이스라엘 - 이란 분쟁의 사이버 전쟁
2025년 6월 이스라엘과 이란 간의 무력 충돌은 단순한 물리적 교전을 넘어, 사이버 공간과 물리적 전장이 고도로 융합된 하이브리드 전쟁의 새로운 패러다임을 제시했습니다.
이스라엘의 "떠오르는 사자(Operation Rising Lion)" 작전으로 명명된 선제공격과 이에 대한 이란의 보복은 양국이 보유한 모든 전략 자산을 동원하는 총력전 양상으로 전개되었습니다.
사이버전의 핵심
첫째, 핵심 기반시설(CNI) 전선에서는 금융, 에너지, 통신 등 국가 경제와 안보의 중추를 마비시키기 위한 파괴적인 공격이 감행되었습니다.
둘째, 민간 심리 전선에서는 허위 경보, 정보 작전, 방송국 해킹 등을 통해 사회적 혼란을 야기하고 적국 국민의 저항 의지를 약화시키려는 시도가 이루어졌습니다.
셋째, 군사 정보 전선에서는 사이버 작전이 물리적 공격의 성공률을 높이기 위한 직접적인 정보 수집 및 방어 시스템 무력화 수단으로 활용되었습니다.
사이버전의 중심 세력
이스라엘의 국가 지원을 받는 것으로 강력히 추정되는 고도의 해킹 그룹 "프레데터리 스패로우(Predatory Sparrow, 약탈하는 참새)"와, 이란 이슬람 혁명수비대(IRGC) 산하의 정예 해킹 부대 및 이들과 연계된 전 세계적인 핵티비스트 연합으로 보인다.
이스라엘은 정교하고 파괴적인 와이퍼(Wiper) 악성코드를 활용해 이란의 금융 시스템에 직접적인 타격을 가하는 '사이버 외과수술' 전략을 구사했습니다. 반면, 이란은 자국의 정규 사이버 부대와 이념적으로 동조하는 다수의 핵티비스트 그룹을 동원하여 이스라엘을 상대로 비대칭적이고 광범위한 소모전을 펼쳤습니다.
이스라엘-이란 분쟁 주요 사이버전 타임라인
| 날짜/시간 (현지) |
행위자 | 표적 | 전술/무기 | 결과/영향 |
| 6월 13일 (금) 오전 | 이스라엘 | 이란 핵시설(나탄즈, 포르도, 이스파한), 군사 기지, 방공망 | "떠오르는 사자" 작전 개시: 전투기 공습, 벙커버스터, 드론, 사전 배치된 특수부대 및 사이버 공격을 통한 방공망 무력화 | 이란 군/IRGC 고위 지휘관 다수 사망(호세인 살라미, 모하마드 바게리 등), 핵시설 및 군사 기반시설 파괴 |
| 6월 13일 (금) 저녁 | 이란 | 이스라엘 민간인 | 허위 경보 SMS 발송 (연료 부족, 테러 경고 등) | 사회적 혼란 및 공포 조성 시도 |
| 6월 16일 (월) - 18일 (수) | 이란 및 친이란 핵티비스트 | 이스라엘 정부, 언론, 금융, 통신 등 | DDoS 공격, 웹사이트 변조 (공격 700% 급증) | 이스라엘 주요 기관 서비스 일시 장애 |
| 6월 17일 (화) | 프레데터리 스패로우 (이스라엘 추정) | 이란 세파 은행 | 데이터 파괴(Wiper) 공격 | 은행 IT 인프라 파괴, ATM 및 온라인 서비스 전면 중단 |
| 6월 18일 (수) | 프레데터리 스패로우 (이스라엘 추정) | 이란 노비텍스 암호화폐 거래소 | 해킹 및 자산 탈취 후 '소각' | 9,000만 달러(약 1,200억 원) 상당 암호화폐 탈취 후 복구 불가능한 주소로 전송 |
