2026년 3월 1일, 이란 최고지도자 하메네이의 사망이 공식 확인됐다. 미국과 이스라엘의 합동 공습으로 이란의 재래식 군사 능력은 심각하게 타격받았다. 나탄즈 핵시설이 파괴됐고, 방공 시스템이 무력화됐으며, 군 지휘부 7명 이상이 사망했다.
여기서 정보보안 전문가가 주목해야 할 핵심이 있다.
이란의 재래식 군사 옵션이 파괴된 지금, 사이버 작전이 이란 정권의 유일한 비대칭 보복 수단이 됐다.
사이버보안 기업 Anomali가 Defense One에 보낸 위협 인텔리전스 보고서의 핵심 문장이다. 이 글에서는 이란 사이버 보복의 구체적 위협 양상, 이미 관측된 사이버전 징후, 그리고 한국 보안 담당자가 지금 당장 취해야 할 조치를 정리한다.
1. 이미 시작된 사이버전 — “포효하는 사자”의 디지털 전선
역사상 최대 규모의 사이버 공격이 공습과 동시에 진행됐다
이번 공습에서 간과하기 쉬운 사실이 있다. 물리적 폭격과 동시에 대규모 사이버 공격이 수행됐다는 점이다.
Jerusalem Post에 따르면, 2월 28일 “포효하는 사자” 작전 개시와 함께 이란은 “거의 완전한 디지털 안개(digital fog)”에 빠졌다. NetBlocks는 이란의 인터넷 연결성이 정상 트래픽의 4%로 급락했음을 확인했다.
구체적으로 확인된 사이버 공격 양상:
- 이란 국영 통신사 IRNA 웹사이트: 장시간 접속 불가
- IRGC 연계 통신사 Tasnim: 심각한 서비스 장애 + 해킹, 하메네이를 비난하는 전복 메시지가 표시
- 주요 인프라: 통신 시스템, 뉴스 사이트, 보안 통신 시스템 마비
- 모사드 텔레그램 채널: 공습과 동시에 페르시아어 심리전 채널 개설
이는 미국과 이스라엘이 물리적 타격(kinetic strike)과 사이버 작전을 완전히 통합한 하이브리드 전쟁을 수행했음을 의미한다. 퇴역 3성 장군이자 前 US Cyber Command 관계자인 찰스 무어는 “이란이 통신, 상황 인식, 방어에 사용하는 모든 시스템이 사이버 관점에서 표적이 됐을 것”이라고 평가했다.
2. 이란의 사이버 보복 능력 — “유일한 남은 무기”
Anomali 위협 보고서: 공습 전부터 사이버 부대 활성화
Anomali가 Defense One에 제공한 위협 인텔리전스 보고서의 핵심 평가:
“이번 작전은 이란의 재래식 군사 옵션을 파괴했으며, 사이버 작전이 정권의 유일한 비대칭 보복 수단이 됐다.”
“이란 연계 사이버 부대는 물리적 공격(kinetic trigger) 이전부터 활성화되어 재편성 중이었다.”
이는 이란의 사이버 보복이 “가능성”이 아니라 “이미 진행 중”임을 의미한다.
CISA/FBI/NSA/DC3 합동 경보
2025년 6월 전쟁 직후 발령됐던 CISA 합동 경보의 핵심 내용이 현재 상황에 더욱 적실하다:
- 우선 표적: 방위산업 기업, 특히 이스라엘 연구·방산 기업과 관계를 가진 조직
- 공격 벡터: 인터넷 노출 ICS(산업제어시스템), 취약한 PLC 하드웨어
- 확인된 활동: 웹사이트 디페이스먼트, 민감 정보 유출, DDoS, 랜섬웨어(협력 그룹 포함)
IRGC “Robert” 해킹 그룹의 활동
Computer Weekly에 따르면, IRGC 지원 해킹 조직 “Robert”가 공습에 대한 보복으로 트럼프 행정부의 기밀 정보를 공개하겠다고 위협했다. 이 그룹은 100GB 이상의 데이터를 보유하고 있다고 주장하며, 트럼프 보좌관 로저 스톤, 비서실장 수지 와일스, 그리고 스토미 대니얼스의 이메일이 포함돼 있다고 밝혔다.
