케냐의 디지털 시장 개요

케냐는 아프리카의 대표적인 디지털 경제 강국으로 부상하고 있다. 2000년대 초반부터 관련 인프라 투자를 바탕으로 2016년부터 케냐 디지털 시장은 연평균 10.8%의 성장률을 기록했다. 케냐는 '실리콘 사바나(Silicon Savannah)'라는 별칭을 얻으며 아프리카의 ICT 허브 국가로 주목받고 있다.

성장의 중심에는 모바일 기술이 자리하고 있다. 대표적인 사례는 케냐 최대 통신사 사파리콤(Safaricom)이 운영하는 모바일 금융 서비스 '엠페사(M-PESA)'다. 2025년 3월이면 서비스 도입 18주년을 맞이하는 엠페사는 은행 계좌 유무와 관계없이 송금, 결제, 소액 대출, 저축 등의 서비스를 제공하며, 케냐 금융 생태계에서 필수적인 역할을 하고 있다.

정부 정책 지원도 디지털 무역 환경 조성에 큰 역할을 했다. 케냐 정부는 '국가 전자상거래 전략(Kenya National E-Commerce Strategy)'을 통해 글로벌 트렌드에 맞춰 디지털 거래를 활성화하는 데 집중하고 있다. 또한, '국가 ICT 마스터플랜(National ICT Masterplan)'을 수립하고, 첨단 기술 단지 '콘자 테크노폴리스(Konza Technopolis)'를 조성하는 등 중장기적인 디지털 경제 성장 기반을 마련하고 있다. 케냐의 국가 ICT 정책(National ICT Policy)은 2030년까지 ICT 부문의 기여도를 국내총생산(GDP)의 10%까지 확대하는 것을 목표로 하고 있다.

윌리엄 루토 행정부는 '디지털 초고속도로(Digital Superhighway)' 프로젝트를 추진하며, 전국적인 초고속 인터넷 보급 확대를 목표로 삼고 있다. 이에 따라 광케이블, 위성, 차세대 통신 기술 등에 대한 투자를 늘리고 있으며, 저렴한 스마트폰 생산을 추진해 디지털 접근성을 높이고 있다. 또한, 정부 서비스의 디지털화를 가속하면서 현재 약 1만6000개의 공공 서비스를 전자정부(e-citizen) 플랫폼을 통해 제공 및 처리하고자 한다.

<케냐 정보통신청 전경>

[자료: 캐피탈 뉴스]

케냐의 디지털 전환 가속화에 따른 사이버 보안 문제 대두

공공 및 민간 부문의 디지털 전환을 가속화하는 가운데, 사이버 보안이 사회적 문제로 떠오르고 있다. 케냐 통신청(Communications Authority)에 의하면 기업과 기관은 사이버 공격으로 인해 평균 435만 달러를 지불하며 시스템을 복구해야 했다. 사이버 보안으로 인한 케냐의 총 피해 규모는 8300만 달러에 달하며, 이는 아프리카에서 두 번째로 높은 수준*이다.

* 케냐 정보통신청에 따른 아프리카 국가의 사이버 문제로 인한 피해 규모(2023년 기준): 나이지리아 약 18억 달러, 케냐 8300만 달러, 우간다 6700만 달러, 레소토 230만 달러, 보츠와나 39억 달러 등

케냐 정보통신청 산하 기관인 ‘국가 컴퓨터 사고 대응 팀(KE-CIRT/CC)’의 자료에 따르면, 해커들은 국가 부처 및 금융기관을 집중적으로 노리고 있는 것으로 나타났으며, 정부가 디지털 경제 활성화를 위한 정책을 활발하게 추진하는 가운데, 보안 시스템 강화와 사이버 범죄 대응 역량 확대가 필요하다고 지적하고 있다.

케냐 사이버 보안 문제 발생 현황 및 주요 사례

2023년 2분기 동안 케냐에서 탐지된 사이버 보안 위협 사건은 12억 건을 넘어섰으며, 이는 직전 분기(Q1) 1억2400만여 건 대비 948% 급증한 수치다. 전문가들은 이러한 폭발적 증가의 원인으로 ▲기술/보안 인프라 투자 부족, ▲구형 또는 지원 종료된 시스템 사용, ▲기존 로그인 자격 유지(접근 권한 말소 조치 등 규정 미준수), ▲사이버 보안 리스크에 대한 낮은 인식, ▲클라우드 서비스 이용 확대에 따른 자동화 공격, ▲보안 설정 미흡, ▲해커들의 정치·사회적 목적을 띤 ‘핵티비즘(hacktivism)’ 활동 증가를 주요 요인으로 지적했다.