| 6월 18일 (수) - 19일 (목) | 이란 정부 | 이란 국내 인터넷 | 국가적 인터넷 접속 전면 차단 | 이스라엘 사이버 공격 방어 및 정보 통제 목적. 트래픽 97% 감소 |
| 6월 19일 (목) | 이란 | 이스라엘 민간 CCTV | 민간 및 공공 보안 카메라 해킹 | 미사일 공격 후 실시간 피해평가(BDA) 및 차기 공격 정밀도 향상 목적 |
| 6월 20일 (금) | 이스라엘 | 이란 국영방송(IRIB), FATA(사이버 경찰) 본부 | 방송국 공습, 해킹을 통한 방송 중단 | 생방송 중 폭발로 방송 중단, 이란의 선전 및 통제기구 타격 |
개전 초기 (6/13~15)
분쟁의 서막은 6월 13일, 이스라엘의 '떠오르는 사자' 작전으로 알려진 대규모 공습으로 열렸습니다. 이 공격은 이란의 핵 프로그램과 군사적 능력을 마비시키는 것을 목표로 나탄즈, 포르도, 이스파한 등지의 핵심 핵시설과 다수의 군사 기지를 타격했습니다. 이 공격의 가장 두드러진 특징은 단순한 물리적 파괴를 넘어, 이란의 군 지휘부를 직접 겨냥한 '참수 작전'의 성격을 띤다는 점입니다. 이슬람 혁명수비대(IRGC) 총사령관 호세인 살라미와 이란군 총참모장 모하마드 바게리 등 최고위급 지휘관들이 사망하면서 이란의 지휘통제체계는 개전과 동시에 심각한 혼란에 빠졌습니다.
이러한 물리적 공격의 성공 배경에는 고도로 정교한 사이버 작전이 자리 잡고 있었습니다. 공식적으로 확인되지는 않았으나, 다수의 정보 소스는 이스라엘의 공습이 이란의 방공망을 무력화하거나 교란하기 위한 사이버 공격과 동시에 이루어졌음을 시사합니다. 이스라엘 정보기관 모사드는 수년에 걸쳐 이란 내부에 무장 드론, 정밀 유도 무기, 전자전 장비 등을 포함한 자산을 밀반입하여 사전 배치한 것으로 알려졌습니다. 이 자산들은 공습 직전 원격으로 활성화되어 이란의 레이더와 미사일 포대를 내부에서부터 파괴하거나 마비시키는 '비대칭적 방공망 제압(asymmetric air-defense suppression)'을 수행했습니다. 이는 외부에서의 침투가 아닌 내부에서의 무력화를 통해 이스라엘 공군이 방해 없이 작전을 수행할 수 있는 환경을 조성한, 전형적인 사이버-물리 융합 작전의 사례입니다.
이스라엘의 기습에 직면한 이란의 초기 대응은 두 가지 축으로 전개되었습니다.
첫 번째는 100대 이상의 샤헤드 자폭 드론을 동원한 물리적 보복이었습니다. 그러나 이 공격은 대부분 요르단 및 이스라엘 상공에서 요격되어 실질적인 피해를 주지 못했습니다.
두 번째는 이스라엘 민간인을 대상으로 한 심리전이었습니다. 이란과 연계된 행위자들은 이스라엘 재난관리 당국인 '홈 프론트 커맨드(Home Front Command)'를 사칭하여 "24시간 내 주유소 연료 고갈", "대피소 인근 테러 임박"과 같은 허위 경보 문자 메시지를 대량으로 유포했습니다. 이는 물리적 타격 능력의 한계를 심리적 혼란 조장으로 보완하려는 비대칭적 대응 전략이었습니다.
기반시설 전쟁 (6/16~18): 경제 및 사회적 전장
이스라엘은 '프레데터리 스패로우'라는 페르소나를 통해 이란 경제에 충격과 공포를 안겨주는 파괴적인 사이버 공격을 감행했습니다.
