한국에서는 이번 SKT 해킹 사건을 계기로, 통신사를 겨냥한 해외 국가 지원 해킹 세력의 사이버 공격에 대한 관심이 크게 높아졌다. 그러나 이러한 공격은 해외에서는 이미 수년 전부터 꾸준히 이어져 온 상황이다. 단순한 해킹 그룹의 범위를 넘어, 막강한 자본과 조직력을 갖춘 국가 차원의 사이버 공격에 대해서는 그에 상응하는 국가적 대응 체계가 필요하다.
2025년 현재, 세계는 전통적인 무기에 의존한 전쟁의 시대를 넘어, 디지털 영역에서의 정보전과 사이버전, 그리고 사이버전 전문 부대 양성까지 장기간에 걸쳐 준비하고 실행에 옮기는 시대에 접어든지 오래 되었다. 이 중심에 선 국가는 단연 중국이며, 북한, 러시아, 이란은 이에 연계된 ‘디지털 권위주의 연합(Digital Authoritarian Alliance)’을 형성해 긴밀한 유대 관계를 유지하고 있다. 이들은 독립적으로 행동하기보다는, 기술과 인프라를 공유하고 각자의 전략적 목표를 달성하기 위해 느슨하면서도 목적성 있는 협업을 지속하고 있다.
■중국, 사이버 패권의 실질적 중심
미국 국가정보국(Office of the Director of National Intelligence, ODNI)은 2025년 3월 발표한 연례 위협 분석(Annual Threat Assessment)에서 “중국은 미국 정부, 민간 부문, 핵심 인프라에 가장 활동적이고 지속적인 사이버 위협”이라고 밝혔다. 중국 인민해방군(PLA)은 2024년 4월 기존 전략지원부대(Strategic Support Force, SSF)를 해체하고, 사이버우주부대 및 정보지원부대로 재편하여 통합적 작전 능력을 강화하고 있다.
크라우드스트라이크의 2025 Global Threat Report에 따르면, 중국계 APT(Advanced Persistent Threat) 조직들은 맞춤형 악성코드 대신 운영체제 도구 및 정당한 사용자 권한을 악용하는 ‘Living Off The Land’ 기법을 주로 사용하며, 침투 후 오랜 기간 은밀히 잠복하는 전략을 구사한다.
2023년 FBI 국장 크리스토퍼 레이는 미국 의회에서 중국 해커들이 FBI 사이버 요원 수보다 최소 50배 이상 많다고 증언한 바 있다. 즉, 미국 FBI 사이버 인력 한 명당 중국 해커가 50명 이상 존재한다고 주장한 것이다. 정확한 수치에 대해서는 여러 다른 데이터가 있을 수도 있지만 그의 증언이 의미하는 바는 그만큼 중국이 전 세계에서 가장 큰 해킹 프로그램을 운영하며, 미국 개인 및 기업 데이터를 가장 많이 탈취하는 국가라는 것이다.
또한 2024년 기준, 중국 해커들은 전 세계 사이버 첩보 사건의 약 40%를 차지한다고 추정하고 있다. 중국 해커들은 정부, 군사, 금융, 에너지, 의료 등 다양한 중요 산업을 대상으로 공격을 수행하고 있고, 특히 국가 주도 또는 국가 지원을 받는 해킹 그룹들이 많은 것으로 추정되고 있다. 중국에서는 정부 기관, 군사 조직, 민간 해커 그룹, 해커 고용업체 등이 혼재되어 있으며, 이들은 국가 정보기관과 연계되어 광범위한 사이버 작전을 수행중이다.
2025년 3월, 미국 법무부는 중국 정보기술 회사 ‘아이순(iSoon)’과 관련된 대규모 사이버 해킹 사건을 공개 기소했다. 아이순은 중국 상하이에 본사를 둔 사이버 보안 및 정보기술 전문기업으로, 실제로는 중국 공안부(MPS)와 국가안전부(MSS) 등 정보기관과 협력하며 해외 해킹 활동을 수행해온 것으로 드러났다. 2016년부터 2023년까지 아이순의 직원 8명은 미국과 한국, 대만, 인도, 인도네시아 등 아시아 국가의 정부 기관, 외교부, 언론사, 종교 단체, 반체제 인사 등을 대상으로 해킹을 자행했고, 수집한 정보를 MPS나 MSS에 건당 최대 7만 5천 달러에 판매했다. 특히 한국 외교부 이메일 수신함이 해킹돼 민감한 내부 정보가 유출된 것으로 밝혀졌고, 아이순 최고운영책임자(COO) 출신 전 직원은 2022년 말 한국 외교부 이메일 접근 권한을 MSS에 넘기려 한 정황이 확인됐다. 사건의 실체는 2024년 초, 아이순 내부 자료가 해킹으로 외부에 유출되며 드러났는데, 이 문건에는 고객 명단, 표적 목록, 이미지, 채팅 로그, 국가별 해킹 기록 등이 포함되어 있어 중국 민간기업이 국가기관의 위임을 받아 조직적 사이버 작전을 수행해온 실상이 낱낱이 드러났다. 미국 정부는 이번 기소를 통해 중국 정부가 민간 회사를 위장하여 광범위한 해킹과 정보 수집을 체계적으로 진행해왔음을 국제사회에 공식적으로 경고했으며, 이에 따라 관련자들과 중국 정보기관 관계자들에 대한 법적 대응과 외교적 압박을 강화하고 있다.
