BoB NewsLetter71호
Vol. Jan 2026
안녕하세요, 구독자 님!
뉴스레터를 구독하신 분들께 매번 감사드립니다.
🍎 BoB 뉴스레터 01월호 스토리
- 📢 01월 BoB 수료생&멘토 소식
- 📑 KISA 가이드로 본 2025 보안 동향·2026 전망
- 🔤 눈으로 구분할 수 없는 문자: 호모글리프
- 📝 디지털 전환의 최전선에서 보안을 이해한다는 것
- 🛩️ 우크라이나-러시아 전쟁의 핵심 무기 “드론”, 드론의 사이버 보안
📢 01월 BoB 수료생&멘토 소식
🍧 제보를 기다립니다
뉴스레터가 여러분의 소식을 함께 전달해드립니다. 🎉
📑 KISA 가이드로 본 2025 보안 동향·2026 전망
KISA가 「2025년 사이버 위협 동향 및 2026년 전망」 가이드를 공개했다. 이번 가이드는 2025년 하반기 국내에서 발생한 주요 침해사고를 정리하고, 이를 바탕으로 2026년에 본격화될 사이버 위협의 방향을 제시한 자료다. 단순한 해킹 통계가 아니라,사이버 사고가 국민 생활과 사회 전반에 어떤 영향을 미쳤는지, 그리고 앞으로 무엇을 준비해야 하는지를 보여준다는 점에서 살펴볼 필요가 있다.
1. 2025년 침해사고 급증, 역대 최대치 기록
![[출처 - KISA]](https://cdn.maily.so/du/bob.news/202602/1769925694913207.png)
2025년 국내 침해사고 신고 건수는 총 2,383건으로 전년 대비 26.3% 증가하였다. 특히 하반기 증가 폭이 두드러졌는데, 이는 작년(2024년) 동기대비 37% 증가한 수준이다. 유형별로 보면 서버 해킹이 전체의 44.2%로 가장 큰 비중을 차지했고, DDoS 공격은 전년 대비 약 2배, 랜섬웨어는 40% 이상 증가했다. 서버 해킹이 여전히 기본적인 침투 수단으로 사용되는 가운데, 공격자는 DDoS와 랜섬웨어를 통해 서비스 중단과 금전 피해를 동시에 노리는 방향으로 전략을 강화하고 있다
직접 체감하는 사이버 위협
2025년 사이버 위협의 가장 큰 특징은 공격 대상이 통신·금융·유통 등 국민 생활과 직접 연결된 분야로 확산됐다는 점이다. 가이드에 따르면 실제로 SK텔레콤 유심 정보 유출 사건에서는 약 2,700만 건에 달하는 정보가 장기간에 걸쳐 침해된 사실이 드러나며 국민적 불안을 촉발했다. 또한 예스24는 랜섬웨어 공격으로 서비스가 반복 중단되며 일상적인 소비·문화 활동에 직접적인 차질을 초래했다. 여기에 KT와 롯데카드 등 주요 통신·금융 기업까지 해킹 이슈가 확산되면서, 개별 기업의 보안 사고가 사회 전반의 ‘해킹 포비아’로 이어지는 구조가 뚜렷해졌다. 이는 사이버 사고가 더 이상 내부 IT 문제가 아니라, 국민 생활과 신뢰를 위협하는 사회적 사건으로 전환되었음을 보여준다.
랜섬웨어와 공급망 공격의 고도화
랜섬웨어는 2025년에도 가장 위협적인 공격 유형으로 자리 잡았다. 25년도 침해사고 신고 유형 중 악성코드 감염 통계에서 77% 이상을 랜섬웨어 신고가 차지 하고 있으며 특히 중소 및 중견기업을 대상으로 한 랜섬웨어 침해사고는 전년대비 하반기 50%, 상반기 29.3% 증가했다. 백업을 수행하는 기업 비율은 꾸준히 증가했지만, 공격자는 내부 시스템을 장악한 뒤 백업 서버까지 암호화하거나 탈취한 데이터를 공개하겠다고 협박하는 이중 갈취 방식을 적극 활용하고 있다. 그 결과 백업이 있어도 안심할 수 없는 현실이 되고 있다.
여기에 더해 오픈소스와 저가형 IoT 기기를 악용한 공급망 공격도 빠르게 늘고 있다. 개발자와 기업이 신뢰하던 코드 저장소나 기기가 공격 경로가 되면서, 하나의 취약점이 다수의 조직으로 확산되는 구조가 만들어지고 있다. 보고서는 이러한 공격이 보안 관리의 범위를 개별 시스템에서 생태계 전체로 확장시키고 있다고 분석한다.
2026년의 전망
보고서에서는 2026년을 앞두고 네 가지 핵심 위협을 제시했다.
첫째, AI를 활용한 공격의 일상화다.
보고서는 2026년부터 AI가 단순한 보조 수단이 아니라, 공격 전 과정에 직접 활용될 가능성이 높다고 본다. 정찰, 취약점 탐색, 악성코드 생성, 피싱 메시지 제작까지 AI가 자동으로 수행하면서 공격 속도와 정밀도가 크게 높아질 수 있다. 특히 딥페이크 음성·영상 기반 공격이 실시간 통화나 화상회의까지 확장될 경우, 기존의 신뢰 기반 커뮤니케이션 자체가 위협받을 수 있다고 지적한다. 이는 기존 시그니처 기반 탐지 방식만으로는 대응이 어려우며 비정상적인 코드 생성 행위를 식별 가능한 새로운 탐지 체계가 필요하다는 것을 의미한다.
둘째, 기술지원이 종료된 시스템(EOS)과 장기간 방치된 자산의 악용이다.