6월 17일, 이스라엘과 연계된 것으로 추정되는 해커 그룹 '곤제슈케다란데(Gonjeshke Darande, 페르시아어로 '약탈하는 참새')'는 이란 국영 세파 은행(Bank Sepah)의 IT 인프라를 공격하여 데이터를 완전히 파괴했다고 주장했습니다. 이들은 세파 은행이 IRGC의 자금줄이자 국제 제재를 회피하는 통로로 사용되었다고 공격의 명분을 밝혔습니다. 이 공격으로 이란 전역에서 ATM 및 온라인 뱅킹 서비스가 마비되는 등 심각한 금융 대란이 발생했습니다.
하루 뒤인 6월 18일, 동일한 그룹은 이란 최대 암호화폐 거래소인 노비텍스(Nobitex)를 공격했습니다. 이 공격은 단순한 자금 탈취를 넘어섰습니다. 해커들은 약 9,000만 달러(약 1,200억 원)에 달하는 비트코인, 이더리움 등 암호화폐를 탈취한 뒤, 'F*ckIRGCterrorists'와 같은 반(反)IRGC 구호가 포함된 '배니티 주소(vanity address)'로 전송했습니다. 이러한 주소는 개인 키가 존재하지 않아 사실상 자금을 영원히 소각(burn)시키는 행위입니다. 이는 이란 정권의 제재 회피 및 테러 자금 조달 메커니즘 자체를 공격하고, 그 수단을 역으로 이용하여 정권을 조롱하고 모욕하려는 고도의 정치적, 상징적 공격이었습니다.
이러한 파괴적인 사이버 공격에 직면한 이란 정권의 대응은 6월 18일에서 19일에 걸쳐 국가 인터넷망을 거의 전면적으로 차단하는 것이었습니다. 이란 정보통신기술부는 "적이 국가 통신망을 군사적 목적으로 악용하는 것을 막기 위한 조치"라고 설명했지만, 이는 외부의 위협으로부터 자국 디지털 영토를 방어할 능력이 부족함을 자인하는 동시에, 9,000만 명의 자국민을 외부 세계로부터 고립시키는 극단적인 통제 수단이었습니다. 이 조치로 이란의 인터넷 트래픽은 평시 대비 97%까지 급감했습니다.
동시에 이란은 사이버 공간에서의 반격을 위해 전 세계에 흩어져 있는 동맹 세력을 총동원했습니다. 이스라엘의 공습 직후, 이란을 지지하는 핵티비스트 그룹들의 활동은 700% 이상 폭증했습니다. Radware와 같은 사이버 보안 업체들은 이 기간 동안 최소 70개에서 100개 이상의 친이란 성향 그룹들이 분쟁에 참여했다고 분석했습니다. 이들은 이스라엘의 정부 기관, 제조업, 통신, 언론, 금융 서비스 등을 대상으로 대규모 분산 서비스 거부(DDoS) 공격과 웹사이트 변조를 감행하며 디지털 전선에서 소모전을 펼쳤습니다.
특히 노비텍스 공격은 금전적 이득이 아닌 '가치의 상징적 파괴'를 목표로 했다는 점에서 주목할 만합니다. 이는 단순히 적의 자산을 빼앗는 것을 넘어, 적이 의존하는 시스템의 신뢰도 자체를 공격하고 국제 사회에 그 취약성을 폭로함으로써 국가의 정통성을 훼손하는 전략입니다. 이는 사이버 공격이 단순한 데이터 절도나 금전 갈취를 넘어, 국가 행위의 도구로서 한 단계 진화했음을 보여주는 사례입니다.
소모전 (6/19~21): 정보와 교란
이란의 사이버 부대는 이스라엘 전역에 설치된 수천 개의 민간 및 공공 보안 카메라를 해킹하는 데 성공했습니다. 이 카메라들은 대부분 보안 설정이 취약하거나 초기 비밀번호를 그대로 사용하는 사물인터넷(IoT) 기기들이었습니다. 이란은 해킹한 카메라들을 통해 자국의 미사일 공격이 이스라엘의 어느 지역에, 얼마나 정확히 명중했는지를 실시간으로 파악하는 '전장 피해 평가(Battle Damage Assessment, BDA)'를 수행했습니다. 이는 이스라엘 당국이 시행한 언론 보도 통제를 무력화하고, 다음 공격의 정확도를 높이기 위한 귀중한 정보를 획득하는 효과적인 수단이었습니다. 이 전술은 이스라엘 국가사이버국(INCD)이 자국민에게 "가정용 감시 카메라를 끄거나 비밀번호를 변경하라"고 긴급 경고를 발령하게 만들었습니다.
