국가 배후 해커, 핵심 인프라 공격 75% 차지... 英 NCSC 경고

핵심 요약

- 영국 NCSC(국가사이버보안센터) 책임자가 핵심 인프라 공격의 75%가 국가 배후 해커 소행이라고 2026년 공식 경고 - 에너지, 통신, 금융 등 주요 인프라를 겨냥한 고도화된 APT(지능형지속위협) 공격 급증 추세 - 국내 기업도 ISMS-P 인증 시 국가 수준 위협에 대비한 보안 통제 체계 구축 필수

주요 내용

영국 국가사이버보안센터(NCSC) 리처드 호른(Richard Horne) 책임자는 2026년 6월 최신 보고서를 통해 핵심 인프라를 겨냥한 사이버 공격의 75%가 국가 배후 해커 조직에 의해 자행되고 있다고 경고했다. NCSC는 영국 정보기관 GCHQ 산하 조직으로, 이번 발표는 국가 차원의 사이버 위협이 심각한 수준에 이르렀음을 공식 인정한 것이다.

호른 책임자는 "전력망, 통신망, 상수도 시설 등 국가 핵심 인프라에 대한 공격이 과거 범죄 조직 중심에서 국가 지원을 받는 고도화된 해킹 그룹으로 주체가 변화했다"며 "이들은 단순 금전 탈취가 아닌 국가 기능 마비를 목표로 한다"고 강조했다. 특히 러시아, 중국, 북한, 이란 등으로 추정되는 국가 배후 그룹들이 장기간에 걸쳐 인프라 시스템에 침투해 있을 가능성이 제기됐다.

영국 정부는 이에 따라 핵심 인프라 운영 기업들에 대한 사이버 보안 규제를 2026년 하반기부터 대폭 강화할 계획이다. 기존 NIS(Network and Information Systems) 규정을 개정해 최고경영자(CEO)의 직접적인 보안 책임을 명시하고, 24시간 이내 침해사고 보고를 의무화하는 방안이 추진 중이다. 또한 공급망 보안 검증 강화와 제로 트러스트 아키텍처 도입도 권고사항에서 의무사항으로 전환될 예정이다.

국내에서도 2026년 들어 전력, 통신, 금융 분야에서 국가 배후로 추정되는 APT 공격 시도가 다수 탐지되고 있다. 개인정보보호위원회와 과학기술정보통신부는 핵심 인프라 사업자에 대한 ISMS-P 인증 심사 시 국가 수준 위협 대응 역량을 중점 점검하고 있으며, 특히 산업제어시스템(ICS/SCADA) 보안과 공급망 보안 통제를 강화하고 있다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 국가 배후 해커의 위협은 기존 일반적인 사이버 공격과 질적으로 다른 차원의 대응을 요구한다. 국가 지원을 받는 해킹 그룹은 제로데이 취약점, 고도화된 멀웨어, 장기간 잠복 전술을 구사하며, 일반 기업의 보안 통제로는 탐지조차 어려운 경우가 많다. 따라서 핵심 인프라 운영 기업은 ISMS-P 인증 취득 시 단순 체크리스트 충족을 넘어, 위협 인텔리전스 기반의 능동적 방어 체계와 EDR(Endpoint Detection and Response), NDR(Network Detection and Response) 등 고급 탐지 솔루션 도입이 필수적이다.

특히 주목해야 할 점은 공급망을 통한 우회 침투 전략이다. 직접 공격이 어려운 대형 인프라 기업 대신, 보안이 취약한 협력업체나 소프트웨어 공급사를 먼저 장악한 후 신뢰관계를 악용해 최종 목표로 침투하는 방식이 2025-2026년 주요 공격 패턴으로 확인되고 있다. 따라서 ISMS-P 심사 시 자체 보안뿐 아니라 3자(third-party) 보안 검증 프로세스, 공급망 리스크 관리 체계, 특권 계정 관리 등을 엄격하게 평가해야 한다. 경영진은 사이버 보안을 IT 부서만의 문제가 아닌 국가안보 및 기업 생존과 직결된 경영 핵심 과제로 인식하고, 충분한 예산과 인력을 배정해야 한다.

ISMS-P 심사원 체크포인트

1. 2.8.1 침해사고 예방 및 대응 체계 (인증기준) - 국가 배후 APT 공격에 대응할 수 있는 위협 인텔리전스 체계 구축 여부 점검 - 일반적인 시그니처 기반 탐지를 넘어 행위 기반 이상징후 탐지(Behavioral Analytics) 도입 확인 - 핵심 인프라 특성상 24/7 보안관제(SOC) 운영 및 전문 인력 배치 여부 심사 - 관련 법령: 정보통신망법 제45조(정보보호 최고책임자 지정 등), 제47조(침해사고 대응 및 복구)

2. 2.10.2 정보시스템 도입 및 개발 보안 (공급망 보안) - 외부 개발업체, 클라우드 서비스 제공자 등 공급망 보안 검증 프로세스 확인 - 소프트웨어 구성요소 분석(SBOM, Software Bill of Materials) 관리 체계 점검 - 공급업체 보안 평가 기준 및 계약서 내 보안 의무사항 명시 여부 확인 - 관련 법령: 개인정보보호법 제26조(업무위탁에 따른 개인정보 처리 제한)

3. 2.5.3 원격접근 통제 (제로 트러스트) - VPN 등 원격접근 시 다중인증(MFA) 필수 적용 및 접근 로그 모니터링 체계 - 특권 계정(Privileged Account) 관리 및 PAM(Privileged Access Management) 솔루션 도입 여부 - 네트워크 세분화(Segmentation) 및 최소권한 원칙 적용으로 측면 이동(Lateral Movement) 차단 확인 - 관련 법령: 개인정보보호법 제29조(안전조치의무), 시행령 제30조 제1항 제3호(접근통제)

위반 조항

본 사안은 직접적인 법 위반 사례가 아닌 보안 위협 경고이지만, 핵심 인프라 사업자가 적절한 보안 조치를 취하지 않아 침해사고 발생 시 다음 조항 위반 가능성이 있다.

개인정보보호법 제29조(안전조치의무) - 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 안전성 확보에 필요한 기술적·관리적·물리적 조치를 해야 함 - 국가 배후 해커의 공격을 예견할 수 있음에도 적절한 보안 통제를 구축하지 않은 경우 안전조치의무 위반으로 간주 가능 - 위반 시 과징금(매출액의 3% 이하 또는 5억원 이하), 과태료(5천만원 이하) 부과 가능

정보통신망법 제45조의3(정보보호 사전점검 등) - 대통령령으로 정하는 정보통신서비스 제공자는 정보보호 관리체계 인증을 받아야 함 - 핵심 인프라 사업자는 ISMS-P 의무 인증 대상으로, 인증 미취득 또는 부실 운영 시 과태료(3천만원 이하) 부과

정보통신기반 보호법 제9조(취약점 분석·평가) - 주요정보통신기반시설 관리기관은 매년 취약점 분석·평가를 실시하고 과학기술정보통신부장관에게 제출해야 함 - 국가 수준 위협에 대한 취약점을 방치한 경우 해당 조항 위반 가능

CPPG·ISMS-P 연계 포인트

1. APT(Advanced Persistent Threat, 지능형지속위협) 개념 - 특정 목표를 대상으로 장기간에 걸쳐 지속적이고 은밀하게 수행되는 고도화된 사이버 공격 - 국가 배후 또는 조직적 해킹 그룹이 주체이며, 다단계 침투(Kill Chain), 제로데이 취약점 활용, 멀웨어 변종 등이 특징 - ISMS-P 인증 시 APT 대응 체계(위협 인텔리전스, EDR/NDR, 침해지표 IOC 관리 등) 필수 확인 항목

2. 공급망 보안(Supply Chain Security) - 직접 공격이 아닌 신뢰관계에 있는 협력업체, 소프트웨어 공급자를 통한 우회 침투 방어 체계 - SBOM 관리, 공급업체 보안 평가, 계약서 내 보안 의무 명시, 접근권한 최소화 등이 핵심 통제 - 개인정보보호법 제26조(위탁 관리·감독), ISMS-P 인증기준 2.10.2(도입 및 개발 보안) 관련 필수 이해 영역