IT

이스라엘의 이란 선제타격, 그리고 보이지 않는 전쟁 — 이란 사이버전 역량 총정리

작성자:

2026년 2월 28일, 이스라엘이 이란에 대한 예방적 선제공격(preemptive strike)을 감행했다. 테헤란 도심에서 최소 3차례 폭발이 확인됐고, 하메네이 최고지도자 집무실 인근까지 타격을 받았다. 이스라엘은 전국 비상사태를 선포했고, 이란은 영공을 폐쇄했다.

미사일이 하늘을 가르는 동안, 또 하나의 전선이 조용히 열리고 있다. 사이버 공간이다.

이란은 세계에서 가장 활발한 국가 후원 사이버 공격 행위자(state-sponsored cyber actor) 중 하나다. 물리적 군사력에서는 미국·이스라엘에 열세지만, 사이버 공간에서는 비대칭 전력으로 상당한 타격 능력을 보유하고 있다. 2025년 6월 12일간 전쟁 당시에도 이란은 사이버 공간에서 동시다발적 작전을 전개했고, 이번에도 같은 패턴이 반복될 가능성이 높다.

이 글에서는 이란의 주요 사이버 위협 그룹, 과거 주요 공격 사례, 그리고 이번 분쟁에서 예상되는 사이버 보복 시나리오를 정보보안 관점에서 정리한다.

1. 이란 사이버전 조직 체계: IRGC와 MOIS

이란의 사이버 공격 역량은 두 개의 축으로 운영된다.

IRGC(이슬람혁명수비대) 는 하메네이 최고지도자 직속의 군사 조직으로, 사이버 공격의 주력 부대를 운용한다. 2012년 하메네이의 직접 지시로 사이버공간최고위원회(SCC)가 출범했으며, 이후 2년도 안 되는 기간에 독자적인 사이버전 수행 역량을 확보한 것으로 평가된다. IRGC 산하에는 APT33(Elfin/Refined Kitten)과 APT35(Charming Kitten)가 소속되어 있다.

MOIS(정보보안부) 는 민간 정보기관으로, 대통령 직속으로 운영된다. APT34(OilRig/Helix Kitten)와 MuddyWater(Static Kitten)가 MOIS 소속으로 알려져 있다.

두 조직은 표면적으로 분리되어 있지만, TTP(전술·기법·절차)와 인프라를 공유하며 전략적 첩보 수집, 파괴 공작, 영향력 공작(influence operation)을 수행한다. 2025년 6월 분쟁 당시 분석에 따르면, 178개 이상의 핵티비스트·프록시 그룹이 250,000건 이상의 텔레그램 메시지를 통해 조율된 사이버 작전을 전개한 것으로 확인됐다.

2. 이란의 주요 APT 그룹 프로파일

APT33 (Elfin / Refined Kitten)

  • 소속: IRGC 산하
  • 활동 시기: 2013년~현재
  • 주요 타깃: 항공우주, 에너지, 석유화학 분야
  • 대표 공격: Shamoon 와이퍼 공격 (2012, 2016, 2018), 2024년 ALMA 백도어 배포, 2025년 에너지 섹터 정찰 캠페인

APT33는 이란의 가장 오래되고 효과적인 사이버 첩보 조직이다. 초기에는 Shamoon 계열의 파괴적 와이퍼(wiper) 공격으로 주목받았으나, 2023년 이후 클라우드 기반 첩보(Microsoft Azure, M365 악용), 모듈러 임플란트, 작전 보안(OPSEC) 강화로 진화했다.

특히 주목할 점은 작전의 분업화다. 초기 접근 팀, 측면 이동 팀, C2/인프라 팀으로 운영을 분리하여 각 단계의 노출을 최소화하는 방식을 채택하고 있다. APT34, MuddyWater와 도구·인프라를 공유하는 정황도 확인되어 이란 내부에 통합 사이버 사령부가 존재할 가능성이 제기된다.