분쟁 후반기의 양상은 현대 국가가 직면한 가장 큰 정보 취약점이 기밀 군사 네트워크가 아닌, 집단적인 민간 디지털 발자국(digital footprint)일 수 있다는 점을 명확히 보여주었습니다. 이스라엘은 세계 최고 수준의 군사 및 사이버 방어 체계를 갖추고 있음에도 불구하고, 평범한 시민들이 사용하는 저렴하고 보안에 취약한 IoT 기기들이 적의 '눈'이 되는 것을 막지 못했습니다. 이는 적국이 목표물의 민간 부문을 활용하여 자체 정보 수집 능력을 강화할 수 있음을 의미합니다. 결과적으로, 국가 안보의 범위는 이제 군사 시설을 넘어 민간에서 사용되는 모든 상용 전자제품의 보안 표준을 관리하고, 국민 개개인의 기기가 국가 전체의 공격 표면(attack surface)의 일부라는 인식을 제고하는 수준까지 확장되어야 하는 과제를 안게 되었습니다.
이스라엘-이란 사이버전 핵심 위협 행위자 프로필
| 위협 행위자/그룹 | 추정 소속 | 핵심 전술, 기술, 절차 (TTPs) | 주요 활동 |
| 프레데터리 스패로우 (Gonjeshke Darande) | 이스라엘 국가 지원 (모사드/8200부대 추정) | 파괴적 와이퍼(Wiper) 악성코드(Meteor 등), 기반시설 물리적 파괴(Cyber-Physical), 공개적 책임 주장, 심리전 | 이란 세파 은행 데이터 파괴, 노비텍스 암호화폐 거래소 해킹 및 자산 '소각' |
| APT34 (OilRig) | 이란 IRGC | 정교한 스피어피싱, 제로데이 취약점 악용, 맞춤형 백도어, 정보 탈취, 공급망 공격 | 이스라엘 방산 업체 대상 스파이 활동 |
| APT35 (Charming Kitten) | 이란 IRGC | 스피어피싱, 소셜 엔지니어링, 맞춤형 악성코드(PowerStar 등), 자격증명 탈취 | 이스라엘 정부 웹사이트 대상 피싱 공격 |
| CyberAv3ngers | 이란 IRGC | 운영기술(OT)/산업제어시스템(ICS) 표적 공격, 와이퍼/랜섬웨어, 웹사이트 변조 | 이스라엘 수자원 및 기타 기반시설 공격 시도 |
| 친이란 핵티비스트 연합 (70+ 그룹) | 이념적 동조 (친이란/친팔레스타인) | 분산 서비스 거부(DDoS) 공격, 웹사이트 변조(Defacement), 데이터 유출, 허위정보 유포 | 이스라엘 정부, 금융, 언론, 통신 등 전방위적 DDoS 공격 |
이스라엘 사이버 공격 수법
이번 분쟁에서 이스라엘 측의 사이버 공격을 주도한 것은 '프레데터리 스패로우'라는 페르소나였습니다. 2021년 처음 등장한 이 그룹은 이란의 철도, 철강 공장, 주유소 등 핵심 기반시설을 대상으로 물리적 파괴를 동반하는 사이버 공격을 감행해 온 전력이 있습니다. 이들의 정교한 기술력, 전략적 목표 선정, 그리고 막대한 파급력을 고려할 때, 단순한 핵티비스트 그룹이 아닌 이스라엘의 모사드나 IDF 8200부대와 같은 국가 정보기관이 배후에 있는 것으로 강력하게 추정됩니다.
