민간 인프라가 군사 표적으로 부상
NATO도 방위비 일부를 항만·네트워크 보호에 배정
NATO도 방위비 일부를 항만·네트워크 보호에 배정
이미지 확대보기현대전이 기업의 데이터센터, 항만, 정유시설, 해저케이블 등까지 겨냥하면서 국가안보와 기업보안의 경계가 빠르게 무너지고 있다.
과거 기업 보안은 경비 인력, 출입 통제, 사이버 방어 수준에 머무는 경우가 많았다. 그러나 전쟁과 지정학 갈등이 민간 인프라를 직접 공격하는 방식으로 바뀌면서 기업들은 군대가 담당해온 수준의 방어 능력까지 요구받고 있다.
문제는 이 비용을 기업이 부담해야 하는지, 정부가 보조해야 하는지를 둘러싼 논쟁이 본격화하고 있다는 점이다.
월스트리트저널(WSJ)은 전쟁 양상이 바뀌면서 기업 자산이 사실상 국가안보 인프라로 편입되고 있지만 이를 보호하는 비용과 책임을 누가 질지는 여전히 불분명하다는 지적이 나오고 있다고 4일(현지시각) 보도했다.
이란은 미국·이스라엘과의 전쟁에서 군사시설만 공격하지 않았다. 페르시아만에 묶인 유조선과 정유시설뿐 아니라 석유화학 시설, 민간 공항, 알루미늄 제련소, 해수 담수화 시설, 아마존 데이터센터까지 공격 대상이 됐다. 최근 몇 년 동안 우크라이나 발전소, 미국 전력회사, 발트해와 대만 주변 해저케이블도 공격이나 훼손 위험에 노출됐다.
◇기업 자산이 군사적 가치 가진 시대
민간 인프라는 예전에도 전쟁의 표적이 됐다. 하지만 초연결 경제에서는 기업 자산의 군사적 가치가 훨씬 커졌다.
데이터센터는 금융·통신·인공지능(AI) 서비스의 기반이다. 항만은 군수물자와 에너지, 식량, 산업 부품을 옮기는 물류 거점이다. 해저케이블은 국제 데이터 흐름의 핵심 통로이고, 담수화 시설은 중동 지역의 생존 인프라다.
이런 시설이 멈추면 기업의 손실에 그치지 않는다. 금융 결제, 물류, 전력, 통신, 식수 공급, 군사 작전까지 영향을 받을 수 있다. 기업 소유 자산이지만 기능은 공공재에 가까운 셈이다.
WSJ는 기업들이 낮은 비용과 쉬운 유지보수를 기준으로 설계해온 시설에 이제 훨씬 더 높은 수준의 방어가 필요해지고 있다고 진단했다. 일부 데이터센터와 담수화 시설은 강화 콘크리트로 보강하거나, 백업 시설을 이중화하거나, 지하로 이전해야 할 수도 있다. 모두 막대한 비용이 드는 조치다.
◇정부와 기업, 비용 부담 놓고 충돌
문제는 누가 돈을 낼 것이냐다.
독일에서는 민간기업과 지방 공공서비스 기업을 대표하는 강력한 단체들이 물리적 방호 기준 강화에 반발하고 있다. 새 기준을 맞추려면 일부 기업이 재정적으로 감당하기 어려운 비용을 떠안을 수 있다는 이유다.
뉴질랜드 정부도 핵심 인프라 기업과 이사진에게 사이버 보안 사고 책임을 물어 벌금을 부과하는 방안을 추진했지만 산업계의 저항에 부딪혔다.
보다폰의 노먼 하이트 글로벌 기업보안·복원력 책임자는 기업의 물리적 보안은 국방처럼 공공재 성격을 가진다고 지적했다. 민간기업이 국가 기능에 가까운 인프라를 운영한다면, 이를 보호하는 책임도 기업 혼자 감당하기 어렵다는 주장이다.
기업들은 정부가 어떤 방어를 제공할지, 민간 자산 보호에 어떤 보조금을 지원할지 명확히 해야 한다고 요구하고 있다. 반대로 정부는 민간 인프라 운영 주체가 최소한의 보안 책임을 져야 한다고 본다. 이 간극이 새로운 규제 갈등으로 번지고 있다.