APT34 (OilRig / Helix Kitten)

  • 소속: MOIS 산하
  • 활동 시기: 2014년~현재
  • 주요 타깃: 중동 정부기관, 금융, 에너지, 통신
  • 특징: 공급망 공격(supply chain attack)에 특화

APT34는 중동 지역 정부기관과 에너지 기업을 주요 타깃으로 삼는다. 2021년에는 IT 기업의 HR 담당자를 사칭하여 IT 전문가를 포섭한 뒤, 해당 기업의 고객 네트워크까지 침투하는 공급망 공격을 수행한 바 있다.

APT35 (Charming Kitten / Mint Sandstorm)

  • 소속: IRGC 산하
  • 활동 시기: 2014년~현재
  • 주요 타깃: 외교·안보 분야 전문가, 학계, 언론인
  • 특징: 정교한 스피어피싱, 가짜 SNS 프로필 운용

APT35는 미국과 유럽의 외교·안보 전문가를 대상으로 장기간에 걸친 정교한 소셜 엔지니어링 공격을 수행한다. 2025년에는 ‘SmudgedSerpent’라는 새로운 캠페인으로 미국 정책 전문가들을 대상으로 한 피싱 공격이 포착됐으며, 기존 여러 이란 APT의 TTP가 혼합된 양상을 보여 조직 재편 가능성이 제기됐다.

MuddyWater (Static Kitten / Mango Sandstorm)

  • 소속: MOIS 산하 (IRGC 계약 운영 추정)
  • 활동 시기: 2017년~현재
  • 주요 타깃: 정부기관, 에너지, 교통, 제조업
  • 특징: RMM(원격 모니터링·관리) 도구 악용, 매크로 기반 문서 공격

MuddyWater는 2025년 이란-이스라엘 분쟁 이후 가장 활발한 활동을 보인 그룹이다. Nozomi Networks의 분석에 따르면 2025년 5~6월 미국 기업 최소 5곳을 공격했으며, 교통·제조업 분야를 집중 타깃으로 삼았다. 스피어피싱에 매크로 삽입 Office 문서를 활용하고, Mimikatz, Lazagne 등 오픈소스 레드팀 도구를 적극 차용하는 것이 특징이다.

CyberAv3ngers

  • 소속: IRGC 연계
  • 활동 시기: 2023년~현재
  • 주요 타깃: 수자원·하수처리 시설(WWS), 산업제어시스템(ICS/OT)
  • 특징: 핵티비스트를 가장한 국가 후원 공격

CyberAv3ngers는 핵티비스트로 자칭하지만, CISA는 자금과 도구 수준이 일반 핵티비즘을 초과한다고 판단하여 IRGC 연계로 분류했다. 2023년 말 이스라엘제 Unitronics PLC 75대 이상을 해킹했으며, 이 중 미국 수처리 시설 34곳이 포함되었다. OT(운영기술) 환경을 직접 타깃으로 삼는다는 점에서 실물 인프라에 대한 물리적 피해를 유발할 수 있는 가장 위험한 그룹 중 하나다.

3. 이란 사이버전의 역사적 전환점

Stuxnet (2010): 사이버 무기의 탄생

미국과 이스라엘이 공동 개발한 것으로 추정되는 Stuxnet은 이란 나탄즈 핵시설의 원심분리기 약 1,000기를 물리적으로 파괴했다. 이 사건은 사이버 무기가 실물 인프라를 파괴할 수 있다는 것을 세계 최초로 증명한 사례이며, 이란이 자체 사이버 전력 구축에 본격적으로 나서게 된 직접적 계기가 됐다.

Shamoon 공격 (2012): 사우디 아람코 3만 대 마비

이란 연계 그룹이 사우디 아라비아 국영석유회사 아람코의 컴퓨터 약 30,000대의 데이터를 완전히 삭제했다. 하드디스크를 미국 국기 이미지로 덮어쓰는 파괴적 와이퍼(wiper) 공격이었다. 원유 생산에는 직접적 영향이 없었지만, 비즈니스 시스템을 수주간 마비시켰다.

이스라엘 수자원 시설 공격 (2020)

이란 해커들이 이스라엘의 수처리 시스템을 공격하여 염소 농도를 위험 수준으로 올리려 시도했다. 사이버 공격이 공중 보건에 직접적 위협을 가할 수 있다는 것을 보여준 사례다.

