아시아 공공 부문이 사이버 안정성을 재고하는 이유

• 아시아 전역의 공공 부문 기관은 디지털 전환을 가속화하고 있으며, 클라우드 서비스, API, 상호 연결된 디지털 인프라에 대한 의존도를 지속적으로 확대하고 있습니다.

• 이러한 변화로 사이버 리스크는 급격히 증가했습니다. 최근 몇 년간 이 지역에서는 수백억 건에 달하는 웹 애플리케이션 및 API 공격과 함께 수조 건 규모의 레이어 7 분산 서비스 거부 공격(DDoS)이 발생했습니다.

• AI 기반 공격, 소프트웨어 공급망 의존성, 지정학적 사이버 활동이 맞물리면서, 기존의 경계 중심 방어 체계로는 더 이상 통제할 수 없는 지속적이고 구조적인 위협이 형성되고 있습니다.

• 이에 따라 사이버 보안 전략은 절대적인 예방 중심에서 벗어나, 공격이 진행 중인 상황에서도 안정적인 운영을 유지할 수 있는 사이버 안정성, 연속성, 확산 차단, 운영 지속성에 초점을 맞추는 방향으로 전환되고 있습니다.

• 아시아 공공 부문은 현대적인 아키텍처, 협업, 그리고 적응형 보안 모델을 통해 사이버 안정성을 강화할 수 있습니다.

아시아 전반에서 공공 부문 기관들은 시민 서비스 현대화, 핵심 인프라 강화, 경제 성장 지원을 목표로 디지털 전환을 빠르게 추진하고 있습니다. 정부는 신원 확인 서비스와 헬스케어 시스템부터 교통망, 금융 플랫폼에 이르기까지 광범위한 영역을 디지털화하고 있습니다.

이러한 변화는 효율성과 확장성을 제공했지만, 동시에 새로운 형태의 사이버 리스크도 초래했습니다. 시스템 간 연결성이 높아지면서 공격자는 더 이상 단일 진입 지점에 국한되지 않습니다. API 감염, 공급업체 보안 사고 또는 피싱 공격 하나만으로도 정부 전반의 디지털 생태계에 연쇄적인 장애가 발생할 수 있습니다. 

한편 공격자 역시 빠르게 진화하고 있습니다. AI를 활용한 공격, 대규모 DDoS 활동, 공급망 침해는 점점 더 빈번해지고 있으며, 이를 차단하는 것 또한 갈수록 어려워지고 있습니다.

Akamai는 새로운 백서인 Global Threats, Regional Solutions: Securing Asia’s Public Sector with Akamai를 통해 이러한 요인이 아시아 지역의 사이버 보안 리스크를 어떻게 재편하고 있는지, 그리고 단순한 예방을 넘어 안정성이 현대 정부 보안 전략의 핵심 요구사항으로 자리 잡은 이유를 분석합니다. 이 블로그 게시물은 해당 백서의 핵심 내용을 요약한 것입니다.

아시아 전역의 공공 부문 조직은 세계에서 가장 활발한 사이버 위협 환경 중 하나에서 운영되고 있습니다. 백서에 인용된 Akamai 데이터에 따르면, 2024년 한 해 동안 이 지역에서는 800억 건이 넘는 웹 애플리케이션 공격이 발생했으며, 이 중 110억 건은 현재 다수의 정부 디지털 서비스를 뒷받침하는 API를 표적으로 한 공격이었습니다.

DDoS 공격은 더욱 심각한 양상을 보입니다. 2023년부터 2024년까지 아시아 태평양(APAC) 지역에서는 7조 4천억 건 이상의 레이어 7 DDoS 공격이 기록되어, 전 세계에서 두 번째로 많은 공격을 받은 지역이 되었습니다. 이러한 공격은 시스템을 마비시키거나 보안팀의 주의를 분산시키고, 필수 공공 서비스를 담당하는 기관을 대상으로 금전을 요구하는 수단으로 다른 공격 기법과 결합해 활용되는 경우가 점점 늘고 있습니다.

이러한 리스크를 더욱 증폭시키는 요인으로는 다음과 같은 요소들이 있습니다.

• 정찰을 자동화하고, 정교한 피싱 및 사칭 캠페인을 생성하며, 제로데이 취약점 탐색을 가속화하는 AI 기반 공격

• 기존의 정부 경계를 넘어 공격 표면을 확장시키는 소프트웨어 공급망 의존성

• 교란, 첩보 수집, 영향력 행사 등을 목적으로 정부 네트워크와 핵심 인프라를 겨냥하는 지정학적 사이버 활동

그 결과, 공공 부문 시스템을 겨냥한 사이버 공격은 더 이상 드물거나 단발적인 사건이 아니게 되었습니다. 이들은 지속적이고 적응적이며, 경제 및 국가 안보 리스크와 점점 더 긴밀하게 얽혀 있습니다.