◇NATO, 방위 개념 넓혔다
북대서양조약기구(NATO·나토)도 방위 개념을 넓히고 있다.
나토 32개국은 지난해 국내총생산(GDP)의 5%를 방위와 안보에 쓰는 목표에 합의했다. 이 가운데 1.5%는 전통적 군사비가 아니라 핵심 인프라와 네트워크 보호, 산업 역량, 철도·교량·항만 같은 군사 물류 기반 확충에 배정된다.
이탈리아 해군 제독인 주세페 카보 드라고네 나토 군사위원장은 이제 국방은 군사에만 국한되지 않는 포괄적 개념이어야 한다고 말했다.
이는 방위비의 성격이 달라지고 있음을 보여준다. 전투기와 미사일, 병력만으로는 현대 안보를 설명하기 어렵다. 데이터센터, 항만, 철도, 전력망, 통신망, 해저케이블도 전쟁 수행 능력의 일부가 됐다.
기업 입장에서는 이 변화가 비용과 규제의 형태로 돌아온다. 정부가 방위 개념을 넓힐수록 민간기업도 보안 기준 강화, 보고 의무, 사고 책임, 복원력 투자 요구를 더 많이 받을 가능성이 크다.
◇사이버 공격이 물리 피해로 연결
위협은 물리 공격에만 그치지 않는다.
기업들은 핵심 인프라의 관문 역할을 하는 데이터 네트워크도 방어해야 한다. 해커들은 단순히 자료를 훔치는 데서 멈추지 않고 건물 출입 시스템과 공장 제어장치, 댐 밸브, 환기 설비 같은 물리 시스템을 조작하려 한다.
미국 당국은 지난 4월 이란 해커들이 하드웨어와 소프트웨어를 연결하는 장비를 노려 미국 식수 시스템을 방해하려 했다고 경고했다. 1년 전에는 러시아 해커로 의심되는 세력이 노르웨이 수력발전댐의 밸브를 원격 조작한 사례도 있었다.
이탈리아 보안 스타트업 엑세인의 잔니 쿠오초 최고경영자(CEO)는 물리 시스템을 겨냥한 디지털 공격은 결국 물리적 문제를 만든다고 설명했다.
이는 제조업과 물류, 에너지 기업의 보안 개념을 바꾼다. 사이버 보안은 정보기술(IT) 부서의 일이 아니라 공장 가동, 항만 운영, 전력 공급, 식수 관리와 직결되는 운영 리스크가 됐다.
◇해저케이블·드론, 책임 소재 더 복잡
국경을 넘는 인프라는 책임 소재가 더 복잡하다.
해저 데이터 케이블과 에너지 파이프라인은 국제 해역을 지난다. 훼손이 발생했을 때 사고인지, 범죄인지, 국가가 배후인 사보타주인지 판단하기 어렵다. 법 집행기관과 군의 관할 다툼도 대응을 늦춘다.
발트해에서는 2023년 이후 여러 해저케이블과 전력 연결선이 선박에 의해 훼손됐다. 대만 주변 해역에서도 중국 국적 선박이나 제3국 선박이 관련된 케이블 단절 사례가 이어졌다.
드론도 새로운 부담이다. 지난해 러시아로 의심되는 드론이 유럽 공항 상공에 나타났을 때 각국 정부는 누가 대응해야 하는지 명확히 정리하지 못했다. 독일은 산업시설과 보안시설 상공에서 반복된 드론 비행 이후 군이 더 적극적으로 대응할 수 있도록 권한을 확대했다.
미국 교통부와 국토안보부에서 30년 동안 사이버·인프라 보안 업무를 맡았던 마크 글래서는 민간기업은 이중화와 감시, 복구 능력에 투자할 수 있지만 적대적 국가 활동을 억제하고 추적해 대응할 수 있는 것은 정부와 군뿐이라고 말했다.
◇항만도 사람·화물 넘어 소프트웨어까지 보호
항만은 이 변화가 가장 선명하게 드러나는 분야다.
미국 캘리포니아주의 롱비치항은 미국에서 가장 바쁜 항만 중 하나로 연간 3000억달러(약 459조원) 규모의 화물을 처리한다. 노엘 하세가바 롱비치항 최고경영자(CEO)는 “적대적 국가와 연계된 행위자들이 신기술을 활용하면서 항만의 위협 환경이 바뀌고 있다”고 말했다.