보고서는 EOS 시스템이 오래된 위험이 아니라, 2026년을 기점으로 다시 부각될 핵심 공격 경로가 될 수 있다고 본다. 지원이 종료된 운영체제나 네트워크 장비는 패치가 불가능하거나 지연되기 쉬워, 공격자 입장에서는 가장 비용 대비 효율이 높은 진입 지점이 된다. 특히 외부 접점에 위치한 레거시 시스템이 내부망 침투의 발판으로 활용될 가능성이 크며, 하나의 방치된 자산이 전체 조직 보안을 무너뜨릴 수 있다고 경고한다.
셋째, 클라우드 환경의 공격 표면 확대다.
클라우드 전환이 가속화되면서 자산의 위치와 상태가 빠르게 바뀌고, 이에 따른 가시성 부족과 설정 오류가 새로운 위험 요소로 떠오르고 있다. 보고서는 API, 컨테이너, 서버리스 환경이 서로 연결된 구조에서 단일 취약점이 연쇄 공격으로 이어질 수 있다고 설명한다. 여기에 CI/CD 파이프라인이나 IaC 템플릿 등 클라우드 네이티브 공급망까지 공격 대상이 될것으로 판단된다.
넷째, 유출된 개인정보를 기반으로 한 2차 범죄의 고도화다.
보고서는 2025년에 발생한 대규모 개인정보 유출이 2026년에는 본격적인 2차 피해로 이어질 가능성이 높다고 본다. 유출된 정보들이 결합되면서 보이스피싱과 스미싱이 더 정교해지고, 실제 피해자를 특정해 맞춤형 공격이 이뤄질 수 있다. 단순한 개인정보 노출을 넘어 금융 사기, 계정 탈취, 사회공학 공격의 핵심 재료로 활용될 수 있다는 점에서 위험성이 크다고 분석한다. 보고서는 이 네 가지 위협이 각각 따로 나타나는 것이 아니라, AI 기반 자동화 공격이 레거시·클라우드 환경의 취약점을 파고들고, 그 결과 유출된 개인정보가 다시 2차 범죄로 이어지는 방식으로 서로 결합될 가능성이 높다고 지적한다.
결론
이번 KISA 가이드는 사이버 위협이 이미 어디까지 도달했는지를 생생하게 보여준다. 특히 2025년에는 통신 장애, 개인정보 유출, 서비스 중단 등 국민이 일상에서 직접 체감할 수 있는 사고가 잇따르며 위협의 심각성이 더욱 분명해졌다. 침해사고 건수는 지속적으로 증가하고 있으며 공격 방식은 더 빠르고 정교한 형태로 진화하고 있다. 여기에 AI, 클라우드, 공급망, 개인정보 유출과 같은 요소들이 서로 복합적으로 얽히면서 단일 보안 대책만으로는 대응하기 어려운 구조가 형성되고 있다는 점이 핵심적인 문제로 제시된다.
분명한 점은 보안에 대한 사회적 인식과 대응 수준도 함께 높아지고 있다는 것이다. 기업과 기관은 이전보다 더 많은 투자를 하고 있고, 백업·자산 관리·보안 가이드라인 같은 기본적인 대비도 점차 정착되고 있다. 하지만 동시에 사이버 범죄 역시 그 속도를 늦추지 않고 있다. 공격자는 새로운 기술을 빠르게 흡수하고 방어 체계의 빈틈을 집요하게 파고들고 있다.
그 결과, 보안을 위해 쌓아 올리는 노력과 이를 무너뜨리려는 공격 사이의 간극을 좁히는 일이 점점 더 어려워지고 있는 상황으로 보인다. 방어가 한 단계 나아가면 공격은 두 단계를 뛰어넘는 방식으로 돌아오는 구조가 반복되고 있기 때문이다. 이 간극은 단기간에 해소될 문제가 아니며, 단순한 기술 도입이나 일회성 대책으로 해결되기도 어렵다.
이번 가이드가 공통적으로 강조하는 메시지는 분명하다. 사이버 보안은 더 이상 특정 조직이나 전문가 집단에 한정된 과제가 아니라 사회 전반의 위험 관리와 직결된 문제로 다뤄지고 있다는 점이다. 가이드는 공격을 완전히 차단하는 것이 현실적으로 어렵다는 전제 아래 위험을 얼마나 조기에 인지하고 관리하며 피해를 최소화할 수 있는지가 향후 사이버 사고의 파급 범위와 사회적 신뢰에 영향을 미칠 수 있음을 시사한다.
[참고자료]
- 과기정통부 "올해 AI서비스·클라우드 해커 공격 증가", https://zdnet.co.kr/view/?no=20260127100107
- 지난해 사이버 침해사고 신고 26%↑…생활 인프라 위협 기승, https://www.digitaltoday.co.kr/news/articleView.html?idxno=624207
- 25년 사이버 위협 하반기 동향 및 26년 전망, https://www.boho.or.kr/kr/bbs/view.do?bbsId=B0000127&pageIndex=1&nttId=71951&menuNo=205021
🔤 눈으로 구분할 수 없는 문자: 호모글리프
당신의 눈을 속이는 완벽한 사이버 공격
![[출처 - 조선일보]](https://cdn.maily.so/du/bob.news/202602/1769926125870387.png)
"댕댕이 커여워" - 이 문장이 낯설지 않다면, 당신은 '야민정음'을 아는 사람입니다. 한국 인터넷 커뮤니티에서 시작된 이 놀이는 비슷하게 생긴 글자를 바꿔 쓰는 재미있는 문화 중 하나입니다. 대를 머로, 귀를 커로 바꾸는 식입니다. 한글과 영문을 혼용한 예시로는 명작(masterpiece)을 띵작(rnasterpiece)으로 쓰는 것을 들 수 있습니다.