공공 부문 시스템이 점점 더 디지털로 상호 연결되면서, 데이터와 트래픽이 다양한 환경을 어떻게 이동하는지에 대한 가시성을 유지하는 일은 갈수록 어려워지고 있습니다. 정부 기관은 이제 클라우드 플랫폼, 온프레미스 인프라, 서드파티 서비스, API를 혼합해 필수 서비스를 대규모로 제공하고 있습니다.

이러한 복잡성은 가시성 격차를 만들어냅니다. 파트너, 계약업체, 시민에게 노출된 API가 제대로 파악되지 않거나 일관되게 모니터링되지 않는 경우도 적지 않습니다. 동시에, 내부 트래픽에 대한 가시성이 제한되면 공격자가 침투한 이후의 측면 이동을 탐지하기가 어려워집니다. 이런 환경에서는 위협이 장기간 탐지되지 않은 채로 남아 운영 중단, 데이터 노출, 컴플라이언스 준수 실패로 이어질 수 있습니다.

문제의 핵심은 단순히 공격의 규모가 아니라, 공격이 상호 연결된 시스템 전반을 어떻게 이동하는지를 파악하기 어렵다는 점입니다. 애플리케이션, 네트워크, 아이덴티티 전반에 걸친 포괄적인 가시성이 없다면, 보안팀은 이미 인시던트가 발생한 이후에야 대응하는 사후 대응 방식에 머무를 수밖에 없습니다.

가시성 격차는 세분화된 보안 접근 방식으로 인해 더욱 복잡해지는 경우가 많습니다. 많은 공공 부문 환경에서는 보안 책임이 기관, 부서, 외부 벤더 전반에 분산되어 있으며, 각 주체가 서로 다른 툴, 정책, 우선순위를 기준으로 운영하고 있습니다.

이러한 세분화는 기존 경계 방어 및 정적 제어의 효과를 제한합니다. 방어 체계가 유기적으로 연계되지 않으면, 공격자는 시스템 간의 틈을 악용해 한 환경에서 다른 환경으로 거의 저항 없이 이동할 수 있습니다. 상호 의존성이 높은 정부 생태계에서는 국지적인 유출 사고조차 광범위한 서비스 중단이나 시스템 전반의 리스크로 확대될 수 있습니다.

사이버 위협이 지속적으로 발전함에 따라, 이러한 구조적 한계는 공공 부문 조직이 예방만으로 보안을 유지하기 점점 더 어렵게 만듭니다. 공격 속도와 대응 역량 간의 격차가 커지면서, 보안 전략의 중심은 안정성, 위협 차단, 서비스 연속성을 중시하는 모델로 빠르게 이동하고 있습니다.

아시아 전역의 공공 부문 조직에서 사이버 보안의 목표는 변화하고 있습니다. 지속적인 공격, 확대되는 상호 의존성, 빠르게 진화하는 공격자 전술이 공존하는 환경에서는 완전한 예방만을 기대하는 접근 방식은 더 이상 현실적이지 않습니다. 경계 기반 방어의 시대는 끝났습니다. 이제 안정성이 기본 전제가 되어야 합니다.

사이버 안정성은 문제를 바라보는 관점을 전환합니다. 모든 시스템을 침해로부터 완벽히 보호할 수 있다고 가정하기보다, 공격이 발생했을 때에도 운영을 지속할 수 있도록 하는 데 우선순위를 둡니다. 이는 피해 범위를 제한하고, 측면 이동을 차단하며, 장기간의 공격 상황에서도 핵심 서비스를 유지하는 것을 포함합니다.

이러한 전환은 시민 서비스, 국가 핵심 인프라, 경제적 안정성을 책임지는 조직일수록 더욱 중요합니다. 단 한 번의 서비스 중단만으로도 헬스케어 서비스 제공, 교통 시스템, 공공 설비, 금융 운영에 심각한 영향을 미칠 수 있습니다. 이 환경에서 가동 중단은 단순한 IT 문제가 아니라 공공의 신뢰에 직접적인 영향을 미치는 사안입니다.

규제 및 지정학적 압박 역시 이러한 현실을 강화하고 있습니다. 역내 각국 정부는 데이터 주권, 인시던트 공개, 운영 연속성에 대한 요구 수준을 지속적으로 높이고 있습니다. 컴플라이언스는 중요한 기준선을 제공하지만, 그것만으로 안정성을 보장하지는 않습니다. 보안 전략은 점검표 수준을 넘어, 적응형 방어, 지속적인 검증, 장애를 전제로 설계된 아키텍처를 포함해야 합니다.

안정성을 구축하려면 코드 단계부터 런타임까지 애플리케이션을 보호하고, 클라우드, 엣지, 온프레미스 환경 전반에 걸쳐 일관된 보안 통제를 적용해야 합니다. 또한 유출을 전제로 네트워크를 설계해, 공격이 성공하더라도 위협을 차단하고 핵심 운영을 유지할 수 있도록 해야 합니다. 이러한 원칙은 공공 부문 조직이 현대적인 보안 전략을 평가하는 데 있어 점점 더 핵심적인 요소가 되고 있습니다.

