미사일과 드론만 날아다니는 것이 아니다. 2026년 2월 28일 Operation Epic Fury가 시작된 이후, 사이버 공간에서는 물리적 전장 못지않은 규모의 작전이 동시에 전개되고 있다. 본 글에서는 지난 72시간 동안 확인된 사이버전 양상을 공격·방어·파급효과 세 축으로 정리한다.
1. 공격: “역사상 최대 규모의 사이버 공격”
이란 인터넷 블랙아웃 — 48시간째 연결률 1%
Operation Epic Fury 개시와 거의 동시에 이란의 인터넷 연결이 급락했다. NetBlocks에 따르면, 2월 28일 07:10 UTC경 통신 교란이 시작되어 08:30 UTC에는 전국 연결률이 정상 대비 1% 수준으로 떨어졌다. Cloudflare Radar도 테헤란, 파르스, 이스파한, 알보르즈, 라자비 호라산 등 주요 도시에서 “거의 제로에 가까운(close to zero)” 트래픽을 확인했다.
NetBlocks CEO Alp Toker는 이번 블랙아웃이 이란 정권의 의도적 차단과 미·이스라엘의 사이버 공격이 복합적으로 작용한 결과라고 분석했다. 이란은 과거에도 2025년 6월 12일 전쟁, 2026년 1월 시위 등 위기 상황에서 국가 차원의 인터넷 셧다운을 실행한 전례가 있다.
이번에 추가된 변수는 화이트리스팅(whitelisting) 시스템이다. 인터넷 분석가 Doug Madory에 따르면, 이란 정부는 정권 충성 세력에게만 선택적으로 인터넷 접속을 허용하는 새로운 방식을 도입했다.
미·이스라엘의 공세적 사이버 작전
Reuters 보도에 따르면, 미·이스라엘 측은 이란 정부 연계 뉴스 사이트를 포함한 다수의 디지털 인프라를 표적으로 사이버 공격을 감행했다.
확인된 공격 내용:
- IRNA(이란 국영통신사), Tasnim(IRGC 연계 매체) 웹사이트 장시간 마비
- IRGC 통신 인프라 — 드론·탄도미사일 발사 조율을 방해하기 위한 C2 시스템 공격
- BadeSaba Calendar 앱 해킹 — 500만+ 다운로드의 이슬람 종교 달력 앱에 “무기를 내려놓고 국민 편에 서라(give up weapons and join the people)”는 팝업 알림 배포
- 에너지·항공 인프라 — DDoS뿐만 아니라 “심층 침투(deep intrusions)”가 보고됨
- 정부 위성방송 해킹 — 정권 전복을 촉구하는 콘텐츠가 수백만 가구에 송출 (1월부터 시작된 캠페인의 연장선)
SecurityWeek은 이를 **”역사상 최대 규모의 사이버 공격(largest cyberattack in history)”**으로 표현하는 보도를 인용하면서, 다만 물리적 충돌 시기의 사이버 공격 보도에는 과장이 섞일 수 있다고 주의를 환기했다.
2. 반격: 이란의 사이버 보복 태세
이미 움직이기 시작한 위협 행위자들
이란의 인터넷이 거의 차단된 상태임에도 불구하고, 이란 연계 사이버 행위자들의 활동이 감지되고 있다.
CrowdStrike Adam Meyers(Counter Adversary Operations 수장):
“이란 연계 위협 행위자와 핵티비스트 그룹이 정찰(reconnaissance)을 수행하고 DDoS 공격을 개시하는 것과 일치하는 활동을 이미 포착하고 있다. 이러한 행동은 더 공격적인 작전에 앞서 나타나는 전형적 패턴이다.”