영어권에도 비슷한 게 있습니다. 바로 리트(Leet Speak, 1337 5p34k). 1980년대 해커들이 BBS(전자게시판)에서 필터를 우회하려고 만든 암호 같은 언어입니다. "Hello"를 "H3ll0"로, "Elite"를 "1337"로 쓰는 식이죠.
재미로 시작된 이런 문자 변형, 실은 사이버 공격 수단으로 쓰이기도 합니다. 특히 사용자의 오타를 노리는 타이포스쿼팅(Typosquatting)이 대표적입니다. 공격자들은 gooogle.com처럼 o를 하나 더 넣거나, microsfot.com처럼 글자 순서를 바꾼 도메인을 미리 등록해둡니다. 사용자가 주소를 잘못 입력하기를 기다리는 거죠. 급하게 타이핑하다 실수하면 가짜 사이트로 연결됩니다.
하지만 타이포스쿼팅은 한계가 있습니다. 공격 대상의 실수를 유도하는 수동적인 공격 방법이며, 사용자가 주의 깊게 보면 글자 또는 철자가 다르다는 걸 알 수 있기 때문입니다. 그런데 만약 URL의 철자가 정확히 똑같아 보이는데도 다른 사이트로 연결된다면? 아무리 주의해도 구분할 수 없는 공격이라면? 실제로 이러한 특징을 가진 공격 방법인 호모글리프(Homoglyph)라는 더 교묘한 방법으로 사이버 공격을 수행하는 사례가 나타나고 있습니다.
호모글리프, 완벽한 위장술
![[출처 - wikipedia]](https://cdn.maily.so/du/bob.news/202602/1769926185488590.png)
호모글리프(Homoglyph)는 서로 다른 문자인데 시각적으로 똑같거나 매우 비슷하게 보이는 문자들을 의미합니다. 예를 들어 영문 소문자 'a'와 키릴 문자 'а'는 컴퓨터에서는 완전히 다른 문자로 인식되지만, 우리 눈에는 구분이 불가능합니다. 숫자 '0'과 영문 대문자 'O', 영문 소문자 'l'과 숫자 '1'도 마찬가지입니다.
이런 현상이 가능한 이유는 유니코드(Unicode) 때문입니다. 유니코드는 전 세계 모든 문자를 컴퓨터에서 표현하기 위한 국제 표준 체계로, 라틴 문자, 키릴 문자, 그리스 문자, 한글 등 수십만 개의 문자를 포함하고 있습니다. 각 문자는 고유한 코드를 가지고 있어서 컴퓨터는 이를 구분할 수 있지만, 서로 다른 언어의 문자들이 우연히 같은 모양을 가지는 경우가 생깁니다.
실제로 apple.com을 예로 들어볼까요? 첫 글자 'a'를 키릴 문자 'а'로 바꾸면 аpple.com이 됩니다. 화면에서는 완전히 동일하게 보이지만, 컴퓨터는 이를 전혀 다른 도메인으로 인식합니다. google.com의 두 'o'를 키릴 문자 'о'로 바꾼 gооgle.com도 마찬가지입니다. 사용자가 아무리 주의 깊게 URL을 확인해도 정상 사이트와 구분할 방법이 없습니다.
![[출처 - symbl.cc]](https://cdn.maily.so/du/bob.news/202602/1769926230379269.png)
더 교묘한 건 부분적 치환입니다. paypal.com의 'a'만 키릴 문자로 바꾼 pаypal.com, microsoft.com의 'i'를 그리스 문자 'ι'로 바꾼 mιcrosoft.com처럼 일부 문자만 바꿔도 충분히 속일 수 있습니다. 보안 전문가라면 더 위험한 사례를 알고 있을 겁니다. 코드에서 사용되는 세미콜론(;)과 그리스 느낌표(;)는 완전히 동일하게 보이지만 다른 유니코드 값을 가집니다. 악의적인 코드 삽입이나 난독화에 악용될 수 있는 완벽한 도구입니다.
에너지 기업을 겨냥한 다단계 AiTM 피싱 및 BEC 공격 (2026)
![[출처 - microsoft.com]](https://cdn.maily.so/du/bob.news/202602/1769926279820941.png)
2026년 1월, 마이크로소프트 보안 연구팀은 에너지 섹터의 여러 조직을 표적으로 한 다단계 AiTM(Adversary-in-the-Middle) 피싱 및 BEC(Business Email Compromise) 캠페인을 발견했습니다. 이 공격은 호모글리프를 활용한 정교한 사회공학 기법의 최신 사례입니다.
공격자들은 먼저 신뢰할 수 있는 조직의 이메일 계정을 침해한 후, 이를 이용해 SharePoint 문서 공유 알림으로 위장한 피싱 이메일을 발송했습니다. 수신자가 SharePoint 링크를 클릭하면 가짜 로그인 페이지로 리디렉션되었고, 여기서 입력한 자격 증명이 실시간으로 탈취되었습니다. 문제는 이 과정에서 호모글리프가 사용된 도메인이 정상 도메인과 시각적으로 완전히 동일하게 보였다는 점입니다.
계정 침해에 성공한 공격자는 받은 편지함 규칙을 생성해 모든 수신 이메일을 읽음으로 표시하고 삭제함으로써 피해자가 공격을 인지하지 못하도록 했습니다. 이후 침해된 계정을 사용해 600개 이상의 피싱 이메일을 조직 내부 및 외부 연락처에게 발송했으며, 이 과정에서 다른 조직으로까지 공격 범위가 확대되었습니다.