전 세계적으로 지속적인 사이버 압박에 직면한 정부들은 실제 환경에서 안정성 원칙을 적용하기 시작했습니다. 고위험 인시던트 상황에서 공공 부문 조직을 지원해 온 Akamai의 경험은, 결정적인 순간에 효과적인 사이버 안정성이 어떤 모습이어야 하는지에 대한 인사이트를 제공합니다.

러시아의 우크라이나 침공 당시, Akamai는 지속적인 사이버전에 대응하기 위해 우크라이나 정부의 웹사이트, 애플리케이션, API, 인프라를 보호하는 사이버 보안 지원을 제공했습니다. 끊임없는 DDoS 캠페인, 악성 봇 활동, 애플리케이션 레이어 공격이 이어졌음에도 불구하고, 핵심 디지털 서비스는 장기간의 혼란 속에서도 운영을 지속했습니다.

미국에서는 Akamai가 연방 기관 및 국방부와 긴밀히 협력해 제로 트러스트 기반의 ID, 인증정보, 접근 관리(ICAM) 기능을 구축했습니다. 이를 통해 계약업체 및 파트너와의 안전한 협업을 가능하게 하는 동시에, 최소 권한 접속과 지속적인 검증을 적용했습니다. 여기에 웹 애플리케이션 보안, DNS 보호, 마이크로세그멘테이션을 결합해 복잡한 하이브리드 환경 전반의 노출 범위를 추가로 줄였습니다.

이와 유사한 접근 방식은 전 세계로 확산되고 있습니다. 영국에서는 최근 Akamai가 P3M Works와 협력해 정부 및 국방 공급망 전반으로 제로 트러스트 ICAM 역량을 확장했습니다. 호주에서는 마이크로세그멘테이션을 도입해 민감한 시스템을 격리하고, 유출이 확산되기 전에 차단함으로써 핵심 인프라를 보호하는 파트너십이 추진되었습니다.

이러한 사례 전반에서 공통적으로 나타나는 핵심은 단일한 툴이 아니라 아키텍처 차원의 전환입니다. 보안 전략은 경계에서의 차단에만 의존하는 대신, 침해를 전제로 설계하고 영향 범위를 제한하며 운영 연속성을 유지하는 데 초점을 맞추고 있습니다.

아시아 공공 부문이 대규모 디지털 전환을 지속함에 따라, 사이버 안정성은 개별 기관을 넘어선 협력에 점점 더 의존하게 됩니다. 시스템 전반의 사이버 리스크는 정부, 핵심 업계, 민간 부문 파트너 전반에 걸쳐 존재하기 때문에, 협력은 더 이상 정책적 이상이 아니라 현실적인 필요가 되고 있습니다.

역내에서 사이버 안정성을 강화하는 데 도움이 되는 접근 방식은 다음과 같습니다.

• 산업별 정보 공유 분석 센터(ISAC)와 국가 차원의 사이버 교류 체계를 통한 정보 공유 및 조기 경보로, 새로운 위협을 보다 빠르게 탐지하고 대응합니다.

• 에너지, 제조, 통신, 금융 등 국가 경제를 뒷받침하는 업계 전반에 제로 트러스트 원칙을 폭넓게 적용합니다.

• 공공과 민간 부문 간 공동 모의훈련, 교육 프로그램, 연구 협력을 통해 인력과 역량을 강화합니다.

이러한 노력은 기존 통제를 대체하기 위한 것이 아닙니다. 가시성을 높이고 피해 범위를 줄이며, 상호 연결성이 높은 환경에서 보다 조율된 대응을 가능하게 함으로써 기존 통제를 강화합니다. 이를 통해 공공 부문 조직은 인시던트 발생 시 보다 효과적으로 대응할 수 있고, 완전히 예방할 수 없는 공격의 영향을 제한할 수 있습니다.

아시아 공공 부문이 직면한 사이버 위협의 속도는 늦춰지고 있지 않습니다. AI 기반 공격, 소프트웨어 공급망 취약점, 지정학적 사이버 활동, 금융 사기가 결합되면서 기존의 보안 가정을 근본적으로 흔들고 있습니다. 이러한 환경에서 사이버 안정성은 더 이상 선택 사항이 아닙니다.

Akamai의 백서 전문에서는 실제 공격 데이터, 글로벌 정부의 대응 경험, 핵심 시스템 보호를 위한 실질적인 접근 방식을 바탕으로, 아시아 공공 부문 조직이 이러한 현실에 어떻게 적응할 수 있는지를 살펴봅니다. 또한 운영 연속성 유지, 공공 신뢰 보호, 시스템 전반의 리스크 감소를 위해서는 처음부터 사이버 안정성을 전제로 설계된 보안 전략이 필요하다는 점을 제시합니다.