TTESays

[TE머묾] 실패의 굴레에 갇힌 한국

문가용 기자

Published: 13:41, 23 Feb 2026 (Updated: 07:04, 24 Feb 2026)

💡

Editor's Pick
- 작년 큰일 겪은 싱가포르, 그런데 보안 투자는 오히려 축소
- 해킹 단체 하나가 국가 전체의 대응력에 맞먹을 수 있다는 교훈 남겼지만
- 통신사 죄다 털린 한국도 상황은 비슷...경각심 같은 건 보이지 않아

지난해 ‘보안 지옥’을 겪은 건 한국만이 아니다. 싱가포르도 중국 해킹 단체 UNC3886에 의해 국가 위기 사태를 맞았다. 그럼에도 사이버 보안 시장은 축소되는 아이러니한 상황이 이어지고 있다고 하는데, 여기에는 여러 가지 요인이 작용하고 있다. 한국 통신사들이 번갈아 침해되며 국가적 위기론이 대두됐을 때 오르던 보안 기업 주가가 어느 새 평년 수준으로 하락한 한국 시장과 어쩌면 그렇게 닮았는지.

되짚어 보는 싱가포르 사태

UNC3886은 중국 조직으로 추정되는 APT 단체다. 이들은 2024년부터 싱가포르의 4대 통신사를 동시다발적으로 공격했다. 4대 통신사란 싱텔(Singtel), 스타허브(StarHub), M1, 심바텔레콤(SIMBA Telecom)이다. 공격은 2024년부터 지속됐는데, 싱가포르 정부가 이를 인지해 대중들에게 발표한 건 2025년 7월에 와서다. 이미 한참 늦어버린 뒤였다는 것.

공격자들은 제로데이 취약점을 통해 방화벽을 우회하거나, 루트킷을 설치함으로써 은밀히 시스템 내부에 장기간 머물렀으며, 이 기간 동안 네트워크 설계도와 구성 정보 등 각종 기술 데이터 및 환경 데이터를 수집했다. 즉, 단기적 성과를 올리는 것이 아니라 국가 인프라에 해당하는 통신망 자체를 면밀히 파악해 후속 공격을 기획했다고 보는 게 맞다. 다만 이 후속 공격이라는 것은 싱가포르의 대대적 대응에 막혔다.

이러한 상황을 파악한 싱가포르 정부는 싱가포르 역사상 최대 규모의 합동 대응 작전을 실시했다. “사이버 가디언 작전(Operation Cyber Guardian)’이라고 불리는 이 움직임에 싱가포르 사이버 보안국과 정보통신미디어개발청을 비롯해 6개 정부 기관과 100여명 이상의 민간 사이버 보안 전문가가 투입됐다. 통신사들과 실시간으로 정보를 공유해 공격자의 이동 경로를 차단하고, 시스템 복구 작업을 통해 루트킷 및 각종 멀웨어를 제거했으며, 재침투 방지를 위해 모니터링을 강화했다. 11개월 동안 이어졌다.

노력은 결실을 맺었다. 대규모 인터넷 및 통신 중단 사태가 발생하는 걸 예방했고, 통신사 고객들이 민감 정보가 유출된 정황은 아직까지도 발견되지 않고 있다. 일부 기술 정보 및 지적재산이 탈취된 것으로 보이긴 하는데 이와 관련하여 구체적 소식은 전달되지 않았다. 그러면서 이 대단위 사태는 흐지부지 막을 내렸다.

문제는 이 초거대 작전이 11개월이나 지속됐다는 것이라고 전문가들은 짚는다. 정부까지 팔을 걷어부치고 직접 참전했음에도 한 APT 조직의 각종 술수를 간파하고 악성 요소를 제거하는 데 이렇게까지 시간이 걸렸다는 건 ‘꽤나 애를 먹었다’라는 의미이기 때문이다. 정부의 지원을 든든히 받는 해킹 조직의 경우, 국가 전체를 상대하기에 부족함이 없다는 게 드러났다고 할 수 있다.

경각심? 그런 거 없어

이런 사건이 있었음에도 보안 스타트업에 대한 투자는 축소되고 있다. 싱가포르를 중심으로 동남아시아 전체에 이런 흐름이 포착되고 있는데, 방금 역사적 사건을 겪은 싱가포르조차도 이 흐름에 휩쓸리는 중이다. 한 보고서에 의하면 동남아 지역 펀딩 규모는 2021년 기준 평균 3360만 달러였는데, 2025년에는 2400만 달러로 주저앉았다고 한다. 이 중 싱가포르가 차지한 건 단 500만 달러 수준이었다.

이는 단순히 ‘투자자들이 없다’는 차원에서 생각할 문제가 아니다. 투자자들이 매력적으로 느낄만한 인재가 보안 분야에서 나타나지 않고 있다는 것부터 짚어야 한다고 전문가들은 꼬집는다. 싱가포르 IT 전문 매체 e27은 “모든 IT 인재들이 인공지능 분야로 흡수되고 있다”고 보도했다. 보안보다 그쪽에 더 잠재력이 풍부하다고 인재들이 판단하고 있다는 것.

