[심층분석] 펜타곤이 이스라엘 첩보 위협을 '최고 등급'으로 올렸다 — 동맹국도 서로를 해킹하는 시대의 기술 이야기

동맹국이 동맹국을 감시한다고요?

2026년 6월, 좀 충격적인 뉴스가 하나 나왔어요. 미국 국방부(펜타곤) 산하 국방정보국(DIA, Defense Intelligence Agency)이 이스라엘의 대미 첩보 위협 수준을 '최고 등급(critical)'으로 올렸다는 소식인데요. 이스라엘이 누구죠? 중동에서 미국의 가장 가까운 동맹국이잖아요. 그 친한 친구를, 그것도 정보기관이 "이제 너 경계 대상 1순위야"라고 공식 문서에 박아 넣었다는 거예요.

보도에 따르면 DIA는 7페이지짜리 평가 보고서를 내부에 게시했고, 거기엔 "이스라엘의 휴민트(인적 첩보)와 기술적 수집 능력이 critical 수준에 도달했다"고 적혀 있다고 해요. 이스라엘 측은 "완전히 거짓이다, 우리는 적을 감시하지 동맹을 감시하지 않는다"고 펄쩍 뛰었고, 백악관도 "이 기사는 사실이 아니다"라고 부인했고요. 진실 공방은 정치권에 맡기더라도, 우리 테크 커뮤니티 입장에서 흥미로운 지점은 따로 있어요.

바로 "기술적 수집(technical collection)"이라는 단어예요. 첩보라고 하면 영화 속 트렌치코트 입은 스파이를 떠올리기 쉬운데, 요즘 첩보의 진짜 주인공은 코드와 네트워크, 그리고 스마트폰이거든요. 오늘은 이 뉴스를 핑계 삼아, 국가급 사이버 첩보가 기술적으로 어떻게 굴러가는지, 그리고 우리 개발자들이 여기서 뭘 배워야 하는지 풀어볼게요.

첩보는 크게 두 종류로 나뉘어요

뉴스에 나온 두 단어부터 쉽게 정리할게요.

• 휴민트(HUMINT, Human Intelligence): 쉽게 말해 '사람'으로 정보를 캐는 거예요. 내부자를 포섭하거나, 외교관으로 위장하거나, 사람을 직접 만나서 비밀을 빼내는 고전적 방식이죠.
• 시긴트(SIGINT, Signals Intelligence): '신호'를 가로채는 거예요. 통신, 이메일, 메신저, 무선 신호 같은 걸 도청·해킹하는 방식인데요. 여기서 한 단계 더 들어간 게 기술적 수집(technical collection)이에요. 상대방의 컴퓨터나 휴대폰에 직접 침투해서 데이터를 빼오는, 말하자면 '디지털 도청'이죠.

이게 뭐냐면, 옛날엔 도청기를 벽에 붙였다면 지금은 타깃의 스마트폰 자체를 도청기로 만들어버린다고 생각하면 돼요. 마이크, 카메라, 위치, 메시지, 통화 기록까지 전부 실시간으로 흘러나가는 거죠. 펜타곤이 걱정하는 "미국 고위 관료들에 대한 감시"가 바로 이 영역이에요. 트럼프 행정부의 내부 의사결정을 엿보려면, 그 사람들이 들고 다니는 기기를 노리는 게 가장 효율적이거든요.

이스라엘이 왜 '기술 첩보 강국'으로 불릴까

여기서 이스라엘이 등장하는 게 우연이 아니에요. 이스라엘은 사이버 보안·공격 기술에서 세계 최정상급 국가거든요. 그 중심에 8200부대(Unit 8200)가 있어요.

8200부대는 이스라엘군의 신호정보 부대인데, 우리로 치면 '엘리트 해커 양성소' 같은 곳이에요. 고등학생 때부터 수학·코딩 천재들을 뽑아 군 복무 동안 실전 사이버 작전을 시키고, 제대 후엔 그 인력들이 스타트업을 차려요. 실제로 이스라엘 사이버 보안 스타트업의 창업자 상당수가 8200 출신이에요. 군대가 곧 창업 사관학교인 셈이죠.

그리고 전 세계가 아는 그 회사, NSO 그룹의 페가수스(Pegasus)도 이 생태계에서 나왔어요. 페가수스가 뭐냐면, 스마트폰을 통째로 감염시키는 상용 스파이웨어예요. 무서운 건 감염 방식인데요.

제로클릭, 클릭조차 필요 없는 공격

보통 우리가 아는 해킹은 '낚시(피싱)'예요. 가짜 링크를 보내서 사용자가 누르게 만드는 거죠. 그래서 "수상한 링크 누르지 마세요"가 보안 1원칙이고요.

그런데 페가수스 같은 국가급 무기는 제로클릭(zero-click) 공격을 써요. 이게 뭐냐면, 사용자가 아무것도 안 눌러도 감염되는 거예요. 메시지 한 통이 도착하는 것만으로 감염이 끝나요. 심지어 그 메시지는 알림조차 안 뜨고 자동으로 삭제되기도 해요. 사용자는 자기 폰이 털린 줄도 모르는 거죠.

원리를 아주 쉽게 비유하면 이래요. 메신저 앱이 이미지나 영상을 받으면, 화면에 보여주려고 그 파일을 '해석(파싱)'하는 코드가 자동으로 돌아가요. 그 해석 과정에 숨은 버그(취약점)가 있으면, 공격자는 일부러 망가진 파일을 보내서 그 버그를 건드려요. 그러면 '파일을 보여주는 코드'가 오작동하면서 공격자의 명령을 대신 실행해버려요. 사용자의 손가락은 단 한 번도 화면에 닿지 않았는데 말이죠.

이런 공격에 쓰이는 핵심 재료가 제로데이(zero-day) 취약점이에요. 제로데이는 "개발사도 아직 모르는, 그래서 패치가 0일 동안 존재하지 않은 보안 구멍"을 말해요. 아무도 모르니까 백신도 못 막고, 업데이트로도 못 고쳐요. 국가급 첩보 기관들은 이런 제로데이를 수백만 달러씩 주고 사 모으거나 직접 발굴해요. 펜타곤이 말한 "기술적 수집 능력이 critical 수준"이라는 건, 이런 무기고를 충분히 갖췄다는 평가로 읽을 수 있어요.

동맹국 첩보는 사실 새삼스러운 일이 아니에요

뉴스를 보면 미국 관료들도 "동맹이든 적이든 서로 염탐하는 건 흔한 일"이라고 인정해요. 다만 이번엔 "통상적인 수준을 한참 넘어섰다"는 게 문제라는 거죠.

역사적으로도 사례가 많아요. 2013년 에드워드 스노든의 폭로 때, 미국 NSA가 독일 메르켈 총리의 휴대폰을 도청했다는 게 드러나 동맹국끼리 크게 싸웠죠. 즉, '우방이라서 안 한다'가 아니라, 들켰을 때 외교 문제가 되니까 조용히 한다가 현실에 가까워요. 첩보의 세계에서 신뢰와 감시는 동시에 존재하는 거예요.

기술 시장 관점에서 보면 이런 흐름이 상용 스파이웨어 산업을 키웠어요. 예전엔 이런 능력이 미국·러시아·중국 같은 강대국만의 것이었는데, 이제는 페가수스처럼 '제품'으로 팔리니까 돈만 있으면 중소 국가도 첩보 능력을 살 수 있게 됐어요. 그래서 미국은 NSO 그룹을 제재 명단에 올리기도 했고, 애플과 구글은 자사 OS에 잠금 모드(Lockdown Mode) 같은 고강도 보안 기능을 넣기 시작했어요. 위협이 산업화되니까, 방어도 기본 기능으로 들어온 거죠.

그래서, 한국 개발자에게 주는 시사점

"나는 국가 기밀 다루는 사람도 아닌데 이게 나랑 무슨 상관이야?" 싶을 수 있어요. 그런데 국가급 공격 기법은 시간이 지나면 그대로 일반 범죄로 흘러내려요. 오늘의 첩보 기술이 내일의 랜섬웨어 수법이 되는 거죠. 그래서 우리가 챙길 게 분명히 있어요.

1) 개인·팀 차원의 디바이스 보안

• OS 업데이트는 보안 작업이에요. 제로데이는 결국 패치로 막혀요. "나중에 업데이트해야지" 미루는 그 며칠이 공격 창구예요. 자동 업데이트를 켜두세요.
• 민감한 직무라면 잠금 모드를 고려하세요. 아이폰의 Lockdown Mode는 메시지 첨부 처리나 일부 웹 기능을 일부러 제한해서, 제로클릭 공격이 파고들 '입구'를 줄여줘요. 약간 불편한 대신 공격 표면(attack surface)이 확 줄어요.
• 메신저 분리. 업무용·개인용 기기와 계정을 나누는 것만으로도 한 번 뚫렸을 때 피해 범위가 줄어요.

2) 서비스를 만드는 입장에서

• 파싱 코드를 의심하세요. 위에서 봤듯 공격은 '외부에서 들어온 데이터를 해석하는 곳'에서 터져요. 이미지 처리, 파일 업로드, 메시지 렌더링 같은 부분은 신뢰할 수 없는 입력으로 간주하고, 메모리 안전 언어(Rust 등)나 검증된 라이브러리, 샌드박스 처리를 쓰는 게 좋아요.
• 제로트러스트(Zero Trust)를 진지하게. 이게 뭐냐면, "사내망 안이니까 믿는다"를 버리고 모든 요청을 매번 검증하는 사고방식이에요. 누군가의 기기가 이미 감염됐다고 가정하고 설계하면, 한 명이 뚫려도 전체가 무너지지 않아요.
• 공급망 보안. 요즘 공격자는 직접 들어오기보다 여러분이 쓰는 오픈소스 패키지나 빌드 도구에 악성 코드를 심어요. 의존성 잠금 파일을 쓰고(예: package-lock.json, uv.lock), SBOM(소프트웨어 자재 명세서)을 관리하고, 의심스러운 신규 패키지 업데이트는 한 박자 늦게 받는 습관이 방어가 돼요.

학습 로드맵 제안

공격을 이해해야 방어를 잘해요. 순서대로 추천하면요.
1. OWASP Top 10으로 웹 취약점의 기본기를 잡고요.
2. 모바일 보안이 궁금하면 OWASP MASVS(모바일 앱 보안 검증 표준)를 훑어보세요.
3. 메모리 취약점의 원리(버퍼 오버플로 등)를 CTF 같은 합법적 연습 환경에서 손으로 익혀보세요.
4. 마지막으로 위협 모델링을 배워서 "내 서비스에서 공격자라면 어디를 노릴까"를 스스로 그려보는 거예요.

마무리: 신뢰의 시대에서 검증의 시대로

이번 뉴스의 진실 여부는 시간이 가려줄 거예요. 하지만 분명한 흐름이 하나 보여요. "누구를 믿느냐"가 아니라 "무엇을 검증했느냐"가 보안의 기준이 되는 시대라는 거예요. 가장 친한 동맹조차 위협 등급 최고로 분류되는 세상에서, 우리가 만드는 시스템도 "내부니까 안전하다"는 가정을 버려야 하는 거죠.

동시에 이 사건은 사이버 역량이 곧 국력이라는 점도 보여줘요. 8200부대 출신들이 만든 스타트업 생태계처럼, 보안 인재를 어떻게 키우느냐가 한 나라의 기술 경쟁력을 좌우하고 있어요. 우리에게도 시사하는 바가 크고요.

여러분은 어떻게 생각하세요?

• 동맹국 사이의 첩보, '어쩔 수 없는 현실'일까요, 아니면 '선을 넘은 배신'일까요?
• 페가수스 같은 상용 스파이웨어 산업, 규제로 막을 수 있을까요? 아니면 이미 늦었을까요?
• 여러분의 팀은 "내 기기가 이미 감염됐다"는 가정 아래 설계되어 있나요, 아니면 여전히 "사내망이니까 괜찮아"에 머물러 있나요?