이란 인터넷 48시간 마비, 사이버전이 실전 전쟁이 됐다

미국·이스라엘의 합동 사이버 공격으로 이란 인터넷이 가용률 1~4%까지 붕괴했다. 500만 다운로드 기도 앱이 해킹돼 항복 메시지가 송출되고, 이란 측은 이스라엘 산업제어시스템(ICS)과 요르단 연료 인프라를 공격하며 보복했다. 친러시아 해커 그룹까지 가세해 사이버전이 물리적 전쟁과 동시에 전개되는 새로운 분쟁 양상이 현실화됐다.

사이버사령부, ‘선제 타격’으로 전쟁을 열다

2026년 2월 28일 미국의 ‘에픽 퓨리(Epic Fury)’와 이스라엘의 ‘포효하는 사자(Roaring Lion)’ 작전이 동시에 개시됐다. 합동참모의장 댄 케인(Dan Caine) 장군은 브리핑에서 미 사이버사령부(CYBERCOM)와 우주사령부를 “선제 타격자(first movers)”라 지칭하며, “우주·사이버 작전의 비(非)동역학적 효과가 작전 지역 전역의 통신·감시망을 효과적으로 교란해 적이 보고, 조율하고, 대응하는 능력을 사실상 제거했다”고 밝혔다.

인터넷 관측소 넷블록스(NetBlocks)에 따르면 이란의 인터넷 가용률은 2월 28일 오전부터 1~4%로 급락했으며, 48시간 이상 사실상 마비 상태가 지속됐다. 이는 물리적 공습과 동기화된 대규모 사이버 공격의 결과이다. 이란의 최고지도자와 다수 고위 관리가 이 작전 중 사망한 것으로 보도됐다.

기도 앱에 항복 메시지— 심리전의 디지털화

사이버전에서 가장 주목할 만한 것은 ‘심리전의 디지털화’이다. 500만 회 이상 다운로드된 이란의 종교 달력 앱 ‘바데사바(BadeSaba)’가 2월 28일 오전 9시 52분(현지 시각) 해킹됐다. 이슬람혁명수비대(IRGC) 일반 병사에게 무장 해제와 항복 방법을 안내하고, 시위대가 모일 안전 장소를 알려주는 푸시알림이 발송됐다. 사이버보안 분석가들은 이 작전이 이스라엘 모사드와 사이버전 부대의 소행이라고 평가했다.

이란의 사이버 반격과 친러시아 해커의 가세

이란 측도 즉각 반격에 나섰다. 이란 정보보안부(MOIS) 연계 핵티비스트 그룹은 요르단 연료 인프라를 공격했다고 주장했고, 이스라엘의 산업제어시스템(ICS)을 겨냥해 제조·에너지 배전 시스템을 교란했다고 밝혔다. FAD 팀은 글로벌 SQL 인젝션 캠페인을 수행하며 개인식별정보(PII)를 유출했고, 사우디아라비아 메카·메디나의 방화벽 네트워크 모니터링 대시보드 장악, 바레인 뉴스통신사 비활성화, 카타르 석유기업 가스코(Gasco) 대상 DDoS 공격을 주장했다.

더 우려되는 것은 친러시아 해커 그룹의 가세이다. 팔로알토 네트웍스(Palo Alto Networks) Unit 42는 NoName057(16) 등 친러시아 위협 행위자가 사이버이슬라믹레지스탕스(Cyber Islamic Resistance) 등 이란 연계 그룹과 #OpIsrael 캠페인 하에 합류해 이스라엘 방산 기업과 지자체를 대규모 DDoS로 공격하고 있다고 보고했다.

팔로알토 네트웍스의 스콧 맥키논(Scott McKinnon) 최고보안책임자(CSO)는 “분쟁이 있을 때마다 물리적 공방뿐 아니라 부수적 사이버 무기도 사용된다”며, “적이 방어 도구를 공격에 전용하는 더 정교한 기법을 더 빠른 속도와 더 큰 규모로 구사하고 있다”고 경고했다. 그는 “더 이상 보고 듣는 것을 그대로 신뢰할 수 없다. 다중인증(MFA)과 보조 통신 채널, 그리고 안전 단어(safe word)까지 필요하다”고 강조했다.

Unit 42는 한국·일본·인도·유럽 등 2차 피해국에 대해 간첩 활동, 공급망 침해, DDoS, 랜섬웨어, 허위정보 확산 위험이 고조됐다고 경고했다. 한국은 중동 에너지 의존도가 70%를 넘고 방산·반도체·조선 등 전략산업의 산업제어시스템이 인터넷에 노출된 경우가 있어, 이란 연계 위협 행위자의 기회주의적 공격 대상이 될 수 있다.