2025년 6월 12일간 전쟁 — 하이브리드 전쟁의 실현

12일간의 물리적 전쟁과 동시에 이란은 대규모 사이버 작전을 전개했다. 이스라엘 연계 해커 그룹 ‘곤제슈케다란데’가 IRGC 산하 세파은행 데이터를 파괴하여 이란 결제 시스템을 마비시켰고, 이스라엘 해커들은 이란 국영방송을 해킹하여 2022년 반정부 시위 영상을 송출했다. 반대로 이란은 사이버공격 우려로 자국 인터넷을 전면 차단하는 초강수를 두었다.

CSIS의 분석에 따르면, 이 기간 동안 178개 이상의 이란 연계 핵티비스트·프록시 그룹이 DDoS, 웹사이트 변조, 데이터 탈취를 조직적으로 수행했으며, 공격 타이밍과 타깃 선정 패턴이 군사 작전과 연동되어 있어 자생적 핵티비즘이 아닌 국가 차원의 조율된 영향력 공작으로 판단됐다.

4. 2026년 2월: 예상되는 사이버 보복 시나리오

시나리오 1: 미국·이스라엘 핵심 인프라 대상 OT 공격

가장 직접적이고 위험한 시나리오다. CyberAv3ngers가 보여준 것처럼 이란은 수처리, 에너지, 교통 분야의 OT/ICS 시스템을 타깃으로 삼을 수 있다. CISA는 2025년 6월 이후 이미 핵심 인프라 운영자에게 이란발 사이버 위협 경보를 발령한 바 있으며, 이번 선제타격 이후 이 위협 수준은 급격히 상승할 것으로 예상된다.

CISA가 권고한 핵심 조치는 다음과 같다.

  • OT 시스템의 인터넷 연결 분리
  • 모든 계정에 피싱 방지 MFA(다중 인증) 적용
  • 인터넷 접점 시스템의 긴급 패치
  • 기본 비밀번호 즉시 변경
  • 사용자 활동 로깅 및 실시간 모니터링

시나리오 2: 핵-앤-리크(Hack-and-Leak) 정보전

이란 IRGC 연계 그룹 ‘Robert’은 2024년 미국 대선 당시 트럼프 진영의 이메일을 탈취·유출한 전력이 있다. 2025년 6월 분쟁 이후에도 트럼프 행정부 인사들의 데이터 100GB 이상을 보유하고 있다고 주장하며 유출을 예고했다. 이번 선제타격은 이러한 정보전을 가속화시킬 명분을 제공한다.

시나리오 3: 동맹국·파트너국 대상 확산 공격

이란의 사이버 공격은 미국·이스라엘에 국한되지 않는다. 사우디아라비아, UAE, 바레인 등 중동 동맹국은 물론, 방산 협력 관계가 있는 국가들도 타깃이 될 수 있다. CISA 경보에서도 “이스라엘 연구·방산 기업과 거래 관계가 있는 방산 기업이 특히 높은 위험에 처해 있다”고 명시했다.

시나리오 4: 핵티비스트 가장 대규모 DDoS·디페이스먼트

가장 가능성이 높고 가장 먼저 발생할 시나리오다. 2025년 6월 패턴을 보면, 물리적 공격 개시 직후 수십 개의 핵티비스트 그룹이 동시다발적으로 DDoS, 웹사이트 변조, SNS 정보전을 개시했다. 기술적 피해보다는 심리전·여론전 효과를 노리는 것이 주요 목적이며, 이란 정부는 이 과정에서 직접 관여를 부인할 수 있는 ‘그럴듯한 부인 가능성(plausible deniability)’을 확보한다.

5. 한국 보안 담당자가 주목해야 할 점

한국이 이란 사이버 공격의 직접적 타깃이 될 가능성은 상대적으로 낮지만, 다음과 같은 간접적 위협 경로가 존재한다.

공급망 리스크: 글로벌 IT 기업이나 클라우드 서비스 제공자가 이란발 공격을 받을 경우, 해당 서비스를 이용하는 한국 기업에도 연쇄적 영향이 미칠 수 있다. 2025년 Fox Kitten 캠페인은 Pulse Secure, Fortinet, Palo Alto VPN 취약점을 악용하여 광범위한 공급망 침투를 시도한 바 있다.