그는 올해 5월 매일 수만 건의 사이버 공격을 막기 위한 사이버 방어 운영센터를 출범시켰다. 화물 하역과 항만 운영이 디지털화되면서 컴퓨터 시스템뿐 아니라 그와 연결된 장비 전체가 공격 대상이 됐기 때문이다.
하세가바 CEO는 “5년 전 항만 보안은 사람과 화물 중심이었지만 지금은 사람과 화물, 소프트웨어, 하드웨어, 공역을 동시에 봐야 한다고 설명했다.
◇최고복원력책임자 부상
기업 내부의 책임 구조도 바뀌고 있다.
보안 위협이 커지면서 일부 전문가들은 최고복원력책임자(CRO)를 최고경영진에 포함해야 한다고 주장한다. 1990년대 금융시장 격변 이후 자금·위험 관리 책임자가 CEO 옆으로 올라간 것처럼 이제는 보안과 복원력 책임자도 이사회 수준에서 다뤄야 한다는 논리다.
기업 중단과 규제 위반, 사고 책임이 막대한 비용으로 이어질 수 있기 때문이다. 데이터센터가 멈추거나 항만 운영이 중단되면 손실은 해당 기업을 넘어 고객사와 금융기관, 정부 서비스로 번진다.
하이트 보다폰 책임자는 기업들이 핵심 인프라 보호에서 국가를 지원하길 기대한다면, 그에 맞는 인센티브가 필요하다고 지적했다. 보다폰 등 통신 관련 9개 기업은 지난해 유럽 당국과 나토에 해저케이블 보호를 위한 공공 지원과 정부 조율을 강화해달라고 요청했다.
◇규제는 이미 바뀌는 중
각국 규제도 움직이고 있다.
유럽연합(EU)은 러시아의 우크라이나 전면 침공 이후 핵심 인프라 취약성을 줄이기 위한 새 규정을 채택했다. 회원국들은 이달까지 국가 위험평가와 핵심 기관 목록을 제출해야 하지만, 상당수 국가는 일정이 늦어지고 있다.
영국은 19세기 전신 케이블 시대 법률에 기반한 해저 케이블 훼손 처벌 체계를 강화하는 법안을 추진하고 있다. 미국 등 다른 지역에서도 에너지와 금융 등 특정 분야를 중심으로 새 요건이 도입되고 있다.
미국 의회는 2018년 사이버보안·인프라보안국(CISA)을 설립해 정부기관과 민간 부문을 지원하도록 했지만, 최근 예산과 인력은 줄어든 것으로 전해졌다.
이번 변화는 2001년 9·11 테러 이후 공항 보안이 완전히 바뀐 것과 닮았다. 당시 공항은 효율성과 편의성을 중시하던 운영 방식을 뒤집고 보안을 최우선으로 재설계했다. 미국 정부도 국토안보 체계를 재편하고 수천억달러 규모의 예산을 투입했다.
이번에는 공항만이 아니다. 데이터센터, 항만, 통신망, 전력망, 담수화 시설, 정유공장, 해저케이블까지 거의 모든 인프라가 잠재적 표적이 됐다.
◇한국 기업에도 남의 일 아니다
이 흐름은 한국 기업에도 남의 일이 아니다.
한국은 반도체, 배터리, 조선, 정유·석유화학, 데이터센터, 항만, 통신망 등 글로벌 공급망과 직결된 산업 비중이 크다. 이들 시설은 평시에는 기업 자산이지만 위기 때는 국가 경제와 동맹 안보를 떠받치는 핵심 인프라가 된다.
특히 AI 확산으로 데이터센터의 중요성이 커지고, 해저케이블과 클라우드망 의존도가 높아질수록 민간기업의 보안 투자는 단순 비용이 아니라 사업 연속성과 고객 신뢰를 좌우하는 경쟁 요소가 된다.
기업은 정부가 어디까지 보호해줄 수 있는지 확인해야 하고 정부는 민간 인프라를 국가안보 체계 안에서 어떻게 지원할지 정해야 한다. 비용을 둘러싼 갈등은 피하기 어렵지만, 책임이 불분명한 상태로 위협이 커지는 것이 더 큰 위험이다.
김현철 글로벌이코노믹 기자 rock@g-enews.com