게다가 11개월의 난투 끝에 ‘아무런 대형 사고가 터지지 않았다’는 성공적 결과가 오히려 독이 되고 있다는 목소리도 나오고 있다. 오히려 인터넷이 전국적으로 마비됐다거나 통신망이 오랜 시간 가동되지 않아 추가 피해 사례가 속출했다면, 사이버 공격자의 위험성과 보안의 중요성이 피부로 와 닿았을 텐데, 너무 잘 막아서 오히려 국민들과 투자자들에게는 별일 아닌 것처럼 느껴졌을 수 있다는 지적이다.

이것이 보안 업계에서 말하는 ‘보안의 역설’이다. 혹자는 ‘성공의 저주’라고 부르기도 한다. 아무런 사고 없이 사태가 지나간다면, ‘역시 보안이 중요하다’고 결론이 내려지는 게 아니라 ‘이미 안전하니 더 투자할 필요가 없겠다’는 식으로 생각의 흐름이 형성된다는 게 바로 ‘성공의 저주’다. 가시적으로 성과를 드러낼 수 없는 ‘보안의 특성’과, 사고 없이는 안전의 중요성을 깨닫지 못하는 ‘인간의 특성’이 합쳐졌을 때 나타나는 결과다.

사고를 허용하면 투자 늘어날까?

그렇다고 방어자들이 선택적으로 사고를 허용할 수는 없다. 그렇게 함으로써 투자 규모를 확대시킬 수 있는 게 아니라는 사례가 존재하기 때문이다. 바로 2025년 한국이 그 사례다. 주요 통신사들이 약속한 듯 차례대로 해킹 사고를 겪었음에도 해당 통신사들은 물론, 그 통신사를 압박해야 하는 한국 대중과 정부는 보안에 큰 관심을 두고 있지 않다.

여기에는 여러 가지 이유가 작용한다. 개인정보가 이미 과거 수많은 사고들을 통해 털릴대로 털렸다는 인식, 즉 ‘피로감’이 첫 번째다. 보안 피로감이 새로 싹트는 경각심을 죄다 잘라버리는 형국이다. 또한 기업들은 본질적 문제 해결보다 사과문 발표 및 후속 조치를 하는 게 더 저렴하다는 걸 학습해버렸다. 그러니 선제적 조치를 취하는 대신 사고 사실을 숨기거나, 언론 발표가 나더라도 여론이 잠잠해질 때까지 잠시 웅크려 기다리는 것으로 퉁친다. 그리고 이게 실제 잘 통한다.

이 두 가지가 합쳐져서 하나의 거대한 위험으로 발현되는데, 바로 ‘담론의 부재’다. 통신사 사고를 ‘개인정보 침해’ 즉 개인 단위의 일로 국민들은 여기고 있으며, 기업들도 굳이 이 사고방식을 확장시키려 하지 않는다. 통신사들이 ‘주요 국가 인프라’로서 가지고 있는 책임과 역할까지 논의되어야 하는데 ‘국민 개개인의 피해’로만 사건이 축소된다. 해커들이 통신망을 장기간 장악했을 때 사회 전체가 붕괴되는 일까지 벌어질 수 있는데, 그런 시나리오를 우리는 ‘망상’으로 치부한다. 현재 일어난 일은 ‘개인정보’ 단위의 사고이니, 그 차원에서만 머물자고 모두가 약속한 듯 틀에서 벗어나질 않는다.

담론이 없을 때 우리는 실패에 익숙해진다. 누군가 자꾸만 지각을 한다고 했을 때, 그 누군가가 그 악습관을 고치려면 ‘시간을 아낀다’거나 ‘남을 배려한다’는 등의 인식 전환이 있어야 한다. 그러려면 그러한 개념들을 이야기로 풀어낼 ‘담론’이 필요하다. 훈련장에서는 세계 1등인데 유독 시합장에서는 패배를 면치 못하는 선수도, 승리하지 못하는 자신의 부족한 부분을 되짚는 담론부터 형성해야 승리를 거머쥘 수 있다.

‘보안 사고 -> 사과문 -> 시간 지나면 잊힘’이라는 이 실패의 굴레를 벗어나기 위해서도 ‘담론’이 필요하다. 사회 구성원 전체가 고민해야 할 ‘담론’인데, 처음부터 너무 거창한 것을 주제 삼으면 의견이 흩어지니 ‘통신사 해킹 사고가 과연 개인 차원 및 민간 기업의 일일 뿐인가?’부터 시작하는 것이 어떨까. 일단 필자는 ‘해킹 공격을 쉽사리 허용한데다 시정도 제대로 안 하는 통신사는 차라리 매국노에 가깝다’는 의견이다.🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)