이 그룹은 2024년 미국 대선 전에도 해킹 정보를 유출한 전력이 있으며, 미 법무부가 IRGC 소속 3명을 기소한 바 있다.
전문가 평가 종합
| 전문가 | 소속 | 핵심 평가 |
|---|---|---|
| Tatyana Bolton | Monument Advocacy | “이란은 세계에서 가장 창의적이고 위험한 사이버 작전자를 보유. 자제의 인센티브가 크게 감소” |
| Brian Harrell | 前 CISA | “ICS/PLC 타겟팅 급증 예상. 위협 헌터들이 지금 당장 초과 근무해야 한다” |
| Adam Meyers | CrowdStrike SVP | “사이버 요소가 그들의 도달 범위를 확장. 부인 가능성(deniability)이 있다” |
| John Hultquist | Google Threat Intelligence | “위협을 과대평가해서 상대방에게 심리적 승리를 주면 안 된다” |
| Colin Clarke | Soufan Center | “이란에게 이 전쟁은 생존의 문제. 서방의 슬리퍼 셀 활성화 예상” |
3. 구체적 위협 시나리오 — 한국은 안전한가?
한국이 직접 표적이 될 가능성
한국이 이란의 1차 사이버 보복 대상인가? 직접적으로는 아닐 가능성이 높다. 이란의 우선 표적은 미국과 이스라엘이다.
그러나 간접 피해 경로는 다수 존재한다:
경로 1: 글로벌 공급망 공격
이란이 미국/이스라엘의 방위산업 공급망을 타격할 경우, 해당 공급망에 포함된 한국 기업이 간접 피해를 입을 수 있다. 한국의 방위산업체 중 이스라엘 기업과 기술 협력 관계에 있는 곳은 특히 주의가 필요하다.
경로 2: OT/ICS 무차별 스캔
2023년 이란 IRGC 연계 해커들이 미국 수처리 시설의 운영기술(OT) 장비를 해킹한 사례가 있다. 당시 사용된 기법은 인터넷에 노출된 Unitronics PLC를 대상으로 한 디폴트 크리덴셜 공격이었다. 이런 류의 공격은 국가를 가리지 않고 인터넷에 노출된 모든 시스템을 타격한다.
Shodan 검색으로 한국 내 인터넷 노출 ICS/SCADA 시스템을 확인하면, 수처리, 에너지, 제조 분야에서 상당수의 노출 자산이 식별된다.
경로 3: 에너지 섹터 표적화
한국은 중동 석유 의존도가 70%다. 호르무즈 해협이 위협받는 상황에서, 이란이 글로벌 에너지 인프라에 대한 사이버 공격을 수행할 경우 한국의 에너지 공급망이 간접적으로 영향을 받는다. 2012년 Saudi Aramco에 대한 Shamoon 공격(3만 대 PC 파괴)의 선례가 있다.
경로 4: Hack-and-Leak 심리전 확산
“Robert” 그룹의 활동에서 보듯, 이란은 해킹한 정보를 유출하여 심리적 혼란을 유발하는 전술을 선호한다. 한국 기업이 이란과 거래 관계가 있거나, 미국/이스라엘 기업과 협력 관계에 있다면, 유출 대상이 될 수 있다.
4. CISA가 없는 미국 — 더 큰 문제
DHS 예산 공백으로 CISA 인력 대폭 감축
Foundation for Defense of Democracies의 Annie Fixler는 이렇게 경고했다:
“지금은 미국 사이버 기관이 제한된 인력으로 운영되기에 최악의 시점이다.”
현재 미국 국토안보부(DHS)의 예산 공백(funding lapse)으로 인해 CISA가 대폭 축소된 인력으로 운영되고 있다. 前 DHS 인프라 보안 관리 Matt Hayden은 “급여를 받지 못하는 운영자들이 여전히 일하고 있다”고 밝혔지만, 이는 미국의 사이버 방어 체계가 정상 수준에 미치지 못하고 있음을 의미한다.
