해킹은 정말 북중러만의 무기인가?

큰사진보기

뉴스에서 '해킹 공격'이라는 말을 접하면 떠오르는 나라가 있다. 북한, 중국, 러시아다. 최근 10년간 공개된 APT(Advanced Persistent Threat, 지능형 지속 공격) 사례를 모아 분석한 국제 연구에 따르면, 2014년부터 2023년까지 주요 보안업체와 연구기관이 발간한 기술 보고서 1509건에서 603개의 APT 그룹이 식별됐다. 이 가운데 가장 자주 등장하는 이름은 북한 정찰총국 산하 110연구소와 연계된 것으로 알려진 라자루스 그룹과 중국·러시아 계열 그룹들이고, 피해국 통계에서는 미국뿐 아니라 인도, 한국, 일본 등도 상위권에 오른다. 이런 숫자와 헤드라인이 반복되면, 우리 머릿속에는 자연스러운 도식이 하나 생긴다.

해킹은 늘 같은 몇 나라가 일으키고, 우리는 대체로 그 공격을 당하는 쪽이라는 이미지가 머릿속에 자리 잡는다. APT라는 말만 들으면 '북·중·러가 우리를 노린다'는 문장부터 떠올리게 되는 이유다. 과연 이 그림이 사이버 세계의 전부일까.

APT는 정말 북·중·러만의 무기인가?

지능형 지속 공격, 즉 APT는 애초에 '국가가 배후인, 장기적이고 정교한 사이버 공격'을 가리키는 말이다. 정부기관이나 핵심 산업시설에 은밀히 침투해 몇 달, 몇 년씩 머무르며 패킷을 스니핑(도·감청)하거나, 공격이 필요한 순간을 기다리는 작전을 뜻한다. 이런 정의만 놓고 보면 북한·중국·러시아가 APT의 대표 사례로 거론되는 데에는 이유가 있다. 실제로 이들 국가의 활동이 크고, 그 일부는 서방 정부가 공식 발표와 제재를 통해 공개해 왔다.

그렇다고 APT가 소수 국가만의 전유물이라는 뜻은 아니다. 미국 국가안보국(NSA) 안에는 TAO(Tailored Access Operations)라는 조직이 있다. 워싱턴포스트가 스노든 문건을 인용해 보도한 바에 따르면, 미 정보기관은 2011년 한 해에만 231건의 공세적 사이버 작전을 수행했다. 인터넷을 첩보·사보타주·전쟁의 무대로 삼아 외국 네트워크를 침투하고 교란한 활동이었다.

보안업계는 이러한 NSA의 역량을 가리켜 일반적으로 이퀘이션 그룹(Equation Group)이라고 칭한다. 러시아 보안업체 카스퍼스키랩은 이 그룹을 "지금까지 알려진 것 가운데 가장 복잡하고 정교한 위협 행위자"라고 평가하며, 스턱스넷, 플레임 같은 고도의 악성코드 및 공격도구와 연관된 국가급 APT로 분석한다.

영국 정보기관과 연계된 것으로 알려진 레진(Regin)도 있다. 레진은 2014년 카스퍼스키와 시만텍, 언론 보도 등을 통해 처음 공개된 악성코드로, 유럽 통신사와 공공기관을 장기간 노린 스파이 도구로 분석됐다. 유럽의회와 여러 보고서는 이 악성코드가 미국 NSA와 영국 GCHQ가 사용한 것으로 추정된다고 전한다.

이런 사례들은 'APT = 북·중·러'라는 인상을 조금 다른 방향으로 돌려놓는다. 정교한 장기 해킹 작전을 수행하는 국가는 적성국만이 아니며, 미국과 유럽을 포함한 여러 국가가 각자의 방식으로 공세적 역량을 개발해 왔다는 점을 보여준다.

여기에 일본과 일부 NATO 동맹국의 변화도 더해지고 있다. 일본은 2025년 이른바 능동적 사이버 방어법(Active Cyber Defense)을 제정해, 해외에서 들어오는 해킹 흔적과 그 출발점을 찾아내고, 필요하면 이를 직접 막아버릴 수 있는 조치를 법적으로 허용했다. NATO 역시 2016년 바르샤바 정상회담에서 사이버 공간을 공식적으로 '작전 영역(Domain of Operations)'으로 인정하고, 이후 각종 문서에서 필요할 경우 동맹 작전에서 회원국의 사이버 역량을 활용할 수 있다는 점을 반복해 확인하고 있다.

