전 세계에서 활동 중인 국가 배후 해킹 단체 가운데 중국을 기반으로 한 조직이 가장 많은 것으로 조사됐다. 이처럼 조직 수에서 압도적 우위를 보이면서 중국발 사이버 위협은 일시적 현상을 넘어 구조적·장기적 문제로 굳어지고 있다. 공격 역시 단순 정보 탈취를 넘어 국가 기간망에 장기간 잠복하는 방식으로 고도화되면서 각국의 경계가 커지는 양상이다.
◇ 중국발 해킹, 양적 확대 넘어 전략적 위협으로
3일 글로벌 보안 기업 포어스카우트(Forescout) 산하 베데레랩스(Vedere Labs)가 최근 발표한 '2025 위협 결산 보고서(2025 Threat Roundup)'에 따르면, 지난해 기준 전 세계에서 활동 중인 국가 배후 해킹 조직은 중국이 210개로 가장 많았다. 이는 러시아(112개)의 약 2배, 이란(55개)의 약 4배에 해당하는 수치다. 중국·러시아·이란 3국이 전 세계 국가 배후 위협 그룹의 45%를 차지했으며, 이 가운데 중국이 단독 1위를 기록했다.
해당 수치는 공격 횟수가 아니라 포어스카우트가 추적 중인 '고유한 해커 조직(Actor Groups)' 수를 기준으로 집계된 것이다. 보고서는 2025년 한 해 동안 이들 위협 그룹이 전 세계 178개국을 공격 대상으로 삼았으며, 정부·금융·통신 산업이 가장 집중적으로 노출됐다고 분석했다. 조직 수와 활동 범위 모두에서 중국의 사이버 역량이 구조적으로 확대되고 있다는 의미다.
중국발 사이버 공격의 강도는 인접 국가인 대만에서 가장 극명하게 드러난다. 대만 국가안전국(NSB)은 올해 1월 발표한 '2025년 중국의 대(對)대만 핵심 인프라 사이버 해킹 위협 분석' 보고서에서 2025년 기준 대만 정부 인프라를 겨냥한 중국발 사이버 공격이 하루 평균 263만회에 달했다고 밝혔다. 이는 통계 집계를 시작한 2023년 대비 113% 증가한 수치로, 2024년과 비교해도 6% 늘었다.
NSB는 중국 해커 조직들이 대만 정부와 핵심 인프라를 대상으로 소프트웨어·하드웨어 취약점 공격, 디도스(DDoS), 사회공학적 공격, 공급망 공격 등을 병행하고 있다고 설명했다. 특히 2025년 하반기 이후 공격 양상이 단순 정보 탈취에서 벗어나 에너지·병원·금융 등 국가 기간망(CI)을 겨냥하는 방향으로 이동했다고 지적했다. 정치·군사적 긴장이 고조되는 시점과 공격 강도가 맞물려 나타난다는 점에서, 사이버 공격이 사실상 압박 수단으로 활용되고 있다는 분석이다.
◇ 잠복·AI 결합한 공격 확산… 한국도 영향권
보안 업계는 중국발 해킹의 위험 요인으로 '질적 진화'를 꼽고 있다. 중국 연계 해킹 조직들은 단기간의 파괴나 금전 탈취보다, 향후 분쟁이나 위기 상황에서 즉각 활용할 수 있도록 전력망·통신망 등 핵심 시스템 내부에 숨어드는 이른바 '전진 배치(pre-positioning)' 전략을 강화하고 있다는 평가다. 장기간 잠복하며 접근 권한을 유지하는 방식이 핵심이다.
여기에 인공지능(AI)을 활용한 자동화 공격이 빠르게 결합되고 있다. 베데레랩스에 따르면 정찰, 취약점 탐색, 데이터 탈취 과정의 상당 부분을 AI가 수행하면서 공격 속도와 규모가 동시에 확대되고 있다는 분석이다. 시스템에 이미 설치된 정상 관리 도구를 악용하는 '리빙 오프 더 랜드(Living-off-the-Land)' 기법과, 대중적으로 사용되는 소프트웨어를 매개로 한 공급망 공격이 함께 활용되면서 탐지와 대응의 난이도는 더욱 높아지고 있다.
이 같은 장기 잠복형 공격은 한국에서도 실제 피해로 이어졌다. 정부 공무원 업무관리 시스템인 '온나라 시스템'은 2022년 9월부터 2025년 7월까지 약 3년간 해킹에 노출된 사실이 뒤늦게 드러났다. 국가정보원 조사에 따르면, 해커들이 공무원의 행정업무용 인증서(GPKI)와 비밀번호를 탈취해 합법 사용자로 위장, 정부 행정망에 접근했다. 공격 배후는 특정 국가로 단정되지 않았지만, 한글을 중국어로 번역한 기록과 대만 해킹 시도 정황 등이 확인돼 중국 연계 가능성에 무게가 실리고 있다. 또 지난 2023년 중국 추정 해커 조직이 국가 위성통신망에 무단 침입해 정부 행정망으로의 추가 침투를 시도한 사례도 적발됐다.
국정원은 지난 2022~2024년 한국을 겨냥한 국가 배후 해킹의 양적 비중은 북한이 가장 컸지만, 공격 수법의 심각도를 반영해 재분류할 경우 중국이 차지하는 위협 비중은 20%를 넘어선다는 내부 분석도 공개한 바 있다.
박춘식 아주대 사이버보안학과 교수는 "국가대국가 사이버 공격은 이미 현대전의 주요 수단으로 자리 잡았지만, 외교적 문제로 인해 공격 역량을 공개적으로 드러내지 않을 뿐 대부분의 국가가 공격과 방어를 병행하고 있다"며 "핵무기와 달리 사이버 공격은 이를 통제하거나 제한할 국제적 조약이나 구속력이 사실상 없는 영역"이라고 말했다. 그러면서 "이런 구조에서는 각국이 공격과 방어를 모두 포함한 사이버 역량을 키울 수밖에 없다"며 "한국 역시 민간 방어 역량을 끌어올리는 것과 동시에 국가 차원의 사이버전 공격 대응 능력을 체계적으로 축적해야 한다"고 강조했다.