■북한, 중국 인프라를 통한 우회 전개
한편 북한은 상기 언급한 ‘디지털 권위주의 연합’에서 전술적 유연성과 공격성을 동시에 갖춘 행위자다. 북한 해커들은 종종 중국 내에 위치한 서버, IP 주소, VPN, 그리고 이미 해킹한 제3국의 컴퓨터를 중간 경유지로 삼아 공격을 수행한다. 이러한 방식은 실제 공격의 출발지를 감추기 위한 우회 전략으로, 중국 정부의 묵인이나 전략적 방조가 있었음을 시사한다. 2014년 소니픽처스 해킹 사건의 주범 박진혁 역시 중국 단둥에 위치한 프론트 기업 ‘조선엑스포’ 소속으로 확인된 바 있다.
최근 사례로는 2025년 2월, 북한의 'TraderTraitor' 조직이 아랍에미리트(UAE) 기반 암호화폐 거래소 Bybit를 해킹해 15억 달러 규모의 자산을 탈취한 사건이 있다. FBI는 이를 라자루스 그룹(Lazarus Group)의 소행으로 공식 확인했다.
또한 북한은 종종 ‘아스트릴(Astrill)’이라는 상용 VPN(Virtual Private Network) 서비스를 이용해 IP 주소를 위장하고, 실제 위치를 숨기는 방식으로 사이버 공격을 수행한다. VPN은 사용자의 인터넷 접속 경로를 암호화된 터널을 통해 우회시켜 추적을 어렵게 만드는 익명화 도구이며, Silent Push 및 Mandiant 등 사이버 위협 인텔리전스 기관에 따르면, 북한 해커들은 특히 Astrill을 자주 사용하는 것으로 나타났다. Astrill은 중국, 홍콩 등 인터넷 검열이 강한 지역에서도 안정적이고 빠른 연결을 제공하며, 다양한 국가의 가상 IP를 선택할 수 있는 기능을 갖추고 있어 사이버 작전에 유리한 조건을 제공한다.
이 VPN 서비스의 본사는 인도양 아프리카 동부 해상에 위치한 ‘세이셸(Seychelles)’에 등록되어 있으며, Astrill은 프라이버시 보호를 최우선으로 내세우고, 접속 로그를 남기지 않으며, 법적·제도적 감시로부터 자유로운 세금·규제 회피에 유리한 세이셸의 기업 환경을 전략적으로 활용하고 있다. 이러한 특성은 국가 차원의 감시를 피하고자 하는 해커 그룹들에게 매우 매력적인 조건으로 작용하며, 북한뿐 아니라 중국, 러시아 등 위장 및 익명성을 중시하는 사이버 작전 조직들에게도 선호된다. 따라서 이들을 추적하기란 쉽지만은 않다.
아무리 강력한 VPN이라도 완전한 은폐 수단은 아니다. VPN 접속 이전의 활동 흔적, 브라우저 설정 오류, 로그 기록 노출 등으로 인해 실제 네트워크 위치가 드러나는 사례가 존재하며, 이는 공격자의 신원을 식별하거나 경로를 추적하는 데 중요한 단서가 되기도 한다. 다시 말해, VPN은 익명성을 보조하는 수단일 뿐이며, 정교한 디지털 포렌식과 OSINT(Open Source Intelligence) 분석을 통해 그 허점을 노출시킬 수 있는 기술적 한계를 가지고 있다.
