이란 전쟁, 사이버 공격이 물리적 전쟁과 결합돼 파괴력 극대화
IoT 인프라의 국가 안보 자산화, AI 행위 분석, 소버린 클라우드 등 국가 차원 디지털 생존 전략 필요

[보안뉴스= 송종석 영남이공대학교 사이버보안과 교수] 2026년 2월, ‘장대한 분노’(Operation Tremendous Fury) 작전으로 명명된 미국·이스라엘과 이란 간 전쟁은 현대전의 패러다임이 얼마나 근본적으로 변했는지 적나라하게 보여 주었다. 과거의 사이버 공간이 물리적 전장을 보조하는 부차적 수단에 머물렀다면, 이제는 국가 지휘 체계를 붕괴시키고 핵심 인프라를 실시간으로 마비시키는 ‘제1전선’으로 격상됐다.

최근 발간된 ‘2026 글로벌 위협 보고서’에 따르면, AI를 무기화한 해커들이 초기 침투 이후 내부망으로 이동하는 데 걸리는 시간(Breakout Time)은 최단 27초까지 단축됐다. 기존 방어 체계의 대응 한계를 까마득하게 초월하는 속도다.

이번 전쟁이 드러낸 사이버전 진화 양상을 면밀히 살펴보고, 우리가 반드시 갖추어야 할 대응 전략을 제시한다.


1. AI와 물리적 타격의 완벽한 결합: ‘감시자’를 역이용한 표적 암살
이번 전쟁에서 가장 충격적인 장면 가운데 하나는 사이버·물리 융합(Cyber-Physical) 타격의 정밀화였다. 이스라엘은 이란 정권이 반정부 시위 통제와 히잡 착용 강제를 목적으로 수년간 막대한 자본을 투입해 구축한 방대한 거리 감시 카메라망을 역으로 해킹했다.

이는 단순한 영상 탈취에 멈추지 않았다. 확보한 영상 피드에 AI 얼굴인식과 빅데이터 분석 알고리즘을 결합해 알리 하메네이 최고지도자를 비롯한 이란 수뇌부의 실시간 동선과 위치를 정밀 추적하고, 이를 기반으로 ‘지도부 참수’ 타격을 성공적으로 수행한 것이다. 독재 정권이 국민을 억압하기 위해 쌓아 올린 인프라가 결국 지도부 스스로를 파멸로 이끄는 치명적 무기로 돌변한, 역사적 아이러니의 현장이었다.

2. 랜섬웨어를 넘어선 ‘디지털 파괴’(Digital Annihilation)
사이버 공격의 패러다임이 ‘데이터 탈취와 금전 요구’에서 시스템 자체의 ‘순수 파괴’로 이동했다. 이란 정보부(MOIS)의 지원을 받는 해킹 그룹 ‘한달라’(Handala)는 미국 의료기기 대기업 스트라이커(Stryker) 공격 당시, 탐지에 취약한 악성코드 유포 대신 합법적 기기 관리 도구인 마이크로소프트 인튠(Microsoft Intune)의 관리자 권한을 탈취하는 방식을 택했다.

그리고 단 한 번의 ‘완전 삭제’(Wipe) 명령으로 세계 79개국 20만대 이상의 기기를 순식간에 무력화했다. 그 여파로 다수 병원에서 수술이 연기되는 등 치명적인 물리적 피해가 발생했고, 기존의 엔드포인트 방어 체계는 완전히 무력화됐다.

이 사건이 던지는 핵심 메시지는 분명하다. IT 인프라 전체를 통제하는 ‘관리 통제면’(Management Plane) 자체가 파괴 무기로 전환될 수 있다는 것이다. 합법적 관리자 채널을 통해 전달된 악의적 명령은 정상적인 시스템 운영 작업과 구별하기 어렵기 때문에 공격의 탐지와 대응을 극도로 어렵게 만든다.

3. 클라우드 전장화와 고도화된 심리전(PSYOPS)
이번 전쟁에서 상용 클라우드 인프라는 단순한 IT 환경을 넘어 직접적 군사 타격의 최전선으로 변모했다. 이란은 드론으로 아랍에미리트(UAE) 내 AWS 데이터 센터를 물리적으로 타격해 중동 웹 인프라를 마비시켰고, 이란 혁명수비대(IRGC)는 미국 거대 기술 기업의 시설 29곳을 합법적 타격 표적으로 공식 지목하며 민간 기업들을 전쟁에 강제로 끌어들였다.