Sophos (2월 28일 Cyber Advisory 발행):
- Handala Hack — MOIS(이란 정보보안부) 연계 핵티비스트 페르소나. 2월 28일 요르단 공격을 주장하고 주변국 위협
- 과거 이란 연계 행위자의 주요 TTP: 데이터 탈취, 랜섬웨어 배포, 와이퍼 악성코드, 탈취 데이터 공개
- HomeLand Justice — 2022년부터 알바니아 정부를 대상으로 와이퍼·해킹앤리크 작전 수행
Halcyon (前 FBI Cyber Division 부국장 Cynthia Kaiser):
- DDoS 봇넷 HydraC2, 핵티비스트 그룹 Handala, 랜섬웨어 그룹 Sicarii의 활동 증가 감지
CyberKnow (3월 2일):
- 60개 이상의 핵티비스트 그룹이 활동 중
- 이란 주변 대부분의 국가가 표적
- 친러시아 그룹 Noname05716이 이란 지원 사이버 활동에 합류 — 친러 클러스터의 추가 참여 예상
예상되는 공격 유형
Anomali, Sophos, SentinelOne 등 주요 보안 기업의 분석을 종합하면:
| 공격 유형 | 위험도 | 설명 |
|---|---|---|
| 와이퍼(Wiper) 악성코드 | 🔴 최고 | 데이터 완전 삭제·시스템 무력화. 이란 사이버전의 핵심 무기 |
| 랜섬웨어 | 🔴 높음 | 금전적 목적 + 심리전 효과. 핵티비스트와 범죄 조직의 경계 모호 |
| DDoS | 🟠 중간 | 가시성 높은 공격. 다수 그룹이 동시 수행 가능 |
| 피싱/스피어피싱 | 🟠 중간 | 자격 증명 탈취 후 내부 침투의 시작점 |
| 해킹앤리크(Hack-and-Leak) | 🟠 중간 | 탈취 데이터 공개로 심리적·평판적 압박 |
| 허위정보 캠페인 | 🟡 상시 | 이스라엘 전쟁 범죄 주장, 미군 피해 과장 등 내러티브 조작 |
| ICS/OT 공격 | 🔴 높음 | 에너지, 수도, 통신 등 산업제어시스템 대상 |
주요 표적 섹터
과거 이란 사이버 작전의 타겟팅 패턴과 현재 전문가 분석을 종합하면:
- 에너지·석유가스 인프라 — 호르무즈 해협 봉쇄와 연동한 사이버 공격 가능성
- 금융 서비스 — JP모건 CEO Jamie Dimon이 “사이버·테러 공격 증가를 예상해야 한다. 은행이 표적이 될 수 있다”고 경고
- 통신·ISP — 커뮤니케이션 교란 목적
- 의료 시스템 — 심리적 효과 극대화
- 정부 기관 — 미국·이스라엘 동맹국 포함
- 방산·군수 관련 민간 기업 — 공급망 공격 경로
3. 주요국 사이버 당국의 대응
🇬🇧 UK NCSC — 경보 발령 (3월 2일)
영국 국가사이버보안센터(NCSC)가 3월 2일 공식 경보를 발령했다.
핵심 내용:
- “이란의 영국 대상 직접적 사이버 위협에 현재 유의미한 변화는 없으나, 상황이 급변할 수 있다“
- “중동에 자산이나 공급망이 있는 조직에 대한 간접적 사이버 위협은 거의 확실히 고조되었다”
- “이란 국가 및 연계 사이버 행위자는 인터넷 블랙아웃 중에도 일정 수준의 사이버 작전 수행 능력을 유지하고 있다”
NCSC 권장 조치:
- DDoS 공격, 피싱 활동, ICS 타겟팅 관련 기존 어드바이저리 재검토
- 외부 공격 표면(External Attack Surface) 점검 및 모니터링 강화
- NCSC Early Warning 서비스 등록
- CNI(핵심국가인프라) 운영자: 심각한 사이버 위협 대비 가이던스 선제 검토
🇺🇸 미국 CISA — 인력 38%로 운영 중
미국 사이버 보안의 핵심 기관인 CISA(사이버보안 및 인프라 보안청)가 예산 미합의로 전체 인력의 38% 수준으로 운영되고 있다.
Nextgov/FCW에 따르면, 일부 휴직 중인 CISA 직원은 대기 명령(standby orders) 상태에서 업무 연락을 모니터링하고 있으나, 완전 가동 시점은 불확실하다. 이란 사이버 위협이 고조되는 시점에 미국 사이버 방어의 핵심 축이 약화된 상태라는 점은 심각한 우려를 낳고 있다.
다만 Recorded Future의 Alexander Leslie는 “현재까지 이란 위협 행위자가 미국 정부 기관이나 민간 핵심 인프라를 직접 표적으로 삼은 것은 관찰되지 않았다”며, “이란 사이버 운영자들은 현재 방어적 태세에 있을 가능성이 높고, 이란 내 광범위한 인터넷 차단이 우리의 가시성도 제한하고 있다”고 분석했다.
🇺🇸 Sophos — Cyber Advisory 발행 (3월 1일)
Sophos X-Ops CTU가 정식 Cyber Advisory를 발행하고 다음을 권고했다:
- 원격 접근 및 특권 계정에 MFA 적용
- 비밀번호 스프레이 및 비정상 인증 활동 모니터링
- 최소 권한 원칙 적용 및 특권 접근 검토
- 인터넷 노출 시스템의 알려진 취약점 패치
- 외부 공격 표면 검토, 노출 서비스 최소화
4. 주목할 사이드 이벤트
AWS UAE 데이터센터 피격
AWS는 UAE 기반 me-central-1 리전의 데이터센터가 “물체(objects)”에 의해 타격을 받아 화재가 발생하고, 다수 가용 영역(AZ)이 오프라인 상태가 되었다고 발표했다. AWS는 이를 “국지적 전력 문제(localized power issue)”로 표현했으나, 이란의 UAE 미사일 공격 시점과 맞물려 있어 물리적 전쟁이 클라우드 인프라에 직접적 영향을 미친 사례로 주목받고 있다.
시사점: 중동 리전에 워크로드를 운용하는 기업은 멀티리전 DR(Disaster Recovery) 전략을 즉시 점검해야 한다.
