"지금의 한국 상황을 보면 5년 전 일본을 보는 것 같다."

도쿄 올림픽 전후에 일본 공공기관과 민간기업을 대상으로 사이버 보안 자문을 제공했다는 에란 슈타우버 울트라레드 대표는 "당시 일본을 공격했던 해커들은 단순 금전적 이득을 넘어 올림픽 준비 방해와 기밀 정보 수집, 정치적 혼란 유발, 대회 시스템 교란까지 시도했다"면서 "현재 한국 모습이 2020년을 전후한 일본의 상황과 매우 비슷하다"고 진단했다. 울트라레드는 해킹 공격을 24시간 실시간으로 자동 탐지하는 솔루션을 공급하는 회사다.

도쿄 올림픽은 올림픽 역사상 가장 많은 사이버 공격이 벌어진 행사로 꼽힌다. 통신 분야 공식 스폰서였던 일본전신전화공사(NTT)가 2021년 공개한 자료에 따르면 도쿄 올림픽과 패럴림픽 기간에 디도스(DDoS)·랜섬웨어 등 NTT가 방어한 사이버 공격은 4억5000만건에 달했다. 방송국·전력·교통망 같은 주요 인프라스트럭처에 대한 공격이 감행됐고 일본 정부기관과 올림픽 조직위원회까지 해킹 표적이 됐다.

사이버 공격은 올림픽 이후에도 이어졌다. 2021년엔 도쿠시마현 공립병원과 오사카 급성환자종합의료센터가, 2022년엔 정부 행정정보포털이 공격받았고 2023년에는 나고야항 컨테이너 터미널 하역 중단 사태가 벌어졌다. 지난해 말과 올해 초에는 일본항공(JAL)과 미쓰비시UFJ은행, 미즈호은행, NTT도코모 등이 연달아 피해를 입었다.





일본 정부는 중국 등 국가 단위 해킹 세력의 위협이 국가 시스템을 흔들고 국민 생명을 직접적으로 위협하는 지경에 이르자 특단의 대책을 마련했다. 지난 5월 '적극적 사이버 방어법(사이버 대처 능력 강화법)'을 제정·공포한 것이다.

이 법은 중대한 사이버 공격이 발생하지 않도록 방어하는 데 그치지 않고, 사이버 공격 시도가 감지될 경우 경찰과 자위대가 선제적으로 적 서버에 침입해 무력화한다는 내용을 담았다. 2027년 시행될 예정이며 내각에 신설될 '사이버 장관'이 컨트롤타워 역할을 맡게 된다. 하야시 요시마사 관방장관은 "국가를 목표로 한 심각한 사이버 공격이 국가의 주요 안보 우려 사항이 됐다"며 법안 제정 취지를 밝혔다.

슈타우버 대표는 "지금의 한국과 비슷하게 일본 역시 방어 중심의 소극적인 대응 체계를 갖추고 있었다"며 "도쿄 올림픽 이후 글로벌 사이버 전쟁의 최전선에 서게 되자 지속적 위협 노출 관리 기반의 적극적 보안 전략을 채택했다"고 설명했다. 기업들 또한 공격자 관점에서 이상 징후를 실시간 탐지하는 감시 및 조기 경보 체계를 채택하고 있다는 게 그의 설명이다.

보안 업계에서는 최근 이스라엘이 이란과의 전쟁에서 우위를 점할 수 있었던 배경에도 사이버 안보 능력이 있었다고 보고 있다. '사이버 돔'이 대표적 사례다. 사이버 돔은 이스라엘이 만든 방공망 '아이언 돔'의 사이버 버전으로 인공지능(AI)과 빅데이터 기반으로 국가 주요 인프라를 실시간 방어한다. 슈타우버 대표는 "현재 구글 클라우드 사이버실드와 팰런티어의 AI 엔진, 아마존 클라우드를 통합해 32개 기관의 네트워크를 상시 감시하고 있다"고 전했다. 또 다른 사이버 안보 시스템인 '크리스털 볼'은 여러 나라와 공유하는 일종의 '사이버 안보 우산'이다. 사이버 공격에 대한 다자간 공동 대응을 지원하는 기구로 이스라엘 총리실 산하 국가사이버국(INCD)과 아랍에미리트(UAE) 사이버보안위원회 등 55개국 이상의 기관이 참여하고 있다. 이스라엘은 이 밖에도 국가 사이버 위협 정보 공유망인 '사이버넷' 등 국가 단위 다층 방어망을 구축했다.

국가 차원에서 사이버 안보 인재를 집중 육성하는 것도 강점이다. 이스라엘 모사드와 사이버사령부 출신으로 구성된 보안그룹 '켈라'에 따르면 이스라엘 군 정보국 산하 8200부대 인원은 1만명에 달한다. 이스라엘 인구(약 940만명) 대비 거대한 규모다. 8200부대는 지난해 레바논에서 헤즈볼라를 겨냥해 대규모 '폭탄 삐삐' 공격을 감행했던 주역으로 알려져 있으며 미국 국가안보국(NSA)에 필적하는 기술 역량을 갖춘 것으로 평가받고 있다.

이스라엘은 사이버 보안 인재 조기 발굴에도 주력하고 있다. 고등학교 때부터 해킹·코딩 특별과정을 운영해 16~18세 학생에게 전문 기술을 가르치고 우수 학생은 군 입대 전에 8200부대 등으로 조기 스카우트된다. 울트라레드에 따르면 8200부대 등에서는 고교 상위 2% 이내 학생을 집중 선발해 혹독한 적성 검사와 합숙 훈련을 거쳐 매년 1000여 명의 사이버 전문가를 배출하고 있다.

한국의 상황은 이들 국가와는 대비된다. 국가 차원의 사이버 안보 체계를 법제화하기 위한 '국가사이버안보기본법' 제정 움직임은 20년 가까이 답보 상태에 빠져 있다. 2006년 참여정부 시절 처음 발의된 '사이버위기 예방 및 대응에 관한 법률안'이 임기 만료로 자동 폐기된 이후 21대 국회까지 회기마다 관련 법안이 어김없이 제출됐지만 모두 입법에 실패했다. 이후 국가정보원이 공식적으로 법 제정을 추진해 '2025년도 정부입법계획'에 법안을 포함한 상태다.

컨트롤타워가 부재하다는 것도 해결해야 할 과제다. 현재 정보 보호는 국정원이 공공 분야를, 과학기술정보통신부 한국인터넷진흥원(KISA)이 민간 분야를 전담하고 있는데 대응 체계가 분리돼 있어 즉각적으로 일원화된 대응을 하지 못하고 있다. 보안 업계 한 관계자는 "SK텔레콤 해킹 사태는 정보당국과 민간 사이버당국 간 공조 체계의 결함을 보여주는 단적인 사례"라며 "법적으로 역할과 정보 공유 체계가 분리돼 있어 실시간으로 민간과 국가기관이 공동 대응하기 어려운 게 현실"이라고 꼬집었다.

[고민서 기자]

[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]