이란 입장에서 이것은 기회의 창(window of opportunity)이다.
5. 한국 보안 담당자가 지금 당장 해야 할 7가지
즉시 (24시간 이내)
① OT/ICS 인터넷 노출 점검
CISA 합동 권고의 최우선 조치: OT 장비의 인터넷 연결을 차단하라. 인터넷 노출 PLC, HMI, SCADA 시스템을 즉시 식별하고 접근을 제한해야 한다. Shodan, Censys 등으로 자사 IP 대역의 노출 자산을 점검한다.
# Shodan CLI로 자사 IP 대역 ICS 노출 확인
shodan search "port:502 country:KR" --fields ip_str,port,org
shodan search "port:102 country:KR" --fields ip_str,port,org
shodan search "Unitronics country:KR" --fields ip_str,port,org② 피싱 방어 강화
이란 APT 그룹의 주력 침투 벡터는 스피어피싱이다. 특히 방위산업, 에너지, 정부 관련 조직은 다음을 즉시 확인한다:
- 피싱 내성 MFA 활성화 (FIDO2/WebAuthn 권장)
- 이메일 게이트웨이의 URL 샌드박싱 정책 강화
- 외부 발신 이메일에 대한 경고 배너 활성화 확인
- 임직원 대상 긴급 피싱 경보 발송 (중동 분쟁 관련 미끼 주의)
③ 인터넷 노출 시스템 긴급 패치
CISA 권고: 인터넷에 노출된 모든 시스템의 알려진 취약점을 즉시 패치한다. 특히:
- VPN 어플라이언스 (Fortinet, Pulse Secure, Citrix)
- 원격 데스크톱 서비스 (RDP 노출 차단)
- 웹 애플리케이션 방화벽 룰 업데이트
48시간 이내
④ 위협 헌팅 집중 수행
이란 APT 그룹의 알려진 IOC를 기반으로 위협 헌팅을 수행한다:
- MuddyWater (APT 34 / OilRig): PowerShell 기반 백도어, 합법 도구 악용 (Atera, Screen Connect)
- Charming Kitten (APT 35 / Phosphorus): 클라우드 서비스 크리덴셜 탈취, Google/Microsoft 계정 피싱
- CyberAv3ngers (IRGC 연계): PLC/ICS 타겟팅, Unitronics Vision 시리즈 디폴트 크리덴셜 악용
- Cotton Sandstorm / Emennet Pasargad: 해킹 + 정보 유출 + 심리전
MITRE ATT&CK 프레임워크 기준 이란 그룹 주요 TTP:
| Tactic | Technique | 설명 |
|---|---|---|
| Initial Access | T1566.001 | 스피어피싱 첨부파일 |
| Initial Access | T1078 | 유효 계정 (탈취된 크리덴셜) |
| Execution | T1059.001 | PowerShell |
| Persistence | T1505.003 | 웹쉘 |
| Defense Evasion | T1036 | 합법 도구 위장 |
| Credential Access | T1110 | 브루트포스/패스워드 스프레이 |
| Lateral Movement | T1021.001 | RDP |
| Impact | T1486 | 데이터 암호화 (랜섬웨어) |
| Impact | T1485 | 데이터 파괴 (와이퍼) |
⑤ 로깅 및 모니터링 강화
CISA 권고: 모든 사용자 활동을 로깅하고, 이상 행위 탐지를 강화한다. 특히:
- 실패한 인증 시도 모니터링 (패스워드 스프레이 탐지)
- 비정상적 시간대의 VPN/원격 접속 알림 설정
- 대용량 데이터 외부 전송 탐지
- PowerShell 스크립트 블록 로깅 활성화
1주일 이내
⑥ 사고 대응 계획 점검
랜섬웨어 또는 와이퍼 공격에 대한 사고 대응 계획을 점검한다. 이란은 과거 Shamoon(와이퍼), ZeroCleare(와이퍼), SamSam(랜섬웨어) 등을 활용한 파괴적 공격을 수행한 전력이 있다.