친러시아 그룹의 이란 지원 합류
CyberKnow에 따르면 친러시아 핵티비스트 그룹 Noname05716이 이란 지원 사이버 활동에 합류했다. 우크라이나 전쟁에서 활동하던 친러 사이버 클러스터가 이란-미국 충돌에도 가세하면서, 사이버 공간의 지정학적 연합이 물리적 동맹 구도를 따라가고 있다.
UAE, 미확인 전쟁 정보 유포 시 최대 $272,000 벌금
UAE 당국은 “전쟁, 안보 또는 국가 안전에 관한 미확인 정보” 유포 시 사이버범죄법에 따라 최대 100만 디르함(약 $272,000)의 벌금 또는 구금에 처할 수 있다고 경고했다.
5. 한국 기업·기관은 무엇을 해야 하나
한국이 이란 사이버 공격의 직접적 표적이 될 가능성은 현 시점에서 상대적으로 낮다. 그러나 다음과 같은 경로를 통한 간접적 피해는 현실적 위협이다.
즉시 점검 사항
1. 중동 지역 공급망 점검
한국 기업의 중동 거점(두바이, 사우디, 카타르 등)에서 운용 중인 시스템이 이란 연계 핵티비스트의 무차별적 공격 범위에 포함될 수 있다. 특히 에너지, 건설, 통신 분야의 중동 진출 기업은 즉각적인 보안 태세 강화가 필요하다.
2. 클라우드 리전 의존도 확인
AWS me-central-1 피격 사례에서 보듯, 중동 리전에 워크로드를 배치한 기업은 가용성에 직접적 영향을 받는다. DR 사이트가 동일 분쟁 지역 내에 있지 않은지 확인해야 한다.
3. DDoS 방어 체계 점검
60개 이상의 핵티비스트 그룹이 활동 중이고, 그 표적 선정이 예측 불가능하다. 특히 미국 동맹국, 방산 관련 기업, 에너지 수입 관련 기관이 잠재적 표적이 될 수 있다. Anti-DDoS 솔루션의 정상 작동과 임계치(threshold) 설정을 확인하라.
4. 이메일/피싱 경계 강화
전쟁 관련 뉴스를 위장한 피싱 캠페인이 급증할 것으로 예상된다. “이란 전쟁 속보”, “유가 급등 분석 리포트” 등의 미끼 문서에 대한 사용자 교육과 이메일 보안 필터 점검이 필요하다.
5. OT/ICS 환경 특별 주의
에너지, 제조, 통신 분야의 OT(Operational Technology) 환경을 운영하는 조직은 IT-OT 경계의 방화벽 규칙을 재검토하고, 비정상적 통신 패턴에 대한 모니터링을 강화해야 한다. 이란은 ICS 공격에 대한 축적된 역량을 보유하고 있다.
6. 백업 격리 상태 확인
와이퍼 공격의 최종 방어선은 격리된 백업이다. 백업이 네트워크에 연결된 상태로 방치되어 있지 않은지, 복구 테스트가 최근에 수행되었는지 점검해야 한다.
정리: 전쟁은 72시간째, 사이버전은 이제 시작이다
물리적 전장에서는 미사일이 날아가고 공항이 폐쇄되고 유가가 치솟는다. 그 와중에 사이버 공간에서는 “역사상 최대 규모”라 불리는 공격이 이란의 디지털 인프라를 무력화시켰고, 이란 연계 60개 이상의 핵티비스트 그룹은 보복을 준비하고 있으며, 친러시아 사이버 세력까지 합류하고 있다.
영국은 경보를 발령했고, Sophos는 어드바이저리를 배포했고, CrowdStrike는 정찰 활동을 감지하고 있다. 그런데 미국 CISA는 38% 인력으로 운영 중이다.
물리적 전쟁은 양측이 합의하면 멈출 수 있다. 하지만 사이버 전쟁은 휴전 이후에도 수개월, 수년간 지속된다. 2025년 이란-이스라엘 12일 전쟁 이후에도 이란 연계 사이버 공격은 계속되었고, 이번에는 규모가 비교할 수 없이 크다.
지금 이 순간, 당신의 조직이 이란과 무관하다고 해서 안전한 것은 아니다. 사이버 공간에는 전선이 없다.
References
- NCSC, “Alert: NCSC advises UK organisations to take action following conflict in the Middle East” (2026.03.02)
- Sophos, “Cyber Advisory: Increased Cyber Risk Amid U.S.–Israel–Iran Escalation” (2026.03.01)
- SecurityWeek, “US-Israel and Iran Trade Cyberattacks” (2026.03.02)
- CNBC, “The digital front: Iran’s internet down for second day” (2026.03.02)
- Euronews, “Iran conflict may trigger wave of geopolitical cyberattacks” (2026.03.02)
- Industrial Cyber, “US-Israeli campaign triggers Iranian counteroffensive targeting Gulf energy” (2026.03.02)
- Nextgov/FCW, “Intelligence firms watch for uptick in Iran cyber activity” (2026.03.02)
- The Register, “Iran all but vanishes from internet amid US-Israel strikes” (2026.03.02)
- CyberKnow via X (2026.03.02)