특히 주목할 점은 공격자가 피해자의 받은 편지함을 모니터링하며 배달 실패 메시지나 부재중 메시지를 삭제하고, 이메일의 진위를 묻는 수신자에게 직접 응답하여 정당성을 확인해주는 등 지속적으로 관리했다는 것입니다. 이는 단순한 자동화 공격이 아닌 사람이 직접 개입하는 고도로 조직화된 BEC 공격이었습니다.
이 사건은 호모글리프가 단순히 도메인 위조에만 사용되는 것이 아니라, 복잡한 다단계 공격의 일부로 활용될 수 있음을 보여줍니다. 마이크로소프트는 이 공격에 대응하기 위해 단순한 비밀번호 재설정만으로는 불충분하며, 세션 쿠키 무효화와 악성 받은 편지함 규칙 삭제가 필수적이라고 강조했습니다.
호모글리프 공격으로부터 보호하는 방법
호모글리프 공격은 육안으로 구분이 불가능하지만, 기술적 대응과 올바른 보안 습관으로 충분히 방어할 수 있습니다.
가장 기본적인 방어는 URL을 직접 타이핑하지 않는 것입니다. 자주 방문하는 사이트는 브라우저 북마크에 저장하고, 이메일이나 메시지의 링크를 클릭하기보다는 북마크를 통해 접속하세요. 브라우저를 이용하여 대처할 수 도 있습니다. 최신 브라우저들은 호모글리프를 감지하여 퓨니코드(Punycode) 형태로 표시하는 기능을 갖추고 있습니다. 예를 들어 аpple.com은 브라우저에서 xn--pple-43d.com처럼 표시됩니다. 주소창에 이런 형태가 보인다면 즉시 접속을 중단해야 합니다.
이메일에서 긴급함을 강조하거나 파일 공유를 요구하는 경우, 발신자가 신뢰할 수 있는 사람이더라도 다른 경로(전화, 메신저)로 진위를 확인하는 습관을 들이세요.
마치며
야민정음과 리트는 재미로 시작된 문자 놀이였습니다. 하지만 같은 원리가 사이버 공격의 무기가 되었고, 이제는 눈으로 구분할 수 없는 완벽한 위장술로 진화했습니다. 타이포스쿼팅은 주의하면 막을 수 있지만, 호모글리프는 아무리 조심해도 육안으로는 알아챌 수 없습니다.
하지만 이 위협은 극복 가능합니다. 기술적 방어 수단과 올바른 보안 습관이 결합되면 호모글리프 공격으로부터 충분히 보호받을 수 있습니다. 중요한 것은 이러한 위협이 존재한다는 사실을 인지하고, 지금 바로 행동하는 것입니다. 북마크를 활용하고, 의심스러운 링크는 클릭하지 마세요. 당신의 디지털 안전은 바로 이 순간의 선택에서 시작됩니다.
[참고자료]
- 조선일보, “세종머앟?… 세종대왕이 울고갈 ‘야민정음’,”조선일보, Jul. 18, 2016. [Online]. Available: https://www.chosun.com/site/data/html_dir/2016/07/18/2016071800190.html
- Wikipedia, “Leet,” Wikipedia. [Online]. Available: https://en.wikipedia.org/wiki/Leet.
- Wikipedia, “Homoglyph,” Wikipedia. [Online]. Available: https://en.wikipedia.org/wiki/Homoglyph.
- Microsoft Security, “Resurgence of a multi-stage AiTM phishing and BEC campaign abusing SharePoint,” Microsoft Security Blog, Jan. 21, 2026. [Online]. Available: https://www.microsoft.com/en-us/security/blog/2026/01/21/multistage-aitm-phishing-bec-campaign-abusing-sharepoint/.
📝 디지털 전환의 최전선에서 보안을 이해한다는 것
![[출처: chatgpt]](https://cdn.maily.so/du/bob.news/202602/1769926528791617.png)
평생을 기자로 살아온 사람이 있다.
정보를 취재하고, 질문을 던지고, 사실을 확인하는 일이 그의 일이었다.
신문은 종이였고, 마감은 밤이었으며, 세상은 발로 뛰어 지식을 얻고 세상에 알리는 것이 일상이었다.
그 세계에서 책임은 기사 한 편으로 귀결됐다.
그러던 그가 조직에서 능력을 인정받고, 어느 날 조직의 CEO가 되었다. 이 자리는 디지털 전환과 AI 도입을 책임지는 자리였다.
익숙했던 질문과 지식전달의 세계는 끝났고, 이제는 답을 내려야 하는 위치에 섰다.
문제는 그 답의 범위가 상상 이상으로 넓었다는 점이다. AI 전환이라는 과제는 그 자체로도 충분히 무거웠다. 기술 선택, 조직 구조, 외주와 내부 역량의 경계, 신뢰의 문제까지 모든 판단이 대표의 결정으로 이어졌다.
그러나 그 과정에서 또 하나의 현실이 모습을 드러냈다.
사이버 침해사고였다.
그는 그제야 보안을 ‘개념’이 아니라 ‘사건’으로 마주하게 되었다. 어떤 사고인지, 왜 발생했는지, 지금 무엇을 결정해야 하는지, 그리고 이 결정이 조직에 어떤 책임으로 돌아오는지를 누군가는 당장 판단해야 했다.
그 역할은 자연스럽게 경영자의 몫이 되었다.
생각해보면 이상한 일은 아니다.
평생 다른 일을 해온 사람이 조직을 책임진다는 이유만으로 AI, IT, 클라우드, 데이터, 보안, 법적 책임까지 수천, 수만 가지의 새로운 지식을 동시에 요구받는 구조다.
그 학습은 체계적으로 주어지기보다, 사건과 함께 갑작스럽게 찾아오는 경우가 대부분이다.
이 과정에서 실무자와 경영진 모두가 어려워진다.
보안 실무자들은 사고가 발생할 때마다 보안에 대한 저투자와 낮은 우선순위를 떠올리며 탄식한다.
반대로 경영진은 기술적 설명 속에서 무엇이 핵심 위험인지 파악하지 못한 채 결정의 책임을 떠안는다.
지난해 반복된 보안 사고 이후의 장면들은 이를 여실히 보여줬다. 청문회에 선 대표이사들은 보안을 정말 모르는 것처럼 보였다.
그러나 그것이 무책임의 증거인지, 아니면 구조적으로 그렇게 될 수밖에 없는 위치의 결과인지는 조금 더 냉정하게 볼 필요가 있다.
AI 전환과 사이버보안은 더 이상 분리된 과제가 아니다.
AI를 도입하는 순간, 그 조직은 새로운 공격 표면과 책임 구조를 함께 떠안는다.
이 사실을 경영인은 보통 사고를 통해서야 체감하게 된다.
지금 우리는 분명한 과도기에 서 있다.
디지털 전환의 속도는 빠르지만, 언어와 관점은 아직 충분히 맞춰지지 않았다.
보안 실무자들은 기술의 언어로 위험을 말하고, 경영인은 경영의 언어로 결정을 내려야 한다.
이 간극이 좁혀지지 않는 한, 서로는 계속 답답할 수밖에 없다.
이제 필요한 것은 책임 전가가 아니다.
이 과도기를 인정하고, 서로 다른 언어와 관점이 존재한다는 사실을 받아들이는 일이다.
보안은 더 이상 사고 이후에 불려오는 전문 영역이 아니라, 의사결정 이전에 번역되어야 할 판단 요소다.
AI 전환이라는 거대한 과제를 맡은 경영인이
보안 사고를 통해 또 다른 세계를 배우고 있는 지금, 보안 전문가에게도 역할은 분명해진다.
지적하는 사람을 넘어, 이해를 앞당기는 사람이 되는 것. 기술을 신뢰와 책임의 언어로 바꾸어 전달하는 것이다.
더 안전한 사이버 세상은 누군가를 비난해서 만들어지지 않는다.
서로의 위치와 한계를 이해할 때 비로소 가능해진다.
지금은 그 이해를 시작해야 할 시점이다.
🛩️ 우크라이나-러시아 전쟁의 핵심 무기 “드론”, 드론의 사이버 보안
![[출처] 주간조선, ”우크라이나 전쟁이 보여준 미래전의 모습들” (드론을 들고 있는 우크라이나 병사. photo 뉴시스)](https://cdn.maily.so/du/bob.news/202602/1769926608841008.png)
“드론이 전장을 지배한다”가 과장이 아닌 이유
2022년 2월 24일 러시아의 침공으로 시작된 우크라이나-러시아 전쟁은 아직 끝나지 않았다. 이 전쟁을 설명하는 키워드는 점점 단순해지고 있다. 포병의 시대가 저물고, 드론의 시대가 왔다는 말이다. 실제로 우크라이나 측은 “러시아에 대한 전장 타격의 80% 이상이 드론으로 이뤄진다”고 공개적으로 언급했다. 전선에서는 소형 FPV(First-Person View) 드론이 참호와 차량을 쪼개고, 후방에서는 장거리 드론이 정유시설·저장고·펌프장 등 에너지 인프라를 위협한다. Reuters의 시각화 보도에 따르면, 우크라이나는 2025년 8월 이후 최소 58차례 러시아 핵심 에너지 시설을 드론으로 공격했고, 최대 약 2,000km까지 비행한 사례도 집계됐다.
러시아 역시 “드론 폭격”을 일상화했다. 예를 들어 2026년 1월 28일(현지) 밤~29일 새벽 공격에서 러시아는 드론 146대를 발사했고, 우크라이나는 103대를 격추했다고 전해졌다. 더 중요한 변화는 “양”만이 아니다. 러시아의 샤헤드(Shahed) 계열 공격이 고도화되면서, 전자전(재밍/스푸핑) 저항, 원격 조종·영상 전송, 심지어 AI 연산 요소가 관측되는 등 “싸고 느린 자폭 드론”의 상식이 깨지고 있다.
이쯤 되면 드론은 더 이상 “보조 무기”가 아니다. 대량 생산·대량 소모되는 네트워크화 무기체계다. 그리고 바로 그 지점에서, 드론을 “항공기”가 아니라 IT 시스템으로 바라봐야 할 이유가 생긴다.
드론은 무엇이고, 무엇으로 움직이며, 왜 AI가 붙는가
![[출처] 드론원스톱 민원서비스-민원시스템 안내-민원 유형별 처리 안내](https://cdn.maily.so/du/bob.news/202602/1769926664420543.png)
드론은 「드론 활용의 촉진 및 기반조성에 관한 법률」, 「드론 활용의 촉진 및 기반조성에 관한 법률 시행규칙」, 「항공안전법」, 「항공안전법 시행규칙」에 기반하여 “조종자가 탑승하지 않은 상태로 항행할 수 있는 비행체로서 ① 동력을 일으키는 기계장치가 1개 이상이거나, ② 지상에서 비행체의 항행을 통제할 수 있는 것”로 정의되지만, 정보보안 관점에서는 이 정의만으로는 충분하지 않다. 실제 드론은 단순한 비행체가 아니라, 비행체, 비행제어 시스템, 통신 링크, 지상통제 시스템(GCS) 또는 모바일 애플리케이션, 위치·항법 시스템(GNSS), 그리고 카메라·센서·탄두와 같은 페이로드가 결합된 복합 시스템이다. 여기에 중계기, 메시 네트워크, 위성 통신, LTE·5G와 같은 운용 네트워크, 그리고 부품·펌웨어·SDK로 이어지는 공급망까지 포함하면, 드론은 더 이상 단순한 항공기가 아니라 ‘날아다니는 IoT이자 로봇 시스템’에 가깝다고 볼 수 있다. 이처럼 구성 요소 대부분이 소프트웨어와 네트워크에 의존한다는 점에서, 드론은 본질적으로 사이버 공격에 노출된 시스템이다.
이러한 드론의 성격은 역사적 흐름 속에서도 뚜렷하게 변화해 왔다. 과거 군사용 무인기는 고가의 플랫폼에 고성능 센서를 탑재한 정찰 자산이라는 이미지가 강했다. 그러나 우크라이나-러시아 전쟁은 이 공식을 완전히 뒤집었다. 저가의 소형 드론, 특히 민수용 부품을 활용한 FPV 드론과 쿼드콥터가 전장에서 ‘대량의 정밀탄’처럼 사용되기 시작한 것이다. 우크라이나는 내부 추정치를 통해 2024년 한 해 동안 러시아 병력에 대한 타격의 약 69%, 차량과 장비에 대한 타격의 약 75%가 드론을 통해 수행됐다고 밝혔다. 드론은 더 이상 보조 수단이 아니라, 전장의 중심 화력으로 자리 잡았다. 이에 따라 생산 능력 자체가 국가 안보 역량으로 인식되기 시작했으며, 우크라이나는 연간 수백만 대, 최대 400만 대까지 드론을 생산할 수 있는 능력을 보유하고 있다고 공개적으로 언급한 바 있다.
드론이 이처럼 대량 운용될 수 있었던 배경에는 관련 기술의 발전이 있다. 먼저 통신 측면에서 드론은 조종 신호, 상태 정보(telemetry), 영상 데이터를 실시간으로 송수신한다. 이 과정에서 대역폭과 지연은 물론, 암호화 여부가 작전 성공과 생존성을 좌우한다. 항법 측면에서는 GNSS(GPS 등)와 IMU(관성센서)가 기본적으로 사용되며, 전자전 환경에서는 지형 인식이나 비전 기반 보정 기술이 함께 활용된다. 특히 GNSS 스푸핑이나 재밍이 빈번한 전장 환경에서는 이러한 보조 항법 기술이 생존성과 직결된다. 제어 프로토콜로는 MAVLink가 대표적으로 사용되는데, 경량성과 실시간성을 우선해 설계된 특성상 보안 옵션을 활성화하지 않으면 공격 표면이 크게 늘어날 수 있다. 다만 MAVLink 2부터는 메시지 서명 기능이 도입돼, 송신자 인증과 무결성 검증이 가능하다. 마지막으로 펌웨어와 업데이트 체계 역시 중요한 요소다. 안전한 부트, 코드 서명 검증, 롤백 방지와 같은 기능이 미흡할 경우, 드론은 공급망 공격에 매우 취약해질 수 있다.
최근 전장 드론의 또 다른 특징은 AI 기술과의 결합이다. 드론이 AI를 활용하는 대표적인 영역은 두 가지로 나눌 수 있다. 첫째는 영상 기반의 탐지·추적·표적 인식이다. 영상 기반 AI를 통해 드론은 사람이나 차량과 같은 목표를 자동으로 식별하고, 고속 기동이나 흔들리는 환경에서도 표적을 지속적으로 추적할 수 있다. 둘째는 항법과 전자전 대응 영역이다. 재밍 환경에서 드론이 스스로 경로를 재계획하거나, 안테나 및 수신기 조합을 최적화해 교란을 견디는 기술이 점차 고도화되고 있다. 실제로 러시아의 샤헤드 계열 자폭 드론에서는 전자전 저항, 즉 안티재밍 성능이 강화되고 있다는 관측이 이어지고 있다.
그러나 드론에 AI가 적용된다는 것은 곧 소프트웨어 구조가 복잡해지고, 학습 데이터, 모델, 업데이트 파이프라인까지 새로운 관리 대상이 늘어난다는 의미이기도 하다. 이는 보안 관점에서 공격 표면이 기하급수적으로 증가한다는 신호다. 다시 말해, 드론의 ‘자율성’이 높아질수록 드론은 더 강력해지지만, 동시에 더 정교한 사이버 보안 없이는 운용 자체가 위험해지는 시스템으로 변모하고 있다.
드론 사이버 보안이 ‘생존’ 이슈가 된 이유와, 무엇을 지켜야 하나
전쟁에서 드론은 흔히 “맞으면 끝나는” 물리적 무기로 인식된다. 그러나 실제 운용 관점에서 드론은 통신, 위치 정보, 소프트웨어 중 어느 하나만 흔들려도 쉽게 무력화될 수 있는 디지털 무기에 가깝다. 따라서 드론 보안의 중요성은 단순히 “해킹당하면 추락한다”는 수준에 머물지 않는다. 군사·치안·재난 대응용 드론에서 촬영되는 영상, 비행 경로, 임무 정보가 외부로 유출될 경우 작전 자체가 붕괴될 수 있으며, 조종권 탈취나 명령 주입 공격은 민간 환경에서도 즉각적인 인명 피해로 이어질 수 있다. 특히 최근 전장에서 두드러지는 대량 드론 운용, 즉 군집 비행이나 동시 타격 개념에서는 하나의 취약점이 연쇄적으로 확산돼 ‘대량 실패’로 이어질 위험이 더욱 커진다.
이러한 위험은 이미 다양한 취약점 시나리오로 구체화돼 있다. 가장 대표적인 사례가 GNSS 스푸핑과 재밍이다. 공격자는 항법 신호를 교란하거나 차단해 드론이 엉뚱한 위치로 이동하도록 유도하거나 추락시키는 것이 가능하다. 실제로 우크라이나 전장에서는 GNSS 교란이 핵심 전자전 수단으로 지속적으로 언급되고 있으며, 이는 드론 운용의 전제가 되는 위치 신뢰성이 얼마나 취약한지를 보여준다.
데이터링크 공격 역시 주요 위협이다. 무선 구간에서의 도청은 영상과 상태정보 노출로 이어지고, 명령 주입이나 재전송 공격은 공격자가 드론의 동작을 간접적으로 통제할 수 있게 만든다. 링크 자체를 마비시키는 서비스 거부 공격(DoS) 또한 드론을 ‘눈과 귀가 없는 상태’로 만들어 사실상 무력화할 수 있다.
제어 프로토콜 수준의 취약점도 간과할 수 없다. MAVLink처럼 널리 사용되는 경량 프로토콜은 실시간성과 효율성을 우선해 설계된 만큼, 운영자가 보안 기능을 활성화하지 않으면 공격 표면이 급격히 커진다. MAVLink2에서 메시지 서명 기능을 통해 신뢰된 송신자 인증이 가능해졌지만, 실제 현장에서는 설정 미비나 성능 저하 우려로 해당 기능이 비활성화된 사례도 적지 않다. 여기에 지상통제국(GCS), 조종기, 모바일 애플리케이션의 취약점까지 더해지면 상황은 더욱 복잡해진다. 비행체 자체가 안전하더라도, 조종기나 앱이 침해되면 조종권과 임무 데이터는 그대로 노출될 수 있다. 마지막으로 공급망과 펌웨어 업데이트 문제는 드론 보안을 구조적으로 위협한다. 부품, 펌웨어, SDK, 클라우드 연동 구조가 복잡해질수록 단 한 지점의 취약점이 전체 시스템 붕괴로 이어질 가능성은 커진다.
![[출처] 미국 Cybersecurity&InfrastructureSecurityAgency “Be Air Aware” 페이지](https://cdn.maily.so/du/bob.news/202602/1769926774432763.png)
이러한 위협 인식 속에서 드론 보안은 정책과 제도 차원에서도 빠르게 다뤄지고 있다. 대표적인 흐름이 원격 식별(Remote ID) 제도의 도입이다. 원격 식별은 드론의 신원과 위치를 실시간으로 식별·추적할 수 있도록 하는 체계로, 공공 안전과 치안 강화를 목표로 한다. 미국은 14 CFR Part 89에 따라 등록 대상 드론의 Remote ID 준수를 요구하고 있으며, 미국 연방항공청 FAA는 2023년 9월부터 이를 명확히 시행하고 있다. 유럽 역시 유럽 연합 항공 안전청 EASA를 중심으로 2024년 1월부터 특정 범주의 드론에 대해 Remote ID 활성화를 요구하며 제도 정착을 추진하고 있다. 한편 운영자 측면에서는 미국의 CISA가 상용 및 공공용 UAS 운용자를 위한 사이버보안 모범사례를 제시하고 있다. 계정 관리, 패치 적용, 데이터 보호, 공급망 보안 등을 포괄하는 이 가이드는 2025년 ‘Be Air Aware’ 캠페인과 함께 확장돼, 드론 보안을 단순 기술 문제가 아닌 운영 전반의 리스크 관리 이슈로 다루고 있다.
최근 사례들을 살펴보면 드론 보안의 쟁점은 더욱 분명해진다. 전쟁에서는 드론의 고도화와 함께 전자전과 사이버전이 동시에 진화하고 있다. 러시아의 드론 공격은 단순히 수량을 늘리는 데서 그치지 않고, 속도 향상, 안티재밍 성능 강화, 원격 조종 방식의 정교화로 이어지고 있다는 보도가 이어진다. 동시에 상용 드론을 둘러싼 국가안보 논쟁도 격화되고 있다. 드론이 물류, 공공안전, 인프라 점검 등 민간 영역 깊숙이 들어오면서, 드론이 수집·전송하는 데이터의 흐름과 공급망 신뢰성이 정책 이슈로 부상한 것이다. 실제로 중국기반의 드론 기업인 DJI를 둘러싼 미국 내 보안 검토와 규제 논의는 이러한 흐름을 상징적으로 보여준다. 더 나아가 UN 모니터링에 따르면 2025년 1월 민간인 사상자 통계에서 단거리 드론이 차지하는 비중이 유의미하게 증가한 것으로 보고되기도 했다. 이는 드론 보안 문제가 더 이상 군사 영역에 국한되지 않고, 민간 안전과 직결된 문제로 확장되고 있음을 분명히 보여준다.
결국 드론 보안은 “하늘을 나는 기계”를 지키는 문제가 아니라, 네트워크로 연결된 무기·로봇 시스템을 어떻게 안전하게 통제할 것인가라는 질문으로 귀결된다.