■디지털 실크로드를 통한 영향력 확장
중국은 디지털 실크로드(Digital Silk Road, DSR)를 통해 통신망, 데이터 센터, 스마트시티 기술을 수출하며 정보 주권과 디지털 영향력을 확장하고 있다. 중국의 디지털 실크로드(Digital Silk Road, DSR)는 2015년 ‘일대일로(BRI)’ 전략의 일환으로 출범한 디지털 인프라 확장 프로젝트로, 통신망, 데이터 센터, 스마트시티 기술 등을 개발도상국에 수출하며 디지털 경제 협력과 연결성을 강화하는 것을 표방하고 있다. 그러나 실상은 중국의 정보 주권을 해외로 확장하고, 감시 기술을 수출하며, 사이버 첩보 활동을 수행하기 위한 전략적 도구로 활용되고 있다. 대표적으로 2018년 아프리카연합 본부 서버에서 수년간 중국 상하이로 데이터가 자동 전송된 사례는, DSR 인프라가 단순한 경제협력 인프라를 넘어 정보 유출과 감시의 수단이 되고 있음을 보여준다. 중국은 자국 내에서 사용하는 안면 인식, 인터넷 검열, 시위 진압 기술을 정치적 반대 의견을 억압하고 표현의 자유를 제한하는 비민주적 정부에 수출함으로써, 해당 국가들이 자국민을 감시하고 통제하는 디지털 억압 체계를 구축하도록 돕고 있다. 이러한 행위는 국제사회에서 ‘디지털 식민주의’라는 비판을 받고 있으며, 디지털 실크로드는 결과적으로 단순한 경제 협력을 넘어서 경제, 안보, 정보 분야 전반에서 중국의 글로벌 영향력 확대와 기술패권 경쟁을 뒷받침하는 전략적 수단으로 작동하고 있다.
■러시아·이란과의 사이버 공조
2025년 초 중국과 러시아가 체결한 ‘중·러 사이버 안보 협력 협정(China-Russia Cybersecurity Cooperation Agreement)’은 양국 간 사이버 훈련, 기술 이전, 위협 정보 공유를 포함하는 포괄적 협력 체계로, 사이버 공간에서의 전략적 공조를 공식화한 것이다. 이 협력은 상호 감시를 지양하고 법집행기관 간 정보 교류를 강조하며, ‘상하이협력기구(SCO)’를 통한 다자 협력으로도 확장되고 있다. SCO는 중앙아시아와 중동, 남아시아를 아우르는 9개국 안보 협의체로, 최근 사이버 안보를 핵심 의제로 격상시켜 중국과 러시아의 영향력 확장에 중요한 무대가 되고 있다. 특히 러시아-우크라이나 전쟁 이후 사이버 공간은 사실상 또 다른 전장이 되었고, 중국은 자국 IT 기업을 통해 러시아의 사이버 활동을 물밑에서 지원해왔다. 동시에 중국·러시아·이란은 자국의 이익을 위해 랜섬웨어 집단 등 민간 사이버 범죄 조직과 협력하거나 이를 활용하면서 사이버 범죄와 국가 행위 간 경계가 모호해지고, 공격의 효율성과 은폐성을 높이고 있다. 이러한 진영화된 사이버 공조는 미국이 2021년에 출범시킨 ‘국제 랜섬웨어 대응 이니셔티브(Counter Ransomware Initiative, CRI)’에 대응하는 성격을 띠고 있다. CRI는 전 세계적으로 확산되는 랜섬웨어 위협에 공동 대응하기 위해 미국이 주도하여 30여 개국이 참여하고 있는 다자간 협력 체제로, 위협 정보 공유, 수사 공조, 사이버 방어 역량 강화 등을 목표로 한다. 중국·러시아·이란의 공조는 이와 같은 서방 주도의 국제 사이버 안보 체계에 대한 도전이자, 한국을 포함한 민주국가들과의 사이버 안보 경쟁과 규범 충돌을 더욱 심화시키고 있다.
■제3국 경유 작전과 중국의 간접 영향력
중국은 미국의 첨단 AI 칩 및 반도체 기술 수출 규제를 우회하기 위해 말레이시아, 싱가포르, 태국 등 동남아 국가들을 전략적 경유지로 활용하며 간접적인 영향력을 확대하고 있다. 대표적으로 2025년 3월, 말레이시아 정부는 미국산 Nvidia AI 칩이 자국을 경유해 중국의 AI 스타트업 DeepSeek에 유출된 정황을 포착하고 수출 규제를 강화했으며, 화웨이의 AI 서버용 칩 도입 계획도 미국의 압력으로 하루 만에 철회되었다. 중국 기업들은 이처럼 현지 법인을 설립해 중국과의 직접 연계를 감추는 ‘중국색 희석’ 전략을 통해 우회 수출 경로를 확보하고 있으며, 미국은 이에 대응해 ‘바이든 표’ AI 반도체 수출통제 정책을 개편하고 제3국을 통한 유출을 차단하기 위한 새로운 규제안을 추진 중이다. 이러한 경유 작전은 중국이 미국의 직접 제재를 피하면서도 첨단 기술을 지속적으로 확보하는 핵심 수단으로 기능하며, 사이버 작전 측면에서도 중국은 제3국을 경유지로 활용한 정보 탈취, 기술 침투, 원격 사이버 공격 시도를 확대하고 있어 기술 유출과 사이버 위협이 복합적으로 얽히는 양상을 보이고 있다. 동남아 국가들은 미·중 기술 패권 경쟁의 최전선에서 외교적·경제적 균형을 모색하는 복잡한 상황에 직면하고 있으며, 이 과정은 단순한 기술 거래를 넘어 글로벌 공급망, 규제 체계, 기술 안보 질서 전반에 중대한 영향을 미치고 있다.
