미국 사이버보안인프라보안국(CISA)이 정원의 38%만으로 운영되는 가운데, 이란발 사이버 위협이 역대 최고조로 치솟고 있다. CISA·FBI·NSA가 공동 경보를 발령했고, 영국 NCSC도 중동 사이버 대비를 긴급 권고했다. 한국·일본·인도는 ‘2차 피해국’으로 랜섬웨어·공급망 공격 위험에 직면해 있다.
38%로 운영되는 사이버 방패
미국의 사이버 방어를 총괄하는 CISA가 최악의 시기에 최약의 상태에 놓였다. 트럼프 행정부의 연방 예산 삭감으로 CISA는 정원 대비 38% 수준으로만 운영되고 있으며, 취임 이후 상임 국장도 임명되지 않은 상태이다. 국토안보부(DHS)는 2월 17일 사이버보안 평가를 포함한 각종 훈련·점검 활동의 취소를 공지했다.
구체적으로 영향을 받는 프로그램은 광범위하다. 랜섬웨어 대응 프로그램, 안전한 소프트웨어 개발 감독, 취약점 공개 조율, 원격 침투 테스트, 피싱 평가 등 핵심 서비스의 역량이 축소됐다. 의료·에너지·수도·교통 등 핵심 인프라 분야에 배치된 현장 자문관 수도 줄었고, 산업제어시스템(ICS) 보안 업무도 약화됐다.
| 영향 분야 | 구체적 변화 |
|---|---|
| 위협 인텔리전스 | 취약점 권고문·KEV 카탈로그 업데이트 감소 |
| 무료 보안 서비스 | 사이버 위생 스캔·침투 테스트·피싱 평가 축소 |
| 인프라 복원력 | 핵심 분야 현장 자문관 감소, ICS 보안 약화 |
| 사고 대응 | 전국 규모 사이버 사고 시 급증 대응 역량 저하 |
| 인력 현황 | 정원의 38%, 상임 국장 공석, 일부 이민업무 재배치 |
민주주의수호재단(FDD)의 애니 픽슬러(Annie Fixler)는 “지금은 워싱턴의 사이버 기관이 제한된 인력으로 운영될 때가 아니다”라며, “축소된 역량은 연방정부가 민간 부문에 시의적절한 사이버 위협 정보를 제공하는 능력을 제한한다”고 비판했다.
이란의 사이버 전력 ‘창의적이고 위험하다’
이란의 사이버 역량은 과소평가할 수 없다. 모뉴먼트 어드보카시(Monument Advocacy)의 타티아나 볼턴(Tatyana Bolton)은 “이란은 세계에서 가장 창의적이고 위험한 사이버 작전자를 보유하고 있다”고 평가했다.
이란의 국가 지원 해커 그룹은 APT33(엘핀), APT34(오일리그), APT35(차밍키튼), 머디워터(MuddyWater)로 구성된다. 2012~2013년 뱅크오브아메리카·JP모건체이스 등 미국 금융기관 대상 DDoS 공격, 2012년 사우디 아람코의 워크스테이션 3만 대를 파괴한 샤문(Shamoon) 와이퍼 공격이 대표적 전과이다. 2023년 11월에는 IRGC 연계 ‘사이버어벤저스(CyberAv3ngers)’가 미국 수처리 시설의 유니트로닉스(Unitronics) PLC를 해킹해 최소 75개 장치를 침해했고, 이 중 34개가 수도·하수 시스템이었다. 기본 비밀번호를 사용하거나 비밀번호가 아예 없는 인터넷 노출 장치를 노렸다.
CISA·FBI·NSA 합동 경보 발령
CISA, FBI, DC3(국방사이버범죄센터), NSA는 합동 성명을 통해 “미국 핵심 인프라에 대한 이란 연계 사이버 행위자의 잠재적 표적 공격에 경계를 늦추지 말 것”을 강력히 촉구했다. 영국 국가사이버보안센터(NCSC)도 중동 분쟁 관련 사이버 대비 권고를 발령했다.
소포스(Sophos) X-Ops는 현재 위협 수준을 ‘고조(Elevated)’로 평가하며, 단기(수일~수주) 내 DDoS, 웹사이트 변조, 랜섬웨어, 와이퍼 악성코드, 해킹-유출(hack-and-leak) 공격이 예상된다고 분석했다. 활동이 확인된 이란 연계 위협 그룹으로는 한달라해크(Handala Hack), APT이란(APTIran), 사이버투판(Cyber Toufan), 바키야트락(BaqiyatLock) 랜섬웨어-서비스 그룹 등이 있다.
이란의 인터넷 마비가 도왔다
아이러니하게도 이란의 사이버 반격을 억제하는 요인은 이란 자체의 인터넷 마비이다. 2월 28일 이후 이란의 인터넷 가용률이 1~4%로 급락하면서, 이란 지도부와 지휘 구조가 크게 훼손됐고 이는 국가 지원 위협 행위자들의 정교한 사이버 공격 조율·실행 능력을 단기적으로 저해하고 있다. 그러나 포춘(Fortune)의 보도에 따르면 전직 NSA 요원은 “사이버 보복의 열쇠는 텔레그램 방에 있는 19세 해커의 손에 달려 있다”고 경고하며, 분산된 핵티비스트 활동은 인터넷 마비와 무관하게 지속될 수 있다고 분석했다.
팔로알토 Unit 42와 클라우드섹(CloudSEK)은 한국·일본·인도·유럽을 ‘2차 피해국(second-order affected countries)’으로 분류하며 간첩 활동, 공급망 침해, DDoS, 랜섬웨어, 허위정보 확산 위험을 경고했다. 한국은 중동 에너지 의존도가 70%를 넘어 에너지 공급망을 통한 ICS 연계 위험이 높고, 반도체·조선·화학 등 인터넷 노출 산업제어시스템이 존재한다. 전문가들은 다중인증(MFA) 강화, 백업 무결성 검증, 사고 대응 플레이북 재검토를 긴급히 권고하고 있다.
© 2026 TechMore. All rights reserved. 무단 전재 및 재배포 금지.
기사 제보
제보하실 내용이 있으시면 techmore.main@gmail.com으로 연락주세요.