<사이버 보안 위협 사건 수>

(단위: 백만 건)

[자료: 케냐 정보통신청]

<2024년 케냐 사이버 위협 주요 유형>

(단위: 건)

[자료: 케냐 정보통신청]

보안 전문가들은 사이버 공격이 점점 확대∙정교해지고 있다며, 최신 보안 패치 적용, 강력한 인증 방식 도입, 네트워크 보안 강화, 기술 교류 등 적극적인 보안 대응 및 솔루션 마련이 필요하다고 목소리를 높이고 있다. 특히 지난 2년간 세 차례의 대형 사이버 공격이 케냐 정부 기능을 심각하게 마비시켰는데, 사이버 보안 기관과 전문가들의 신속한 대응이 이뤄지지 못한 점도 지적하고 있다.

가장 최근의 사건은 2025년 1월 31일 발생한 케냐 기업 등록 서비스(BRS) 데이터 유출 사고다. 이번 공격으로 인해 1967년부터 2024년까지 등록된 케냐 내 200만 개 이상의 기업 정보가 해커들의 손에 넘어갔다. 유출된 데이터에는 기업 및 윌리엄 루토 대통령과 가족, 우후루 케냐타 전 대통령 등 주요 투자자 및 고위 정치인들의 정보도 포함된 것으로 알려졌다. 해커들이 주거지 주소, 이메일, 전화번호 및 기업의 실 소유주 명단을 포함한 데이터 패키지를 최대 2400만 실링(약 2억 원)에, 전화번호는 건당 0.015달러에 거래한 정황이 드러나고 있다.

<케냐 기업 등록 서비스 데이터 유출 사고>

[자료: Tech Group Kenya]

케냐 데이터 보호 위원회(ODPC)는 BRS가 민감한 개인정보 보호 의무를 다했는지 조사에 착수했다. 위반이 확인될 경우, BRS는 과징금을 부과 받고, 피해자에게 보상을 해야 한다. BRS는 시스템과 데이터베이스 보안을 강화하고 있다. 아직 조사 중인 관계로 데이터 유출의 정확한 원인은 공개되지 않고 있다.

두 번째 대표적인 사고는 케냐 국영 항공사 케냐항공(Kenya Airways)의 고객 데이터 유출 사고다. 2024년 초 케냐항공은 대규모 사이버 공격을 당해 항공사 기밀 데이터가 유출되는 사건이 발생했다. 경찰 수사 보고서, 전화번호, 이메일 주소, 여권 정보 등 다수의 민감한 정보가 해커들의 손에 넘어갔다. 특히 과거 탑승객과 직원들의 개인정보가 포함된 것으로 알려졌다. 랜섬웨어 전문 범죄 조직 'RansomExx'에 의해 다크웹에서 주도된 것으로 확인됐다. 해커들은 데이터를 탈취한 후 이를 돌려주는 대가로 금전을 요구했으나, 케냐항공 측은 해커들의 요구를 거부했다. 이후 해커들은 케냐 정부 주요 인사들의 여행 서류, 일정 및 목적지 정보를 다크웹에 공개하였고, 주요 인사들의 기밀 정보가 외부에 노출되는 심각한 보안 위협이 발생했다. 케냐 데이터 보호 위원회(ODPC)가 사건조사에 착수했지만, 현재까지 조사 결과가 발표되지 않았으며, 케냐항공에 대한 법적 처벌도 이뤄지지 않았다. 전문가들은 국가 기간산업을 겨냥한 사이버 공격이 증가하는 가운데, 보다 강력한 보안 조치가 필요하다고 지적하고 있다.

세 번째로, 케냐 정부에서 2023년 3분기부터 본격적으로 도입한 정부 전자 서비스(e-citizen) 플랫폼이 대규모 DDoS 공격을 받은 사례다. 2023년 7월 27일, e-citizen 플랫폼이 대규모 사이버 공격을 받아 공공 및 민간 기관의 서비스가 마비되었고, 케냐 철도공사(Kenya Railways Corporation), 국가 교통안전청(National Transport and Safety Authority) 등이 운영에 큰 차질을 빚었다. 특히 전자 토큰 구매, M-Pesa(모바일 뱅킹) 거래 이용 등이 완전히 불가능해지면서 케냐 국민들이 큰 불편을 겪었다.