■글로벌 거버넌스를 향한 공동 대응의 필요성
이러한 사이버 위협은 단순한 기술 문제가 아니라 정보, 군사, 경제를 아우르는 국가전략의 투영이며, 각국 인프라와 통신사를 정밀 타격하는 방식으로 진화하고 있다. 사이버 거버넌스를 위한 다자적 협력과 OSINT 기반의 민관 정보 공유, 기술 보호 체계 정비가 절실하다. 중국, 러시아, 북한, 이란은 공통적으로 서방의 정보 주권을 약화시키고 국가 통제를 강화하는 방향으로 움직이고 있다. 우리는 이들의 디지털 권력 연합을 인식하고, 기술적 대응을 넘어 외교·정책·산업이 함께 연계된 사이버 방어 생태계 구축에 나서야 할 때다.
사이버 위협은 국경을 넘는 무형의 전쟁이며, 우리 사회가 지금 겪고 있는 침해는 빙산의 일각에 불과하다. 다크웹에는 이미 수많은 한국 기업과 공공기관의 이메일 계정, 패스워드, 내부 문서들이 떠돌고 있고, 이는 단순한 정보 유출이 아니라 국가 안보와 산업 경쟁력을 위협하는 실질적 침공이다. 특히 오늘날의 사이버 공격은 기술적 해킹만이 아니라 사람의 심리를 파고드는 소셜 엔지니어링 기법이 필수적으로 동원되며, 이는 단순한 기술 대응만으로는 방어할 수 없다는 사실을 의미한다. 따라서 이제는 사이버보안에 대한 국민 전반의 인식 제고와 인적 보안 훈련이 국가 차원의 과제로 격상되어야 하며, 이를 위해 모든 국민을 대상으로 한 지속적인 사이버보안 교육과 상시적인 대응 훈련이 필요하다. 이 교육은 단발성 홍보가 아닌 ‘사이버 보안 운동’ 수준의 사회적 캠페인으로 승화되어야 하며, 학교, 기업, 정부, 언론이 함께 참여해 사이버 보안을 국민운동으로 끌어올려야만 한다. 피해가 발생한 후에만 대응하는 방식으로는 계속해서 무방비 상태로 당할 수밖에 없다. 이미 침해된 현실을 냉정히 받아들이고, 국가와 민간이 연대해 기술, 인적 역량, 정책, 교육이 유기적으로 맞물리는 사이버 방어 생태계를 구축하는 것이야말로 지금 우리가 반드시 선택해야 할 전략적 길이다.
물론, 모든 사이버 피해 조직이 국가 지원 해커의 고도화된 공격을 이유로 ‘피해자 코스프레’를 하며 면책될 수는 없다. 분명히 필요한 보안 조치를 취하지 않았거나, 방만한 보안 관리로 피해를 키운 조직에 대해서는 그에 상응하는 책임을 분명히 물어야 하며, 그래야만 사회 전반의 보안 경각심도 함께 강화될 수 있다. 사이버보안은 단지 기술 부서의 일이 아니라, 조직 전체의 문화이자 책무라는 인식이 자리잡아야 한다. 다만, 국가 지원 해커 그룹의 공격은 개별 기업이나 기관이 단독으로 막기 어려운 수준의 위협이라는 점 또한 간과해선 안 된다. 혼자의 힘만으로는 대응에 한계가 있으며, 이 때문에 민관 협력과 공동 대응 체계가 더욱 강화되어야 한다. 정부는 법적·제도적 지원과 함께 위협 인텔리전스 공유, 신속한 대응 체계를 제공해야 하고, 민간은 적극적으로 보안 역량을 끌어올리며 공동의 사이버 방어 생태계 구축에 동참해야 한다. 이는 경쟁의 문제가 아니라 생존의 문제이며, 사회 전체가 함께 지켜내야 할 공동 안전망의 구축이다.
[글. 엔피코어 백세현 해외전략이사 / david.baek@npcore.com]
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[특전기자가 간다] 하늘은 잠들지 않는다…오산 KAOC, 영공 방어의 눈](https://img.newspim.com/news/2025/05/22/2505221011341910.jpg)