이들의 작전 방식은 과거 이란 핵시설을 공격했던 스턱스넷(Stuxnet)과 같은 은밀하고 부인 가능한(deniable) 작전과는 확연히 다릅니다. 프레데터리 스패로우는 공격 직후 X(구 트위터), 텔레그램 등 소셜 미디어를 통해 자신들의 소행임을 즉각적으로, 그리고 공개적으로 주장했습니다. 이는 기술적 교란을 넘어, 이란 정권의 무능함을 폭로하고 이란 국민과 국제 사회에 심리적 충격을 주려는 의도가 담긴 전략적 전환으로 분석됩니다.
이들이 사용하는 핵심 무기는 '메테오(Meteor)'로 알려진 와이퍼(Wiper) 악성코드입니다. SentinelOne, CrowdStrike 등 보안 업체들의 분석에 따르면, 메테오는 단순한 데이터 삭제를 넘어 시스템을 완전히 파괴하도록 설계된 고도로 정교한 무기입니다. 주요 기능은 다음과 같습니다.
- 모듈식 구조: 공격의 각 단계를 수행하는 와이퍼, 마스터 부트 레코드(MBR) 파괴 도구, 시스템 잠금 도구 등이 별도의 실행 파일로 구성되어 있으며, 배치(.bat) 파일에 의해 유기적으로 조율됩니다.
- 완전한 파괴 지향: 시스템 복구를 막기 위해 볼륨 섀도 복사본(Volume Shadow Copies)을 삭제하고, bcdedit 명령어를 사용해 부팅 설정을 파괴하며, 감염된 컴퓨터를 도메인에서 강제로 분리시켜 신속한 복구를 방해합니다.
- 전문적 개발: 코드 내에 광범위한 오류 검사 루틴과 중복적인 기능 수행 로직이 포함되어 있어, 일회성 공격이 아닌 여러 명의 전문 개발자가 참여한 성숙한 개발 프로세스를 거쳤음을 시사합니다.
이란의 사이버 공격 수법
이란의 사이버 공격은 이스라엘과 같은 단일 정예 그룹에 의한 방식이 아닌, 이원화된 구조로 수행되었습니다. 그 핵심에는 이슬람 혁명수비대(IRGC)와 연계된 APT(Advanced Persistent Threat) 그룹들이 있습니다. APT34(OilRig), APT35(Charming Kitten), CyberAv3ngers 등은 수년간 이스라엘과 미국 등을 상대로 스파이 활동, 정보 탈취, 핵심 기반시설 침투 등을 수행해 온 정규 사이버 부대입니다. 이들은 주로 정교한 스피어피싱, 제로데이 취약점 공격, 맞춤형 악성코드 등을 활용하여 은밀하고 지속적인 작전을 펼칩니다.
이번 분쟁에서 이란의 전략이 두드러진 점은 이들 정예 부대와 함께, 전 세계적인 핵티비스트 연합을 '전력 증강기(force multiplier)'로 활용했다는 것입니다. 이스라엘의 공습 이후, 친이란/친팔레스타인 성향을 가진 70개 이상의 핵티비스트 그룹들이 자발적으로 참전을 선언했습니다. Anonymous Sudan, Mysterious Team Bangladesh와 같은 그룹들은 이란의 직접적인 지휘 없이도 이념적 동기에 따라 이스라엘을 향한 대규모 DDoS 공격과 웹사이트 변조를 감행했습니다.
이러한 하이브리드 모델은 이란에게 여러 전략적 이점을 제공합니다. IRGC 산하의 APT 그룹들이 고도의 기술력이 필요한 핵심 목표물에 대한 침투와 정보 수집을 담당하는 동안, 핵티비스트 '벌떼(swarm)'는 대량의 저강도 공격으로 이스라엘의 방어 자원을 소모시키고 사회적 혼란을 가중시키는 역할을 합니다. 이는 이란이 자국의 유기적인 사이버 역량을 훨씬 뛰어넘는 규모로 디지털 영향력을 투사할 수 있게 만들며, 동시에 핵티비스트들의 자발적 행동이라는 명분 뒤에 숨어 공격의 책임을 회피할 수 있는 '부인 가능성(plausibility of denial)'을 확보하게 해줍니다.