- 오프라인 백업 상태 확인
- 백업 복구 테스트 수행
- 사고 대응 팀 연락망 업데이트
- 주요 이해관계자 커뮤니케이션 템플릿 준비
⑦ KISA/KrCERT 권고 모니터링
한국인터넷진흥원(KISA)과 KrCERT의 보안 공지를 주시한다. 2025년 6월 전쟁 당시에도 중동발 사이버 위협에 대한 경보가 발령된 바 있다. 이번에는 분쟁 규모가 훨씬 크므로 더 강력한 경보가 나올 가능성이 높다.
6. 사이버전의 전략적 맥락 — 왜 이번이 다른가
2025년 6월 vs 2026년 2월: 에스컬레이션의 차이
2025년 6월 “12일 전쟁” 직후에도 사이버 위협이 급증했다. CSIS에 따르면 이스라엘 타격 후 48시간 내에 이스라엘을 대상으로 한 사이버 공격이 700% 증가했다.
그러나 이번에는 질적으로 다르다:
| 구분 | 2025년 6월 | 2026년 2월 |
|---|---|---|
| 목표 | 핵시설 제한 타격 | 정권 교체 |
| 지도부 피해 | IRGC 장성 30명 사망 | 최고지도자 사망 + 전체 지도부 표적 |
| 이란의 상태 | 정권 존속 | 생존 위기 |
| 사이버 동기 | 보복 | 생존을 위한 비대칭 전쟁 |
| 자제 인센티브 | 존재 | 거의 없음 |
Monument Advocacy의 Tatyana Bolton이 정확히 짚었다:
“그들은 걸프에서 해전에서 이길 필요가 없다. 지구 반대편에서 우리의 전력망, 수처리 시설, 병원을 인질로 잡기만 하면 협상 테이블에서 우리의 손을 강제할 수 있다.”
와이퍼 공격의 위험성 상승
이란이 생존의 위기에 처했다는 것은, 과거에는 자제했던 파괴적 공격을 감행할 동기가 높아졌다는 뜻이다. 와이퍼 공격(데이터를 암호화가 아닌 삭제로 파괴)은 금전적 이익이 아닌 순수한 파괴를 목적으로 한다.
이란의 와이퍼 공격 역사:
- 2012 Shamoon: Saudi Aramco 3만 대 PC 파괴
- 2014 Shamoon 2: 사우디 정부기관 재공격
- 2019 ZeroCleare: 중동 에너지 기업 타격
- 2025 6월 전쟁 후: 이스라엘 기업 대상 와이퍼 배포 시도 (대부분 차단)
하메네이 사망 이후 IRGC가 “역사상 가장 맹렬한 공세”를 선언한 상황에서, 사이버 영역에서도 같은 수준의 공격성이 발현될 가능성을 배제할 수 없다.
7. 결론: 전선은 중동이 아니라 우리의 네트워크 안에 있다
Defense One 기사의 제목이 상황을 정확히 요약한다: “이란 공습은 미국의 해외 사이버 전략과 국내 방어를 시험할 것이다.”
한국도 예외가 아니다.
이란의 재래식 군사력이 파괴될수록, 사이버 공간에서의 공격은 더 거세질 것이다. 물리적 전쟁에서 질 수밖에 없는 상대가 사이버 공간에서 비대칭 우위를 추구하는 것은 합리적 선택이다.
보안 담당자에게 지금 필요한 것은 패닉이 아니라 체계적 준비다.
Google Threat Intelligence의 John Hultquist의 조언으로 마무리한다:
“위협을 과대평가해서 그들에게 원하는 심리적 승리를 안겨주면 안 된다.”
공포가 아니라 준비로 대응하자. OT를 인터넷에서 분리하고, MFA를 강화하고, 패치하고, 헌팅하고, 로깅을 켜라. 사이버 전쟁의 전선은 항상 준비된 자의 편이다.
참고 리소스: