CTI
에픽 퓨리 작전으로 살펴보는 현대 사이버전의 양상 1부
이승용
Apr 14, 2026

감사의 말씀

본 글을 작성하는 데 많은 도움을 주신 스틸리언 컨설팅사업본부 레드팀의 홍재민님, 정다윗님, 김채원님, 마케팅팀의 김유민님, 김광연님께 진심으로 감사드립니다.

개요

최근 미국과 이스라엘이 이란을 상대로 핵 개발 재추진을 저지하기 위해 공동공세를 전개하고 있다. 이 사건은 중동 정세를 넘어 국제 안보 전반에 영향을 미치는 중대한 사안으로, 국제사회에도 적지 않은 파장을 일으키고 있다.

본 글은 두 편으로 나누어 작성되었다. 1부에서 “에픽 퓨리 작전(Operation Epic Fury)”을 중심으로, 물리적 타격과 사이버 활동이 어떻게 결합되었는지 분석한다. 특히 이 작전이 보여준 핵심 변화, 즉 사이버 작전이 단순한 보조 수단을 넘어 전장의 조건을 형성하는 요소로 작동하기 시작했다는 점에 주목한다.

또한 사이버 공격이 심리적 압박과 작전상 우위 확보에 어떻게 활용되는지, 그리고 이 변화가 핵티비스트 활동에 어떻게 반영되는지를 함께 살펴본다.

이어서 2부에서는 2006년 조지 W. 부시 행정부 시기 미국과 이스라엘이 이란 핵 억제를 목적으로 나탄즈 핵시설을 겨냥해 수행한 “올림픽 게임 작전(Operation Olympic Games)”을 검토한다. 이를 통해 양국이 사이버 공격을 활용해 이란을 어떻게 압박하고 교란해 왔는지를 비교·분석한다.

에픽 퓨리(Epic Fury)는 미국에서 사용한 작전명이며, 이스라엘에서는 ‘포효하는 사자(Roaring Lion)’로 불렸다. 본 글에서는 편의상 “에픽 퓨리”로 명칭을 통일한다. 이는 특정 국가의 입장을 지지하기 위한 것이 아니라 서술의 일관성을 위한 것임을 밝혀둔다.

목차

미국과 이스라엘의 이란 공동공세 배경

“사이버 공격은 단독으로 전쟁의 승패를 결정짓는 무기가 되는 경우는 드물다. 대신 정보 환경을 형성하고 지상 작전을 지원하는 전력 증폭 요소로 기능한다.”

– 전 이스라엘 군사 사이버 방어 전문가이자 사이버 보안 플랫폼 레메디오 창립자, 탈 콜렌더 –

사이버 정보전과 정밀 타격

2026년 2월 28일, 중동 내 긴장은 결국 전쟁 발발로 이어졌다. 당일 새벽, 미국과 이스라엘은 이란에 대한 공습을 개시했다. 수십 년 동안 이어져 온 갈등이 공개적인 군사 충돌로 넘어간 순간이었다. 그러나 그날의 전쟁은 단지 전투기와 미사일로만 시작된 것이 아니었다. 같은 시간, 보이지 않는 또 하나의 전장이 이미 몇 년 전부터 준비되고 있었다.

공습이 시작된 지 얼마 지나지 않아, 이란의 최고지도자 아야톨라 알리 하메네이가 암살되었다는 소식이 전해졌다. 이 사건은 단순한 기습 공격의 결과가 아니었다. 수년에 걸쳐 축적된 정보와 정밀 분석, 그리고 사이버 공간에서 진행된 은밀한 감시 작전의 산물이었다.

파이낸셜 타임스의 보도에 따르면, 이스라엘은 이미 수년 전부터 테헤란의 교통 카메라 네트워크에 침투해 영상 데이터를 수집하는 대규모 사이버 작전을 수행하고 있었다. 도시 곳곳에 설치된 교통 카메라는 본래 차량 흐름을 관리하기 위한 장비였지만, 누군가 그 시스템을 장악하는 순간 그것은 도시 전체를 감시하는 거대한 센서 네트워크로 변할 수 있었다.

이 작전에는 이스라엘 정보기관 모사드와 이스라엘 군 정보부 산하의 8200부대가 관여한 것으로 알려졌다. 이들은 수년 동안 테헤란의 거리에서 생성되는 방대한 데이터를 수집했다. 차량 이동 기록, 영상 프레임, 시간대별 교통 흐름과 같은 데이터가 축적되었고, 그 규모는 수십억 건에 달하는 것으로 전해진다. 수집된 영상 데이터는 CIA가 확보한 휴민트(HUMINT) 정보와 교차 분석되었고, 이를 통해 이란 지도부의 pattern-of-life, 즉 일상 패턴 분석이 이루어졌다. 분석가들은 하메네이와 이란 고위 관리들의 이동 경로와 경호 방식, 방문 장소와 일정의 반복 패턴까지 추적했다. 그 결과 특정 인물이 언제 어디에 있을 가능성이 가장 높은지 예측할 수 있게 되었고, 그 정보는 결국 정밀 타격의 좌표가 되었다.

이 사례는 현대전에서 사이버 작전이 어떤 역할을 하는지를 단적으로 보여준다. 사이버 공격은 더 이상 단순히 정보를 훔치는 행위에 머무르지 않는다. 실제 세계의 군사 작전을 가능하게 하고, 때로는 작전에 영향을 미치는 요소가 된다. 과거의 전쟁에서 정찰기가 수행하던 역할을 이제는 네트워크 침투와 데이터 분석이 대신하고 있는 셈이다.

즉, 오늘날의 정밀 타격은 단순히 무기의 정확도에 의해 좌우되지 않는다. 실제로 무기가 어디를 향해야 하는지는 사이버 공간에서 수집된 정보의 정확성에 큰 영향을 받는다.

Pattern-of-Life 분석 흐름도
이스라엘이 어떻게 pattern-of-life 분석을 수행했는지 나타낸 다이어그램

사이버 공격이 초래하는 물리적 피해

사이버 공격이 현실 세계의 장비와 인프라에 직접적인 영향을 미칠 수 있다는 사실은 오래전부터 여러 사례를 통해 확인되어 왔다. 대표적인 예로 2007년 3월 4일 미국 아이다호 국립연구소(INL)에서 수행한 실험이 있다. 연구진은 발전소 제어 시스템이 외부에서 조작될 경우 실제 장비가 어떤 영향을 받는지 확인하기 위해 이른바 오로라 발전기 실험(Aurora Generator Test)을 진행했다. 이 실험에서 발전기의 차단기를 전력망과 다른 위상으로 반복 개폐하여 시스템에 반복적으로 기계적 스트레스를 유발시켜 시스템을 불안정한 상태로 만들었고, 결국 장비의 물리적 구성 요소가 손상될 수 있음을 확인했다. 이 실험은 사이버 공격이 단순한 데이터 훼손을 넘어 산업 설비 자체에 영향을 줄 수 있음을 보여준 초기 사례로 평가된다.

이후 사회 전반이 디지털 기술에 의존하게 되면서 이 위험은 더욱 확대되었다. 전력망, 교통 시스템, 금융 인프라, 통신망과 같은 핵심 기반 시설은 대부분 네트워크로 연결되어 있으며, 이런 연결성은 효율성을 높이는 동시에 새로운 공격 표면을 형성한다. 따라서 사이버 취약점은 단순한 정보 보안 문제를 넘어 실제 사회 시스템의 안정성과도 직접적으로 연결되는 문제로 인식되고 있다.

같은 양상은 국가 간 갈등에서도 나타난다. 미국과 이스라엘은 과거 이란의 핵 프로그램을 겨냥한 비밀 사이버 작전인 올림픽 게임 작전(Operation Olympic Games)을 수행한 것으로 널리 알려져 있다. 이 작전에서 사용된 스턱스넷은 이란 나탄즈 핵시설의 산업 제어 시스템을 감염시켜 우라늄 농축용 원심분리기의 회전 속도를 비정상적으로 조작하도록 설계되었다. 이 과정에서 장비는 정상적으로 작동하는 것처럼 보이면서도 내부적으로는 기계적 스트레스를 받게 되었고, 결국 일부 설비가 물리적으로 손상된 것으로 알려졌다.

전통적인 군사 작전에서는 적에게 피해를 주기 위해 병력이나 무기를 직접 투입해야 했다. 하지만 이는 비용과 시간, 그리고 인명 피해의 위험을 수반한다. 반면 사이버 공격은 네트워크를 통해 핵심 인프라에 접근할 수 있기 때문에 상대적으로 낮은 비용과 높은 은밀성을 유지하면서도 전략적 효과를 낼 수 있는 수단으로 활용될 수 있다.

실제로 2015년 12월 23일 발생한 우크라이나 전력망 해킹 사건은 앞서 설명한 특성을 보여주는 사례다. 공격자들은 전력 회사의 제어 시스템에 침투해 변전소의 차단기를 원격으로 조작했고, 그 결과 약 23만 명의 주민이 한겨울에 전력 공급이 중단되는 상황을 겪었다. 이후 조사에서는 러시아와 연계된 해킹 조직 샌드웜이 공격에 관여한 것으로 알려졌고 이 사건은 사이버 공격이 국가의 핵심 인프라를 마비시킬 경우, 일상 생활 전반에 큰 영향을 미칠 수 있음을 보여주는 사례로 평가된다.

이처럼 사이버 공격은 정보 시스템에 영향을 주는 수준을 넘어, 물리적 장비와 사회 인프라에 직접적인 영향을 미칠 수 있는 수단으로 발전해 왔다. 또한 서로 다른 형태의 정보가 결합될 경우, 특정 대상의 이동 경로나 활동 패턴을 매우 정밀하게 파악할 수 있으며, 이 정보는 군사 작전의 정확도를 높이는 데 활용될 수 있다. 현대전에서 정보 우위는 정보 수집을 넘어 작전 수행에 직접적인 영향을 미치는 요소로 작용한다.

이스라엘과 이란의 갈등 배경과 그림자 전쟁

오랫동안 미국과 이스라엘은 이란의 핵 프로그램을 중동 안보에 대한 중대한 위협으로 인식해 왔다. 두 국가는 이란이 핵무기 개발에 가까워지고 있다고 판단하고 외교적 제재와 군사적 압박을 지속해왔다. 이란은 이 압박을 외부 세력의 위협으로 규정하고, 정권과 국가 안보를 보장하기 위한 억제력을 확보해야 한다는 논리를 내세워 핵 프로그램을 계속 추진해 왔다. 이 입장 차이는 수십 년 동안 지속된 갈등의 핵심 배경이 되어 왔다.

긴장 상태는 오랜 기간 유지되어 왔지만, 2024년에는 양국 사이의 충돌이 매우 직접적인 형태로 나타나기 시작했다. 같은 해 4월, 이스라엘은 시리아 다마스쿠스에 위치한 이란 영사관 건물을 공습했다. 이 공격으로 이란의 혁명수비대(IRGC) 쿠드스군의 고위 지휘관 모하마드 레자 자헤디를 포함해 최소 7명이 사망했다. 이란은 이를 자국 외교 시설에 대한 공격으로 규정하며 강하게 반발했다.

그해 7월에는 하마스 정치지도자 이스마일 하니예가 테헤란에서 암살되는 사건이 발생했다. 하마스와 이란은 이스라엘을 배후로 지목했지만, 당시 이스라엘은 공식적으로 관련성을 인정하지 않았다. 그러나 이후 2024년 12월, 이스라엘 국방장관 이스라엘 카츠가 하니예가 암살에 대한 이스라엘의 책임을 처음으로 공개적으로 인정하면서 사건의 배후가 확인되었다.

또 같은 해 10월에는 갈등이 더욱 노골적인 군사 충돌로 이어졌다. 이란은 이스라엘을 향해 탄도 미사일을 발사하며 직접 공격을 감행했고, 이스라엘은 이에 대한 보복으로 이란의 군사 시설을 타격했다. 일련의 사건들은 양국 간 갈등이 기존의 대리전(Proxy War) 수준을 넘어 직접 충돌로 확장되고 있음을 보여주었다.

그러나 공개적인 충돌들은 갈등의 일부에 불과했다. 이스라엘과 이란은 오랫동안 서로를 상대로 암살 작전, 사이버 공격, 정보전, 그리고 중동 지역의 대리 세력 지원을 통해 경쟁해 왔다. 이 활동은 대부분 공식적으로 인정되지 않거나 제한적으로만 공개되었기 때문에 흔히 그림자 전쟁(Shadow War)으로 불린다.

이 그림자 전쟁이 수년 동안 반복적으로 발생하면서 긴장을 축적해왔고 결국 2024년 이후 양국 간 직접적인 군사 충돌이 반복되면서 전면전의 문턱은 점점 낮아졌다. 그 결과 2026년 2월 28일 미국과 이스라엘이 이란을 상대로 공동 공세에 나서면서 갈등은 국제적인 무력 대결로 확장되었다.

에픽 퓨리 작전: 물리와 사이버가 결합된 복합 전장

“사이버 전쟁 시나리오에서 전기나 수도 정화 시설이 파괴되어 복구하는 데 몇 주가 걸린다면 많은 사람들이 죽을 것이다.”

– 『퍼펙트 웨폰』, 데이비드 E. 생어 –

보이지 않는 영역으로 전장 확장

앞서 두 국가와 이란 사이의 긴장이 어떻게 전면적 충돌로 비화했는지, 그리고 오늘날 전쟁에서 사이버 정보전이 어떤 역할을 하고 있는지 살펴보았다. 이제 전장 한복판에서의 관점으로 설명한다. 에픽 퓨리 작전은 단지 미사일과 항공기, 특수작전 병력으로 구성된 전통적인 군사작전으로만 설명하기 어렵다. 이 작전은 물리적 타격과 함께 통신망과 정보 시스템이 동시에 영향을 받는 형태로 전개되었다.

에픽 퓨리는 미국과 이스라엘이 협력하여 수행한 복합 군사작전으로 평가된다. 이 작전의 목적은 특정 표적이나 군사 시설을 타격하는 데에만 국한되지 않았고 이란 정권의 핵심 지도부와 군 지휘 체계를 흔들고, 핵 개발 프로그램과 군사 인프라를 압박하는 동시에 정보 환경과 내부의 정치적 안정성에도 영향을 미치는 것을 목표로 한 것으로 평가된다. 이 점에서 에픽 퓨리는 전장의 목표가 더 이상 물리적 공간에만 머무르지 않고 물리적 공간을 넘어 정보 환경 역시 작전의 영향이 미치는 영역에 포함되었다.

물리와 사이버의 경계가 무너진 전장

에픽 퓨리는 현대전의 양상이 어떻게 변화하고 있는지를 잘 드러낸다. 과거에는 사이버 작전이 정찰이나 제한적인 교란, 또는 보조적인 지원 수단으로 활용되는 경우가 많았다. 정보 수집이나 통신 교란과 같은 활동이 주를 이루었고, 물리적 공격과는 분리된 단계에서 수행되는 것이 일반적이었다.

그러나 이 작전에서는 기존의 구분이 명확하게 유지되지 않았다. 사이버 작전은 더 이상 후방에서 독립적으로 작동하는 지원 수단이 아니라, 물리적 공격과 동일한 시간선 위에서 함께 작동하는 작전 요소로 결합되었다. 공습이 물리적 표적을 타격하는 동안, 사이버 작전 역시 통신망과 정보 시스템에 영향을 주면서 동시에 수행되었다. 이는 사이버 활동이 별도의 단계가 아니라, 작전 수행 과정에 포함된 핵심 요소로 기능했음을 보여준다.

이 변화는 전장의 개념 자체에도 영향을 미친다. 전통적으로 전장은 영토와 공역과 같은 물리적 공간을 중심으로 정의되었지만, 에픽 퓨리에서는 통신망과 데이터, 그리고 이를 통해 형성되는 정보 환경 역시 작전의 영향을 받는 영역으로 포함되었다. 즉, 현대 전장은 더 이상 물리적 공간에만 머물지 않는다.

다만 이는 사이버 전력이 물리적 전력을 대체했다는 의미는 아니다. 공습과 미사일 공격은 여전히 핵심적인 군사 수단이며, 사이버 작전은 물리적 공격과 결합되어 작전의 정밀도와 효과를 강화하는 방식으로 작동한다. 이는 두 전력이 분리된 것이 아니라 하나의 작전 체계로 통합되고 있음을 보여준다.

정보가 좌우하는 정밀 타격

정보 수집은 이 작전의 중요한 출발점으로 작용한 것으로 확인된다. 파이낸셜 타임스에 따르면, 이스라엘은 수년 전부터 테헤란의 교통 카메라망을 해킹하고 모바일 네트워크에 침투해 하메네이와 이란 고위층의 이동을 추적해 온 것으로 보도되었다. 이 과정에는 모사드와 이스라엘의 8200부대(Unit 8200)가 관여했으며, 수집된 데이터는 CIA의 휴민트(HUMINT) 정보와 결합되어 이른바 pattern-of-life 분석에 활용된 것으로 전해진다.

이 점에서 사이버 작전은 단순한 정보 수집에 그치지 않았다. 영상 데이터와 통신 기록, 그리고 인간 정보가 결합되면서 특정 인물의 위치뿐 아니라 이동 경로와 활동 패턴을 매우 체계적으로 파악할 수 있게 되었다. 이 분석은 특정 시점에 표적이 있을 가능성이 높은 위치를 예측하는 데 활용되었고 정밀 타격의 정확도를 높이는 데 기여한 것으로 분석된다.

인식 영역까지 확장된 전장

공습이 시작된 직후, 이란에서 널리 사용되는 예배 시간을 관리해주는 달력 앱인 BadeSaba가 해킹되어 사용자들에게 반정부 성격의 메시지가 전송된 것으로 Reuters와 WSJ로부터 보도되었다. 이어 약 1시간 후에는 이란 국영 통신사 IRNA 웹사이트가 변조되고, ISNA에서는 접속 장애가 발생했다.

Pattern-of-Life 분석 흐름도
공습 직후 BadeSaba 애플리케이션에서 확인된 메시지 화면
[ https://x.com/YossiBenYakar/status/2027646779718545651/photo/1 ]

해당 공격은 발전소나 군사 시설을 직접 타격하는 방식은 아니었지만, 전쟁 개시 시점에 맞춰 정보 환경에 개입하고 이를 교란하려는 의도로 이루어진 것으로 볼 수 있다. 물리적 공격이 눈에 보이는 표적을 대상으로 이루어진다면 사이버 활동은 정보의 흐름과 대중이 접하는 메시지를 통제하는 방식으로 작동한다.

이와 같은 흐름은 정보 수집 기반의 정밀 타격과도 맞물려 있다. 사이버 작전은 표적의 위치와 행동 패턴을 매우 정밀하게 파악하게 만들었을 뿐 아니라, 동시에 정보 환경에도 영향을 미쳤다. 이는 사이버 활동이 물리적 공격과 분리된 요소가 아니라, 서로 다른 방식으로 작전에 기여하고 있음을 드러낸다.

에픽 퓨리 작전은 물리적 공격과 정보 환경 개입이 동시에 이루어지는 복합 전장의 양상을 보여준다. 사이버 작전은 독립된 영역으로 존재하면서도 물리적 군사력과 결합되어 작전의 초기 조건과 효과 형성에 영향을 미치는 요소로 작동한다.

사이버 공격의 활용과 심리적 압박 효과

“전통적인 해킹은 시스템의 취약점을 찾아 침투하는 방식이었다. 하지만 모든 것이 연결된 환경에서는 예상하지 못한 지점에서 공격이 발생할 수 있다.”

– 『샌드웜』, 앤디 그린버그 –

행동을 겨냥한 사이버 공격의 진화

사이버 공격의 대상은 기술적 시스템을 넘어 인간의 인식으로 확장되고 있다. 과거에는 시스템 마비나 데이터 파괴가 주요 목적이었다면, 최근 공격은 사용자의 판단과 행동에 직접적인 영향을 미치는 방향으로 변화하고 있다.

BadeSaba 사례는 이런 변화를 잘 드러낸다. 공격자는 시스템을 파괴하지 않고 정상적인 기능을 유지한 채 전달되는 메시지만을 조작했다. 그 결과 사용자는 공격을 인지하지 못한 상태에서 정보를 수용하게 되었고, 이는 서비스에 대한 신뢰를 유지한 채 판단에 개입할 수 있음을 드러낸다.

이는 사이버 심리전(PSYOP)의 전형적인 형태다. 디지털 플랫폼을 통해 전달되는 정보는 빠르게 공유되며 사용자 인식에 직접 작용한다. 이 과정에서 공격은 단순한 정보 교란을 넘어 정보 공유나 대응 지연과 같은 행동을 유도하는 수준으로 확장된다.

결국 사이버 공격은 더 이상 시스템을 마비시키는 데 그치지 않고 무엇을 믿고 어떻게 행동할지를 바꾸는 방향으로 진화하며, 인간의 인식과 행동 자체를 주요 공격 대상으로 삼고 있다.

디지털 플랫폼을 통한 심리전

디지털 플랫폼을 활용한 심리전은 과거에도 반복적으로 나타났다. 2016년 러시아의 미국 대선 개입에서는 소셜 미디어를 통해 허위 정보와 선전 메시지가 확산되며 여론 형성에 영향을 미쳤고, 2022년 우크라이나 침공 초기에는 정부 웹사이트 변조를 통해 공포와 혼란을 유도하려는 시도가 있었다.

Pattern-of-Life 분석 흐름도
2022년 1월 14일 금요일 약 70개 이상의 정부 웹사이트에 표시된 메시지
[ https://www.bbc.com/news/world-europe-59992531 ]

해당 공격은 사용자에게 명확하게 인지되는 형태로 이루어지며, 공포와 충격을 직접적으로 드러내는 방식이었다.

그러나 BadeSaba 사례처럼 시스템을 정상적으로 유지한 채 메시지만을 조작하는 방식은, 사용자가 공격을 인지하지 못한 상태에서 정보를 받아들이게 만든다.

이 차이는 심리전의 효과를 근본적으로 바꾼다. 공포를 직접 드러내는 방식은 사용자의 경계심을 즉각적으로 자극하지만, 시스템이 정상적으로 보이는 상태에서 전달되는 메시지는 의심을 지연시키고 정보의 신뢰도를 상대적으로 높인다.

특히 이 방식은 기존 인식과 크게 충돌하지 않는 형태로 메시지를 구성할 경우 더욱 효과적으로 작동한다. 노골적인 선동보다 맥락에 자연스럽게 스며드는 정보는 사용자로 하여금 이를 검증하기보다 그대로 수용하도록 만들며, 확산되는 속도와 영향력을 동시에 확대시킨다.

디지털 플랫폼을 통한 심리전은 단순한 정보 전달을 넘어, 사용자의 판단 기준과 정보 수용 방식을 변화시키는 방향으로 작동한다.

정보 신뢰 붕괴와 사회적 불안의 확산

정보에 대한 신뢰가 흔들리면 개인은 무엇이 사실인지 판단하기 어려워지고, 상황에 대한 불확실성은 증가한다. 이는 단순한 혼란을 넘어 의사결정을 지연시키거나 왜곡된 판단을 유도하는 요인으로 작용한다.

특히 위기 상황에서는 그 효과가 더욱 확대된다. 신뢰하던 서비스에서 전달되는 정보가 왜곡될 경우, 정보 자체에 대한 신뢰가 붕괴되면서 공포와 혼란이 발생하고 통제감의 상실을 유발한다. 사용자는 자신이 처한 상황을 이해하고 대응할 수 있다는 감각을 잃게 되며, 이는 심리적 압박과 불안을 증폭시키는 방향으로 이어진다.

이와 같은 현상은 디지털 환경에서의 정보 소비 방식과 결합되며 더욱 강화된다. 자극적인 정보가 단기간에 널리 공유되고, 사용자는 이를 반복적으로 접하면서 검증보다 반응과 공유를 우선하는 경향이 있다. 이 과정에서 정보는 사실 여부와 관계없이 빠르게 퍼지며, 집단적인 인식이 형성된다.

사이버 공격은 더 이상 시스템 교란에 머물지 않는다. 인간의 인지 구조와 정보 소비 방식을 활용해 사회 전반에 불안을 확산시키며, 물리적 피해가 제한적이더라도 의사결정과 사회 안정성에 장기적인 영향을 미치는 전략적 수단으로 기능한다.

핵티비스트의 반응과 파급효과

“우리 사회는 인터넷을 통해 촘촘하게 짜여있다.”

– 『퍼펙트 웨폰』, 데이비드 E. 생어 –

온라인에서 형성된 또 하나의 전선

현실의 공습은 물리적 타격으로 시작되지만, 그 영향은 곧 정보 환경으로 확산된다. 2026년 2월 28일 미국과 이스라엘의 이란 공동 공세가 개시된 직후, 온라인 공간에서도 거의 즉각적인 반응이 관찰됐다. 미국의 보안 기업 라드웨어는 에픽 퓨리 개시 이후 9시간도 지나지 않아 핵티비스트 활동이 뚜렷하게 증가했다고 분석했으며, 유닛 42 역시 3월 2일 기준 약 60개 내외의 그룹이 관련 활동을 전개하고 있는 것으로 파악했다. 물리적 충돌이 시작되는 시점과 거의 동시에 온라인에서도 별도의 전선이 형성됐음을 시사한다.

이런 반응 속도는 우발적인 분노 표출이라기보다, 사건을 계기로 빠르게 작동하는 디지털 동원 구조의 결과로 볼 수 있다. 최근 핵티비스트 활동은 텔레그램과 X(구 트위터) 등 플랫폼을 중심으로 실시간 정보 공유와 표적 확산이 이루어지는 형태를 보이며, 특정 사건이 발생하면 짧은 시간 내에 관련 메시지와 공격 참여가 동시다발적으로 증가하는 특징을 나타낸다. 체크포인트 역시 핵티비스트 집단이 국제 정세 변화에 맞춰 활동 패턴을 조정하고, 동일한 사건을 중심으로 유사한 시점에 집단적으로 움직이는 경향이 있다고 분석한다.

결국 물리적 전장에서의 공습이 단일 사건으로 끝나는 것이 아니라, 온라인 공간에서는 그 자체가 하나의 신호로 작용한다. 즉 전투기와 미사일이 물리적 전장을 흔드는 동안, 온라인에서는 해당 사건이 즉각적으로 해석되고 공유되며, 공격 참여와 주장으로 이어지는 흐름이 형성된다.

흩어진 개인들이 하나의 흐름으로 모이기 시작한 방식

이들의 결집 방식은 전통적인 조직과는 거리가 있다. 뚜렷한 지휘 체계나 중앙 조직이 먼저 드러나는 것이 아니라, 동일한 사건을 바라보는 계정과 채널들이 유사한 구호와 해시태그, 표적 목록을 공유하면서 점차 하나의 흐름으로 정렬되며 누군가의 지시에 따라 움직이기보다는, 동일한 사건에 반응한 개인들이 자연스럽게 동참하는 구조에 가깝다.

카스퍼스키는 2025년 중동 핵티비즘 분석에서 게시물 외부 링크의 상당수가 텔레그램으로 연결되며, 해시태그가 단순한 분류 수단을 넘어 사실상 운영 도구처럼 활용된다고 설명했다. 실제로 텔레그램 채널은 차단과 재생성을 반복하지만, 동일한 해시태그와 구호는 다양한 채널을 가로질러 유지된다. 이 과정에서 해시태그는 단순한 표현을 넘어, 참여자를 다시 모으고 활동을 이어가는 일종의 연결 장치로 기능한다.

이 구조에서는 조직의 지속성보다 연결의 재생산이 더 중요한 역할을 한다. 채널이 사라지더라도 유사한 목적을 가진 새로운 채널이 빠르게 생성되고, 이름이나 운영 주체가 바뀌더라도 동일한 메시지와 표적이 반복적으로 등장한다. 카스퍼스키에 따르면 2025년 한 해 동안 2000개 이상의 고유 해시태그가 관찰됐으며, 평균 수명은 약 두 달 수준이었다. 이는 특정 조직이 장기간 유지되지 않더라도, 동일한 주제를 중심으로 한 활동이 계속해서 재구성될 수 있음을 의미한다.

따라서 이 결집은 조직의 견고함에서 비롯되기보다, 동일한 메시지와 상징을 매개로 반복적으로 형성되는 느슨한 연결 구조에 기반한다. 흩어진 개인들이 하나의 집단처럼 보이는 이유는, 실제로 하나의 조직에 속해 있기 때문이 아니라, 동일한 신호에 반응하며 동시에 움직이기 때문이다.

명확한 조직 없이도 참여가 이루어지는 구조

핵티비스트 활동의 참여의 문턱은 매우 낮은 편으로 특정 조직에 소속될 필요도, 별도의 선발 절차를 거칠 필요도 없는데 경우에 따라서는 단순히 공유된 링크를 클릭하고 약간의 지식으로 도구를 실행하는 것만으로도 활동에 참여할 수 있기 때문이다.