사이버 공격 역시 극단적으로 고도화됐다. ‘313팀’ 등 이란 연계 해킹 그룹들은 개별 기업망이 아닌 Microsoft 365 등 클라우드 인프라 자체를 겨냥해 대규모 DDoS 공격을 퍼부어 국제은행간통신협회(SWIFT) 및 주요 인증 시스템 마비를 시도했다. 더불어, 합법적 동기화 도구(Rclone)와 상용 클라우드 스토리지를 악용해 방화벽 경보 없이 민감 정보를 빼내는 ‘침묵의 데이터 유출’ 전술도 광범위하게 구사됐다.

이러한 물리·사이버 복합 공격과 나란히, 디지털 플랫폼을 매개로 한 심리전(PSYOPS) 역시 전례 없는 수준으로 전개됐다. 이스라엘과 미국은 이란 내 3000만명 이상이 사용하는 종교 기도 앱(BadeSaba)의 서버를 장악해 군인들에게 항복을 촉구하는 푸시 알림을 발송했으며, 국영 TV 위성 방송(채널 3)을 해킹해 적국 지도자의 대국민 연설을 강제 송출하며 사회적 혼란을 극대화했다.

이를 통해 클라우드와 디지털 인프라가 단순한 데이터 저장소를 훌쩍 넘어 한 국가의 경제·안보·국민 심리를 총체적으로 붕괴시킬 수 있는 현대전의 가장 강력한 무기로 완전히 진화했음을 이번 전쟁은 명백히 입증했다.

우리의 생존을 위한 디지털 대응 전략
사이버 공간에서의 공격이 현실 세계의 재난과 국가 안보 위협으로 직결되는 시대, 우리는 다음 조치를 검토해 실행해야 한다.

1. CCTV 등 IoT 인프라의 ‘국가 안보 자산화’
이번 전쟁에서 가장 뼈아픈 교훈은 이란이 자국민 통제를 위해 구축한 감시 카메라망이 오히려 수뇌부 암살의 도구로 역이용됐다는 점이다. 세계 최고 수준의 CCTV 밀집도를 가진 대한민국에 이는 남의 일이 아니다.

이제 모든 IoT 기기를 단순한 편의 도구가 아닌 ‘국가 안보 자산’으로 간주해야 한다. 기기 설계 단계부터 강력한 비밀번호 설정과 자동 업데이트 기능을 강제하는 ‘보안 내재화’(Security by Design)를 정착시켜 운영상의 보안 취약점을 원천적으로 제거해야 한다. 특히 민감 지역의 영상 데이터가 해외 서버로 유출되지 않도록 ‘데이터 주권 통제 지침’을 수립해 적의 AI 분석 시도를 원천 차단해야 한다.

2. AI 기반 ‘행위 분석’ 보안 체계로의 패러다임 전환
미국 의료기기 기업 스트라이커(Stryker)가 당한 공격은 악성코드가 없었다. 해커는 합법적인 관리 도구의 권한을 탈취해 시스템을 파괴했다. ‘합법의 탈을 쓴 공격’은 기존 방화벽으로는 막을 수 없다.

이를 위해 정상적인 관리자의 업무 패턴을 학습하고, 미세한 이상 징후를 실시간 탐지하는 AI 보안 체계를 국가 기간망에 전면 도입해야 한다. 대규모 설정 변경이나 데이터 삭제 등 파급력이 큰 작업은 단일 계정이 아닌 ‘다중 관리자 교차 승인’이 있어야만 실행되도록 시스템적 제동 장치를 마련해야 한다.

3. ‘소버린 클라우드’와 디지털 민방위 체계 가동
글로벌 빅테크의 클라우드는 효율적이지만, 전시 상황에서는 양날의 검이다. 데이터센터가 물리적 타격을 입거나 기업의 정책이 변경될 경우 국가 행정은 즉시 마비된다.

따라서 핵심 행정·국방 데이터는 지정학적 리스크에서 자유로운 ‘소버린 클라우드’(Sovereign Cloud)에 분산 저장하는 인프라 자립이 시급하다. 이와 함께 국민의 심리적 복원력을 높이기 위한 ‘디지털 민방위’ 훈련을 도입해야 한다. 가짜 푸시 알림과 딥페이크를 식별하고, 네트워크 마비 시 오프라인 행동 요령을 숙달하는 것은 총칼을 드는 것만큼이나 중요한 현대적 국방이다.

디지털 전장에서의 패배는 곧 국가 기능의 정지를 의미한다. 더 이상 소극적인 방어 프레임에 안주할 여유가 없다. 인프라 자립과 AI 기반의 선제적 방어, 그리고 국민적 대응 역량을 결합한 총체적 국가 전략만이 대한민국을 디지털 재난으로부터 구원할 수 있을 것이다. 디지털 전장에서의 생존은 결코 우연히 주어지지 않는다. 철저히 준비된 자만이 그 자리를 지킬 수 있다.

[글_ 송종석 영남이공대학교 사이버보안과 교수(choh@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>