[참고자료]
- 우크라이나 전쟁이 보여준 미래전의 모습들, 주간조선, https://weekly.chosun.com/news/articleView.html?idxno=25756
- Russian strike kills couple near Kyiv as attacks hit cities across Ukraine, Reuters, https://www.reuters.com/world/europe/russian-drones-damage-port-infrastructure-hurt-three-ukraines-odesa-governor-2026-01-28
- Enter the kill zone: Ukraine's drone-infested front slows Russian advance, Reuters, https://www.reuters.com/business/aerospace-defense/enter-kill-zone-ukraines-drone-infested-front-slows-russian-advance-2025-07-17
- Inside Ukraine's drone campaign to blitz Russia’s energy industry, Reuters, https://www.reuters.com/graphics/UKRAINE-CRISIS/RUSSIA-ENERGY/gdpzbxkgwpw
- Drones become most common cause of death for civilians in Ukraine war, UN says, Reuters, https://www.reuters.com/world/europe/drones-become-most-common-cause-death-civilians-ukraine-war-un-says-2025-02-11
- “드론”이란?, 찾기 쉬운 생활법령 정보, https://www.easylaw.go.kr/CSP/CnpClsMain.laf?csmSeq=1814&ccfNo=1&cciNo=1&cnpClsNo=1
- Drone debris found in Ukraine indicates Russia is using new technology from Iran, APNews, https://apnews.com/article/russia-iran-drones-shahed-ukraine-israel-strikes-3ddeb853845f0ea5f81878165af07bfd
- Russia deploys new high-speed drones amid claims they contain western parts, The Guardian, https://www.theguardian.com/world/2026/jan/23/russia-deploys-new-high-speed-drones-amid-claims-they-contain-western-parts
- CFR PART 89 - REMOTE IDENTIFICATION OF UNMANNED AIRCRAFT, eCRF.gov, https://www.ecfr.gov/current/title-14/chapter-I/subchapter-F/part-89
- Remote ID Toolkit, FAA, https://www.faa.gov/uas/getting_started/remote_id/Remote-ID-Toolkit-main.pdf
- Remote identification will become mandatory for drones across Europe, EASA, https://www.easa.europa.eu/en/document-library/general-publications/remote-identification-will-become-mandatory-drones-across
- CISA Releases New Guides to Safeguard Critical Infrastructure from Unmanned Aircraft Systems Threats, Cybersecurity&InfrastructureSecurityAgency, https://www.cisa.gov/news-events/news/cisa-releases-new-guides-safeguard-critical-infrastructure-unmanned-aircraft-systems-threats
🎉 뉴스레터를 읽고 풀어보는 재미있는 퀴즈! 🎉
아래 객관식 퀴즈의 정답을 구글폼에 입력하시면 추첨을 통해 스타벅스 기프티콘을 드립니다~!!
정답을 확인하려면 기사를 읽어야 합니다! 😄 많은 참여 부탁드려요😍😍
구글폼 바로가기 ♥ (https://forms.gle/rLKH4aaRYMXpEkYt6)
지난기사 바로가기 ♥ (https://maily.so/bob.news)
1. 2025년 하반기 발생한 '쿠팡(Coupang) 고객 정보 유출' 사고는 국내 최대 규모의 개인정보 유출 사례로 기록되었습니다. 전직 직원의 내부 시스템 권한 관리 취약점을 통해 무단 조회된 정황이 파악된 고객 정보는 총 몇 건인가요? - 12월호
- A. 약 4,500건
- B. 약 8만 건
- C. 약 2,700만 건
- D. 약 3,370만 건
2. 2025년 12월 초, React Server Components(RSC)에서 발견되어 CVSS 10.0의 최고 위험도 점수를 받은 취약점(CVE-2025-55182)의 별칭은 무엇인가요? - 12월호
- A. React2Shell
- B. FlightPollution
- C. NodeRCE
- D. PrototypePoison
3. 구글위협인텔리전스 그룹(GTIG)의 「Cybersecurity Forecast 2026」 보고서에서 언급된 내용으로, 직원들이 조직의 승인 없이 자율적인 AI 에이전트를 업무에 활용하여 발생하는 보안 위협 현상을 무엇이라 부르나요? - 12월호
- A. 프롬프트 인젝션 (Prompt Injection)
- B. 섀도 에이전트 (Shadow Agent)
- C. 다중 갈취 (Multi-Extortion)
- D. 온체인 C2 (On-chain C2)
4. KISA가 발표한 「2025년 사이버 위협 동향 및 2026년 전망」에 따르면, 2025년 국내 침해사고 신고 건수는 총 2,383건으로 전년 대비 약 몇 % 증가하였나요? - 1월호
- A. 15.2%
- B. 26.3%
- C. 37.0%
- D. 44.2%
5. 시각적으로는 동일하게 보이지만 실제로는 다른 유니코드 값을 가진 문자를 사용하여 사용자를 속이는 공격 기법으로, 최근 에너지 기업을 겨냥한 다단계 AiTM 피싱 캠페인에 사용된 이 방식은 무엇인가요? - 1월호
- A. 타이포스쿼팅 (Typosquatting)
- B. 호모글리프 (Homoglyph)
- C. 리트 스피크 (Leet Speak)
- D. 퓨니코드 하이재킹 (Punycode Hijacking)
6. 드론 제어 프로토콜 중 하나로, 과거에는 보안 옵션이 미흡해 공격 표면이 넓었으나 최신 버전부터는 '메시지 서명 기능'이 도입되어 송신자 인증과 무결성 검증이 가능해진 프로토콜은 무엇인가요? - 1월호
- A. MAVLink 2
- B. GNSS 2.0
- C. Remote ID
- D. DroneLink Plus
E D I T O R
🚨 BoB 가족들의 소중한 소식을 기다리고 있습니다. 🚨
함께 공유하고 싶은 소식, 수상 내역, 행사기타 소소한 일상까지 구독자분들의 공유를 기다립니다.
- 함께 만들어가는 BoB 뉴스레터 -
Best of the Best 11대 총동문회 뉴스레터팀
서울특별시 금천구 서부샛길 606 가산 대성디폴리스 A동 27층
의견을 남겨주세요