이러한 '사이버 대리인(Cyber-Proxy)' 모델의 성숙은 현대 비대칭 전쟁의 중요한 특징을 보여줍니다. 국가가 직접적인 명령 없이도 이념적으로 동조하는 비국가 행위자들을 동원하여 외교 정책 목표를 달성하는 이 방식은, 공격의 배후를 정확히 지목하고 비례적 대응을 어렵게 만들어 국제 안보에 새로운 도전 과제를 제기합니다.
이스라엘-이란 사이버 피해 비교 평가
| 구분 | 이스라엘에 대한 영향 | 이란에 대한 영향 |
| 경제적 피해 | - 텔아비브 증권거래소(TASE) 일시 폐쇄 - 베르셰바 IT 단지 피격 |
- 세파 은행 시스템 마비, 금융 대란 - 노비텍스 거래소 해킹 (9,000만 달러 이상 자산 소각) - 국가적 인터넷 차단으로 인한 디지털 경제 마비 |
| 사회/심리적 영향 | - 허위 경보 문자로 인한 사회적 혼란 및 공포 - 방공망 돌파로 인한 안보 신화 균열 |
- 최고 지도부 암살로 인한 정권의 취약성 노출 - 인터넷 전면 차단으로 인한 국민 고립 및 불만 |
결론 및 전쟁의 양상
2025년 6월 이스라엘-이란 분쟁은 21세기 지정학적 갈등의 미래를 조망할 수 있는 중요한 전략적 함의를 담고 있습니다.
사이버 공간은 더 이상 물리적 전쟁의 보조적인 영역이 아니며, 전쟁의 승패를 좌우하는 독립적이면서도 완전히 통합된 전장으로 자리매김했습니다.
새로운 선례: 하이브리드 전쟁의 초융합(Hyper-Integration)
이번 분쟁은 우크라이나 전쟁 등에서 관찰된 기존의 하이브리드 전쟁 모델을 한 단계 뛰어넘는 '초융합' 모델의 등장을 알렸습니다. 이는 단순히 사이버 작전과 물리적 작전이 병렬적으로 수행되는 것을 넘어, 하나의 작전 목표를 달성하기 위해 두 영역이 실시간으로 상호 작용하고 서로를 가능하게 하는 단계에 이르렀음을 의미합니다.
이스라엘이 이란 방공망을 무력화하기 위해 사전 배치한 사이버-물리 자산을 활용한 것이나, 이란이 해킹한 민간 카메라 영상을 미사일 타격의 정확도를 높이는 데 실시간으로 활용한 사례는 이러한 초융합의 대표적인 예입니다.
향후 분쟁에서 이러한 경향은 더욱 심화될 것이며, 물리적 공격과 사이버 공격을 분리하여 대응하는 전통적인 방식은 더 이상 유효하지 않을 것입니다.
흐려지는 경계선: 국가 페르소나와 핵티비스트 군단
이번 분쟁은 국가가 직접적인 책임을 회피하면서도 강력한 사이버 공격을 감행하기 위해 사용하는 전략적 모호성의 심화를 보여주었습니다. 이스라엘은 '프레데터리 스패로우'라는 공식적이지만 부인 가능한 페르소나를 통해 파괴적인 공격을 수행했습니다.
이란은 자국의 정규 사이버 부대와 함께, 이념적으로 동조하는 전 세계의 비국가 행위자들, 즉 핵티비스트 군단을 동원했습니다. 이러한 방식은 공격의 배후를 명확히 규명하고 국제법에 따른 책임을 묻는 것을 극도로 어렵게 만듭니다.
유엔(UN)과 같은 국제기구는 민간 기반시설에 대한 공격을 규탄했지만 , 이처럼 복잡하게 얽힌 행위자들에게 전통적인 전쟁법을 적용하는 데 한계를 보였습니다. 이는 국제 사회가 사이버 공간에서의 책임 있는 국가 행동 규범을 시급히 정립해야 할 필요성을 제기합니다.