본문 바로가기
국제

[체코 사이버보안 경고] 중국 데이터 전송, 왜 ‘고위험’으로 분류됐나?

by mishika 2025. 9. 12.
반응형

2025년 9월, 체코의 국가 사이버·정보보안국(NÚKIB)이 중국을 향한 강도 높은 경고를 발령했습니다. 이번 조치의 핵심은 중국 본토, 홍콩, 마카오를 경유한 데이터 전송 및 원격 관리 행위는 ‘고위험(High Risk)’으로 간주한다는 것입니다. 단순한 기술적 주의가 아닌, 사실상 중국과 관련된 모든 IT·통신 인프라를 잠재적 위협 요소로 규정한 것이지요.

이 경고는 체코 정부가 올해 초 중국 해커 그룹 APT31을 공식 지목한 사건과 맞물려 있습니다. APT31은 중국 정보기관과 연계된 해킹 조직으로 알려져 있으며, 체코 외교부 네트워크를 2022년부터 장기간 공격해 온 것으로 조사되었습니다. 결국 이번 경고는 사이버 보안과 외교, 더 나아가 지정학적 긴장이 결합된 결과라 할 수 있습니다.

체코의 ‘APT31 공격’ 공개와 의미

체코 외교부는 지난 5월, 자국 외교 시스템이 중국 해커들의 장기적 공격 대상이었다고 밝혔습니다. 체코 정부는 국가 안보·군사·정보기관이 공동 조사한 결과, “책임 주체에 대해 높은 수준의 확신(high degree of certainty)”을 확보했다고 발표했습니다. 그 주체가 바로 중화인민공화국이었습니다.

APT31은 단순한 범죄 해커 집단이 아닙니다. 미국, 영국, 프랑스 등도 이미 수차례 이 조직을 중국 국가안보부(MSS)와 연계된 사이버 작전팀으로 지목했습니다. 체코는 유럽 내에서 러시아 견제와 중국 대응을 동시에 추진하는 국가로 꼽히는데, 이번 경고는 그런 전략적 배경을 반영합니다.

NÚKIB 국장 루카슈 킨트르는 발표에서 중국 외교부 왕이 장관의 발언까지 인용하며 정치적 메시지를 던졌습니다. 왕이 장관은 7월, “중국은 러시아가 우크라이나 전쟁에서 지는 것을 원하지 않는다”라고 언급했는데, 이는 서방 진영과 중국 간 갈등 구도를 선명하게 보여주는 발언이었습니다. 체코는 이를 사이버보안 위협의 맥락과 연결시켜 중국을 “잠재적 적대 행위자”로 명확히 규정한 셈입니다.

중국 법체계가 안보 위협이 되는 이유

체코의 경고에서 특히 주목할 점은 중국 법체계가 근본적으로 데이터 보안에 취약성을 제공한다는 부분입니다.

  1. 중국 국가정보법(2017년 제정)
    • 모든 중국 기업과 개인은 국가 정보기관의 요청에 협조해야 할 법적 의무가 있습니다.
    • 이는 해외에 있는 중국 기업의 지사나 직원까지 포함됩니다.
  2. 중국 사이버보안법
    • 중국 내 서버를 통해 전송되는 데이터는 사실상 중국 당국이 언제든 접근할 수 있는 구조입니다.
  3. 데이터 해외 이전 제한
    • 중국을 경유하는 데이터는 보안 심사 대상이며, 필요 시 정부가 직접 열람할 수 있습니다.

따라서, 체코 입장에서 중국 클라우드 서비스나 통신 장비를 사용한다는 것은 곧 중요한 행정·외교·국가 기반 서비스가 중국 당국의 무제한 감시망에 들어갈 수 있다는 뜻입니다. 단순히 해킹 위험을 넘어, 법제도를 통한 합법적 정보 수집까지 우려하는 상황입니다.

유럽 각국의 중국 기술 제한 조치

체코의 이번 결정은 유럽 내 확산되는 “중국 기술 배제 흐름”의 일부입니다.

  • 영국 : 2020년, 화웨이 장비 전면 금지. 초기에는 제한적 허용이었으나 보안 우려가 커지자 정책을 급선회했습니다.
  • 독일 : 2026년까지 모든 5G 핵심망에서 화웨이·ZTE 장비 제거 명령.
  • 프랑스 : 사실상 화웨이 장비를 11% 이하로 제한.
  • 스웨덴 : 화웨이·ZTE 장비 전면 금지. 기존 장비도 철거 명령.
  • 벨기에·네덜란드·이탈리아 : 잇따라 중국 해커 조직을 공식 지목.

이처럼 유럽 각국은 ‘중국산 장비는 싸고 빠르지만, 장기적으로 안보 리스크가 크다’는 공감대를 형성했습니다. 이는 단순한 통신 시장 경쟁을 넘어, 서방과 중국의 디지털 패권 전쟁의 일환으로 볼 수 있습니다.

체코 경고의 특징: ‘금지’ 아닌 ‘평가 의무’

흥미로운 점은, NÚKIB의 이번 조치가 직접적인 금지령은 아니라는 것입니다. 법적으로 특정 장비 사용을 막는 대신, 모든 공공기관·규제 대상 기업에게 “조달과 보안 평가 과정에서 반드시 중국 관련 위험을 고려하라”라고 요구하는 방식입니다.

이는 체코가 EU 규범과 NATO 규범을 동시에 고려한 절충안으로 해석됩니다. 즉, 법적으로 강제하지 않으면서도 실질적으로는 중국 기술 배제를 유도하는 효과를 거두는 것이지요.

한국에 주는 시사점

한국 역시 이 문제에서 자유롭지 않습니다. 한국의 5G·6G 네트워크 장비, 클라우드, 반도체·배터리 산업은 글로벌 공급망과 깊이 얽혀 있습니다. 만약 중국산 장비나 솔루션을 무분별하게 도입할 경우, 기술 유출 위험뿐 아니라 한·미 안보 협력에도 타격이 갈 수 있습니다.

특히 다음과 같은 부분이 중요합니다:

  1. 데이터 주권 확보
    • 모든 공공·민간 기관은 데이터가 어디로 저장·전송되는지 명확히 파악해야 합니다.
    • 한국 클라우드 기업의 경쟁력 강화가 필수입니다.
  2. 공급망 리스크 관리
    • 단순 가격 경쟁력이 아닌, 보안 신뢰성을 기준으로 장비·서비스를 선택해야 합니다.
  3. 국가 기술력 강화
    • 삼성전자·LG전자·SK하이닉스 같은 대기업이 글로벌 보안 표준을 선도할 수 있도록 정부 차원의 지원이 필요합니다.
    • 이는 단순히 기업 경쟁력이 아니라, 국가 안보 차원의 ‘기술 자립’ 문제입니다.

결론

체코의 이번 조치는 단순한 사이버보안 경고가 아닙니다. 중국의 법체계, 정치적 행보, 해킹 활동, 그리고 유럽 각국의 대응까지 복합적으로 얽힌 지정학적 경고라 할 수 있습니다.

사이버보안은 이제 개별 기업의 IT 리스크가 아니라 국가 안보와 경제 주권의 핵심 변수가 되었습니다. 한국도 체코의 사례를 교훈 삼아, 데이터 보안과 기술 자립을 국가 전략의 최우선 과제로 삼아야 할 시점입니다.

반응형
저작자표시 비영리 동일조건 (새창열림)

관련글

티스토리툴바