공식 전략만 놓고 봐도, '우리는 방어만 하고 상대는 공격만 한다'는 이미지는 현실과 거리가 있다. 많은 나라가 방어와 공격 능력을 함께 키우고 있으며, 그 가운데 일부는 우리가 흔히 '우방'이라고 부르는 국가들도 포함된다.

그렇다면 왜 동맹국/우방국이 수행한 APT는 잘 안 보일까

그렇다면 이런 의문이 자연스럽게 따라온다. 공격 능력을 갖춘 나라가 여럿인데, 왜 뉴스와 CTI(Cyber Threat Intelligence, 사이버 위협 정보) 보고서를 보면 늘 비슷한 몇 나라 이름만 반복해서 나올까.

첫째는 기밀의 문제다. 공세적 사이버 작전은 어느 나라에서나 최고 수준의 비밀로 다뤄진다. 실패하면 외교 문제로 번질 수 있고, 성공한 작전이라도 수단과 기술이 공개되면 다시 쓰기 어렵다. 전략 문서에서는 '선제적 대응'이나 '공세적 역량'을 언급하더라도, 개별 작전의 세부를 공개 리포트 형태로 설명하는 일은 거의 없다. APT 이름을 붙이고 전술과 도구를 구체적으로 공개하는 순간, 곧바로 '우리가 이런 방식으로 누구를 해킹했다'는 진술이 되기 때문이다.

둘째는 CTI 생태계를 누가, 어떤 논리로 이끌고 있느냐의 문제다. 글로벌 APT 명명과 분석 보고서의 상당수는 미국·유럽 기반 보안업체와 연구기관이 쓰고, 이들의 주요 고객은 서방 정부와 기업이다. 자연히 이들이 위협으로 인식하는 북·중·러·이란 같은 국가발 공격이 더 자주, 더 자세히 공개된다. 같은 수준의 활동이라도 자국이나 동맹국이 개입된 작전은 훨씬 조심스럽게 다루거나 내부에서만 공유되기 쉽다.

취리히 연방공대의 연구자 플로리안 에글로프는 2020년 국제안보 학술지 Contemporary Security Policy에 실린 논문 <Contested public attributions of cyber incidents and the role of academia>에서, 정부와 민간이 내놓는 이런 공개 귀속과 위협 인텔이 여러 운영·구조적 요인 때문에 '사이버 갈등의 왜곡된 그림'을 만든다고 지적한다. 공격자와 피해자가 모두 자신의 흔적과 피해를 숨기려 하고, 위협 인텔 회사는 자신이 보이는 범위와 시장, 정치·상업적 고려에 따라 분석 대상을 고르며, 정부는 외교·법·정보보호를 이유로 어떤 사건만 선택적으로 공개한다는 것이다. 그 결과, 공개 자료에는 특정 유형의 사건만 과도하게 남고 다른 유형의 공격은 실제보다 훨씬 덜 보이게 된다. 에글로프는 이런 편향을 줄이려면 학계와 시민사회가 보다 독립적인 자료 수집과 분석으로 공개 귀속 담론에 적극 참여해야 한다고 제안한다.

셋째는, 우리가 보는 데이터가 어디에서부터 시작되는가의 문제다. 국제 정치학 저널 Journal of Peace Research에 실린 해리 오펜하이머의 2024년 논문 〈How the process of discovering cyberattacks biases our understanding of cybersecurity〉말 그대로 "사이버공격을 발견하는 과정 자체가 우리가 사이버 안보를 이해하는 방식을 어떻게 편향시키는가"라는 질문을 정면으로 다룬다. 이 논문은 공격이 일어나고, 누군가 그 공격을 발견하고, 다시 그것이 보고서와 기사로 정리되는 일련의 단계마다 편향이 축적된다고 설명한다. 기술적으로 탐지하기 쉬운 공격, 공격자가 스스로 과시하는 공격, 정치적으로 공개해도 부담이 적은 공격이 먼저, 그리고 더 자주 공개된다. 연구자와 언론은 그런 사건들로 구성된 데이터에 의존하기 때문에, 애초부터 "보이기 쉬운 형태의 사이버전"을 전체의 축소판처럼 보게 된다는 것이다. 최근 발표된 <A Decade-long Landscape of Advanced Persistent Threats: Longitudinal Analysis and Global Trends> 라는 연구도 이 점을 잘 보여준다. 성균관대 구형준 교수팀의 이 논문은 보안 분야 최상위 국제학회인 ACM CCS 2025에 실린 것으로, 2014년부터 2023년까지 전 세계에서 공개된 APT 관련 기술 보고서 1509건을 모아 603개의 고유 APT 그룹과 154개 피해국을 식별하고, 지난 10년간의 공격 흐름을 종합적으로 분석했다. 연구진은 이 데이터에서 154개 국가가 APT 공격을 한 번 이상 겪었고, 그중 미국·인도·한국 등이 가장 자주 표적이 되었으며, 북한의 라자루스, 러시아의 APT28·APT29 같은 소수의 그룹이 전체 캠페인의 상당 부분을 차지한다는 사실을 보여준다. 다시 말해, APT 공격은 소수의 '유명한' 행위자와 몇몇 주요 국가에 통계가 집중되는 구조를 띤다.