미국 법무부가 2025년 발표한 자료에 따르면, 친러시아 성향 핵티비스트들은 텔레그램 채널을 통해 공격 대상을 공유하고, 자원자들에게 도구를 배포해 디도스 공격 참여를 유도하는 구조를 운영해왔다. 이 과정에서 요구되는 것은 복잡한 기술적 숙련도가 아니라, 채널 공지와 표적의 정보, 그리고 간단한 실행 도구에 대한 접근이다. 이 구조는 참여 장벽을 낮추는 동시에, 짧은 시간 안에 많은 인원을 동원할 수 있는 조건을 형성했다.

이와 같은 특징은 중동 핵티비스트 활동에서도 유사하게 관찰된다. 에픽 퓨리 이후 등장한 다수의 그룹 역시 단일한 지휘 체계를 중심으로 움직이기보다는, 특정 사건을 계기로 느슨하게 연결된 캠페인 형태를 보인다. 유닛 42는 일부 이란 연계 인물 및 집단이 새롭게 형성된 사이버 작전실(Electronic Operations Room)과 연관된 것으로 보이는 활동을 전개하고 있다고 분석했다. 이 분석의 결과는 고정된 조직이 아니라, 사건을 중심으로 참여가 이루어지는 구조가 작동하고 있음을 명백히 보여준다.

결국 참여 방식은 조직의 완성도보다 접근성과 확장성에 기반한다. 참여가 쉬울수록 더 많은 개인이 빠르게 유입될 수 있으며, 특정 조직이 존재하지 않더라도 일정 규모 이상의 활동이 유지될 수 있는 환경을 만든다. 현대 핵티비즘이 지속적으로 확산되는 이유 역시, 정교한 조직 구조가 아니라 낮은 진입 장벽에 있다고 볼 수 있다.

공격이라기보다 행동에 가까운 사이버 활동

이들이 수행하는 활동의 상당수는 정교한 침투 작전이라기보다, 반복 가능하고 참여가 용이한 자율적인 디지털 활동에 가깝다. ENISA는 2025년 위협 지형 보고서에서 디도스를 핵티비스트의 대표적인 수단으로 지목했으며, 카스퍼스키 역시 관련 게시물에서 디도스가 가장 빈번하게 활용되는 공격 유형 중 하나라고 분석했다. 디도스는 복잡한 침투 기술은 아니지만 짧은 시간 안에 가시적인 효과를 만들 수 있고, 수행하기 쉽다는 점에서 다수의 참여자를 쉽게 끌어들일 수 있는 방식이기 때문이다.

에픽 퓨리 이후 관찰된 공격 주장 역시 앞서 언급한 특징을 그대로 반영한다. 라드웨어는 2월 28일부터 3월 2일까지의 사례를 분석한 결과, 공격 대상이 주로 정부기관에 집중됐으며 위협이 쿠웨이트, 이스라엘, 요르단 축으로 확산됐다고 밝혔다. 유닛 42는 같은 시기 디도스, 웹사이트 변조, 데이터 탈취 주장, 와이퍼 공격 주장이 혼합된 형태로 나타났다고 설명한다.

핵티비스트는 실제 침해 행위뿐 아니라 침해를 주장하는 행위 자체에도 의미를 부여하고 정보의 혼란을 일으키는데 일부 경우에는 기술적 영향보다 메시지 확산과 주목 확보가 더 중요한 목적이 되기도 한다. 이로 인해 공격의 실질적 효과와 주장 사이에는 일정한 괴리가 발생할 수 있다.

결국 핵티비스트 활동은 군사적 의미의 정밀 타격이라기보다, 반복 가능한 공격 행동과 주장, 그리고 과시가 결합된 집단적 행위로 이해하는 것이 더 적절하다. 핵티비스트 활동의 핵심은 개별 공격의 정교함이 아니라, 얼마나 빠르게 확산되고 얼마나 많은 참여를 유도하느냐에 있다.

핵티비스트 활동이 만들어낸 정보 환경의 변화

핵티비스트의 영향은 시스템 장애 자체보다, 그로 인해 형성되는 정보 환경에서 더 크게 나타난다. 공격이 실제로 성공했는지와는 별개로 “이미 침투했다”거나 “정부 시스템이 흔들리고 있다”는 메시지가 반복적으로 확산되면, 정보의 신뢰도가 빠르게 저하되고 상황 인식에 혼선이 발생한다.

NSA와 FBI는 친러시아 성향 핵티비스트들이 영향력을 과장하고 실제보다 큰 성과를 주장하는 경향이 있다고 지적했으며, 유닛 42 역시 이번 중동 충돌 국면에서 일부 공격 주장에 대해서는 기술적 피해와 정보적 효과가 반드시 일치하지 않을 수 있어 사실 여부를 분리해 판단할 필요가 있다고 경고했다.

이런 맥락에서 핵티비스트의 게시물은 단순한 공격 보고가 아니라 정보전의 일부이자 심리전의 수단으로 기능한다. 라피드 7은 2026년 3월 보고서에서 이란 관련 핵티비스트 활동이 인프라 위협 주장과 선전 메시지를 결합해 심리적 압박을 강화하는 방식으로 작동한다고 분석했다.