에너지 시장 교란: 중동 에너지 인프라에 대한 사이버 공격이 성공할 경우, 국제 유가 급등으로 이어져 에너지 수입 의존도가 높은 한국 경제에 직접적 영향을 미친다.

핵티비스트 확산 공격: 이란 연계 핵티비스트들은 ‘이스라엘 제품을 사용하는 모든 조직’을 타깃으로 삼겠다고 선언한 바 있다. 한국 기업 중 이스라엘 보안 솔루션이나 기술을 도입한 곳이 있다면 무차별적 타깃에 포함될 가능성이 있다.

자국 보안 점검 계기: 이란의 사이버 공격 TTP는 북한 사이버 위협 그룹(Lazarus, Kimsuky)과 상당 부분 유사하다. 스피어피싱, VPN 취약점 악용, 클라우드 기반 측면 이동, 오픈소스 도구 활용 등의 공통된 패턴에 대한 방어 태세를 점검하는 계기로 삼을 필요가 있다.

6. 실무 대응 체크리스트

이란발 사이버 위협이 고조되는 현 상황에서, 보안 담당자가 즉시 점검해야 할 항목을 정리한다.

구분점검 항목세부 내용
접근 제어VPN·원격접속 취약점 패치Pulse Secure, Fortinet, Palo Alto GlobalProtect 등 이란 APT가 선호하는 벡터
인증MFA 적용 현황특히 클라우드 관리 콘솔, 이메일, VPN에 피싱 방지 MFA 필수
OT 보안OT/ICS 인터넷 분리인터넷 연결 PLC, SCADA 시스템 존재 여부 확인
모니터링비정상 로그인 탐지패스워드 스프레이, MFA 푸시 폭격(push bombing) 패턴 모니터링
이메일스피어피싱 대응이란 APT의 HR 사칭, 학술 회의 초대, 언론사 사칭 패턴 교육
백업랜섬웨어 대비와이퍼/랜섬웨어 대비 오프라인 백업 상태 확인
위협 인텔리전스IoC 반영CISA AA24-290A, AA23-335A 등 이란 관련 경보의 IoC를 보안 장비에 반영

마치며

미사일은 하늘에서 날아오지만, 사이버 공격은 네트워크 케이블을 타고 온다. 2010년 Stuxnet이 이란 원심분리기를 파괴했고, 2012년 이란은 Shamoon으로 사우디 아람코를 마비시켰다. 2025년 12일간 전쟁에서 양측은 물리적 전쟁과 사이버전을 동시에 수행했다.

2026년 2월 28일, 또 한 번의 물리적 타격이 시작됐다. 사이버 공간에서의 보복은 이미 준비되고 있을 것이다. 그 타격이 누구를 향할지는 아직 모른다. 확실한 것은, 지금 이 순간에도 어딘가의 네트워크에서 정찰이 진행되고 있다는 것이다.

참고자료

  • CISA, “Iranian Cyber Actors May Target Vulnerable US Networks and Entities of Interest” (2025.06)
  • CISA, “IRGC-Affiliated Cyber Actors Exploit PLCs in Multiple Sectors” (AA23-335A)
  • CSIS, “Beyond Hacktivism: Iran’s Coordinated Cyber Threat Landscape” (2026.02)
  • Nozomi Networks, “Threat Actor Activity Related to the Iran Conflict” (2025.07)
  • Brandefense, “APT33 (Elfin / Refined Kitten): Iran’s Longstanding Cyber-Espionage Arm” (2025.11)
  • Palo Alto Unit 42, “Threat Brief: Iranian-Linked Cyber Operations”

이 글은 Tech Hyeonker(hyeonker.com)에서 작성되었습니다. 정보보안 실무자를 위한 기술 콘텐츠를 제공합니다.

댓글 남기기

이 사이트는 Akismet을 사용하여 스팸을 줄입니다. 댓글 데이터가 어떻게 처리되는지 알아보세요.