이런 구조는 곧바로 '서방 진영에서 수행한 APT는 없다'는 뜻이 아니라, '공개된 CTI와 기술 보고서가 집중적으로 다루는 행위자와 지역이 따로 있다'는 뜻에 가깝다. 공개 리포트가 많이 쌓인 그룹과 국가일수록 통계·지도·그래프에서 더 자주, 더 크게 나타나고, 그렇지 않은 행위자와 지역은 실제 활동이 있더라도 그림 속 존재감이 상대적으로 희미해질 수 있다. 여기에 앞서 살펴본 것처럼 외교 안보상의 기밀 보호, 보안업계의 상업적 고려, 그리고 해리 오펜하이머가 지적한 발견 → 보고 → 공개 과정에서의 '가시성 편향'까지 겹치면, 우리가 보는 APT 지형도는 본질적으로 "공개 가능하고 많이 보고된 일부 전장의 축약본"이라는 점을 인정할 수밖에 없다.

CTI가 다루는 세계, 그리고 우리가 기억해야 할 것들

처음 질문으로 돌아가 보자. CTI에 대해 강의하다 보면 "왜 APT 얘기를 할 때는 늘 북·중·러가 집중적으로 다뤄지고, 다른 나라들은 거의 언급되지 않느냐"는 질문을 받게 된다.

CTI 연구가 다루는 것은 기본적으로 공개된 자료, 즉 보안업체 리포트, 정부 발표, 기술 분석 보고서 등이다. 이 자료들이 이미 여러 제약과 선택을 거쳐 구성된 샘플이라는 점을 이해하면, '왜 특정 국가 이름만 반복적으로 등장하는가'라는 현상도 조금 다른 눈으로 보이기 시작한다. CTI 데이터는 실제 사이버전의 100%가 아니라, 발견되고, 보고되고, 공개되기까지 여러 관문을 통과한 일부 사건이다. 해리 오펜하이머 교수가 말한 '가시성 편향'과 에글로프가 지적한 "왜곡된 그림"은 이런 점을 상기시킨다.

이것은 어느 특정 국가를 탓하자는 이야기가 아니다. 오히려 '해킹공격은 북·중·러만 하나?'라는 단순한 인식에서 벗어나자는 제안에 가깝다. 매우 많은 나라가 동시에 공격자이자 피해자로 존재하는 공간이 바로 사이버 공간이다. 다만 그중 일부만 이름과 얼굴이 자주 등장할 뿐이다.

그래서 이 정도는 알아두면 좋을 것 같다. 언론 및 보고서에 등장하는 APT 그룹이 전부가 아니라는 것, 공격자는 소위 권위주의 국가만이 아니라는 것, 우리가 보는 데이터와 그래프도 정치·상업·기술적 조건 위에서 편집된 결과라는 것. CTI를 연구하는 입장에서는 여기에 한 가지가 더해진다. 이런 한계를 전제로 데이터를 읽고, 모델을 만들고, 미래의 위협을 해석해야 한다는 점이다.

사이버 위협을 둘러싼 논의에서 중요한 것은 '누가 더 나쁘냐'는 단순한 도덕 평가가 아니라, 우리가 어떤 정보 위에서 판단하고 있는지를 자각하는 일이다. 해킹을 북·중·러만의 문제로 보는 시야에서 벗어나야, CTI가 제공하는 정보도 제자리에서 읽히고, 각 국가의 역할과 책임에 대한 토론도 가능해진다. 그런 의미에서 '우리가 보지 못하는 보이지 않는 해킹들'을 떠올려 보는 일은, CTI를 이해하는 출발점이기도 하다.