결국 핵티비스트 활동의 영향은 실제 피해 규모만으로 평가하기 어렵다. 무엇이 사실이고 무엇이 과장인지 구분하기 어려워지는 순간, 정보 환경 자체가 불안정해져 의사결정과 사회적 인식 전반에 영향을 미칠 수 있다.

전장에 등장한 비국가 행위자의 역할

이렇게 특정 신념, 정치적인 이유가 동기가 되어 움직이는 핵티비스트들은 더 이상 전쟁의 단순한 부수적 현상으로 보기 어렵다. 라드웨어에 따르면 에픽 퓨리 이후에 친이란 계열 활동에 친러시아 성향의 그룹까지 합류하면서 국가가 모든 사이버 활동을 직접 수행하기보다는 비국가 행위자들 즉 핵티비스트들이 각자의 방식으로 전장의 외곽을 넓히고 있어 전체 위협 범위가 눈에 띄게 확대됐다고 했다.

물론 이들의 역할을 과하게 해석하고 또 평가할 필요는 없다. CISA에서 지적하듯, 핵티비스트는 실제 영향보다 과장된 주장을 반복하는 경향이 있으며 군사적 효과로만 놓고 보았을 때 그 영향은 미미할 수도 있거나 아예 없을 수도 있다고 한다.

그럼에도 이들이 의미를 갖는 이유는 전쟁의 중심을 바꾸기 때문이 아니라 전쟁이 작동하는 범위를 넓히기 때문이다. 국가가 미사일과 공습으로 물리적 전장을 형성하는 동안 핵티비스트들은 채널과 계정, 소셜 미디어의 해시태그 등을 활용한 공격 주장 같은 방식으로 혼란을 가중시키고 정보 공간에 또 다른 전선을 만들어낸다.

더 이상 현대전에서 전장은 국가에만 머물지 않는다. 물리적 충돌과 정보 환경이 동시에 작동하는 상황에서 핵티비스트 즉 비국가 행위자가 전장 형성에 어떤 영향을 미치고 개입한다는 점에서 우리는 전쟁을 국가 간 충돌로만 이해하는 데서 벗어나, 핵티비스트의 개입으로 확장된 전장의 범위를 새롭게 바라볼 필요가 있다.

직접 접근해 확인한 이란 핵티비스트 그룹 한달라의 활동

실제 사례에서도 동일한 흐름이 확인된다. 이란의 핵티비스트 조직 한달라는 2026년 3월 26일 록히드 마틴 소속 고위 엔지니어들의 신상 정보를 공개했다. 이는 단순한 과시성 주장에 그치지 않고, 일부 활동이 실제 행동으로 이어질 수 있음을 드러낸다.

한달라 그룹 텔레그램 게시물 한달라 그룹 데이터 유출 화면
한달라 그룹의 텔레그램 채널에 직접 접근해 확인한 결과

이 사건 이후 한달라 그룹의 텔레그램 채널이 사라졌다. FBI의 직접적인 조치에 의한 것인지 여부는 확인되지 않았으나, 미국 사법당국의 인프라 차단 및 수사 압박, 플랫폼 정책 집행, 그리고 운영자가 추적을 회피하기 위해 수행하는 OPSEC(Operational Security) 전략이 복합적으로 작용했을 가능성이 높다.

1부를 마치며

1부에서는 에픽 퓨리 작전이 드러낸 현대 사이버전의 세 가지 변화를 살펴보았다. 첫째, 사이버 작전이 물리적 타격과 동일한 시간선 위에서 동시에 수행되며 작전의 정밀도를 높이는 핵심 요소로 기능했다는 점이다. 둘째, 사이버 공격의 대상이 시스템을 넘어 인간의 인식과 판단으로 확장되면서 심리전의 수단으로 작동하기 시작했다는 점이다. 셋째, 핵티비스트라는 비국가 행위자가 전장의 외곽을 넓히며 정보 환경에 또 다른 전선을 형성하고 있다는 점이다.

2부에서는 시선을 약 20년 전으로 돌려, 미국과 이스라엘이 이란의 나탄즈 핵시설을 겨냥해 수행한 올림픽 게임 작전을 분석한다. 에어갭 환경에서 원심분리기를 정밀하게 교란한 이 작전은 사이버 공격이 물리적 파괴를 일으킨 최초의 사례로 평가된다. 이 작전의 배경과 공격 구조, 그리고 결과를 살펴본 뒤, 에픽 퓨리와의 비교를 통해 사이버전이 지난 20년간 어떤 방향으로 변화해 왔는지를 검토한다.

참고자료

이승용
[email protected]
RECENT POST
이승용
에픽 퓨리 작전으로 살펴보는 현대 사이버전의 양상 1부
보이지 않는 전선에서 벌어진 전쟁 해부
이승용 Apr 14, 2026 CTI
이승용
CVE-2025-14847(Mongobleed) 심층 분석
MongoDB 압축 기능에 숨겨진 치명적 허점
이승용 Jan 26, 2026 CTI