공격의 배후로는 수단의 해커 그룹 '어나니머스 수단(Anonymous Sudan)'이 지목됐다. 이들은 케냐 정부에 수단 내전에 개입하지 말라는 경고를 보내기 위해 공격을 감행했다고 주장했다. 당시 사이버 공격은 수단 내전 발발 몇 달 후 발생했으며, 케냐의 윌리엄 루토 대통령이 동아프리카 정부 간 개발기구(IGAD)에서 수단 내전 중재자로 임명된 직후 벌어졌다. 보안 전문가들은 이 사건을 정치적 해킹(hacktivism)의 일환으로 분석했다.

<전자정부 플랫폼 장애 발생 당시 스크린샷>

[자료: 케냐 비즈니스 데일리]

당시 사이버 공격은 윌리엄 루토 대통령이 정부 서비스 전면 디지털화를 위해 e-citizen 플랫폼에 수천 개의 서비스를 추가한 지 불과 4주 만에 발생했다. 루토 행정부는 디지털화를 통해 행정 효율을 높이고 부패를 줄이려 했지만, 디지털 시스템이 해킹될 경우 개인 및 정부 기관의 민감한 데이터가 대량으로 유출될 위험성이 드러나 우려의 목소리도 높아졌다. 비슷한 시기에 케냐 최대 슈퍼마켓 체인 NAIVAS도 랜섬웨어 공격 피해를 입어 고객 데이터가 유출됐다. 행정부는 관련 사건들을 계기로 국민, 기업, 정부 기관 및 민간 부문 모두가 사이버 보안 대응력을 강화하고, 국가의 안전한 사이버 환경 조성을 위해 공동의 책임을 다해야 한다고 강조하며 관련 솔루션 및 기술 교류에 적극적인 수요를 내비치고 있다.

케냐의 2023/24 사이버 보안 사건 이후 시장 전망

Statista Analytics의 보고서에 따르면, 케냐는 정부 주도의 사이버 보안 강화 정책에 기인해 사이버 보안 시장이 빠르게 성장하고 있다. 2025년 케냐 사이버 보안 시장 규모는 6224만 달러에 이를 것으로 예상된다.

시장 부문별로는 사이버 보안 솔루션(Cyber Solutions)이 2025년 3585만 달러 규모로 가장 큰 비중을 차지할 전망이다. 또한, 2025~2029년 연평균 성장률(CAGR)은 10.5%로 예상되며, 2029년에는 시장 규모가 9264만 달러까지 확대될 것으로 분석됐다.

<사이버 보안 솔루션 및 서비스 매출과 전망>

(단위: US$ 백만)

[자료: Statista Analytics]

2024년 12월 13일, 케냐 정보통신청 빈센트 은군디(Dr. Vincent Ngundi) 국장은 최근 케냐에서 발생하는 사이버 보안 사건과 대응에 대해 "특히 인공지능(AI)이 사이버 범죄의 양상을 크게 변화시키고 있다. AI는 사이버 보안 위협을 확대하는 동시에, 역으로 활용하면 대응 도구가 될 수 있다. 또한, AI 기반 공격에 대해 대응책이나 관련 규정을 어떻게 적용해야 하는지 혼란스럽다는 의견이 많은데, 현재로서는 기존 사이버 공격 방식과 마찬가지로 컴퓨터 남용 및 사이버범죄법(CMCA 2018)**이 적용된다”라고 안내했다. 또한 케냐 국방부, 범죄수사국(DCI), 사법부 등과도 협력해 신종 사이버 범죄 대응을 강화할 계획이라고 강조했다.

** 컴퓨터 남용 및 사이버범죄법(Computer Misuse and Cybercrimes Act, 2018, CMCA): 2018년 5월 30일부터 시행됐으며 컴퓨터 시스템과 사이버 범죄 관련 위법 행위를 규제한다. 이 법은 기업과 기관들에게 사이버 범죄 예방, 금지, 대응, 조사 및 기소에 대한 가이드라인을 제시하며 의무를 준수해야 할 책임이 있음을 강조하고 있다.

<케냐 정보통신청 사이버 보안 국장의 관련 인터뷰>

[자료: 케냐 정보통신청]

한편, 사이버 보안 대응책 마련 중요성에 대한 인식 제고와 데이터 유출에 따른 과징금이 증가하면서 케냐 기업들도 보안 리스크를 보다 포괄적으로 관리하고자 하는 추세가 확산되고 있다. 특히 보안 사고에 대한 보험 부보 범위를 기존의 1차 보험(First-Party Coverage)에서 제3자 보험(Third-Party Coverage)까지 확대하고 있다. 제3자 사이버 보험은 기업의 고객 및 비즈니스 파트너가 데이터 유출이나 보안 사고로 인해 입은 손실까지 보상하며, 법적 비용, 벌금 및 손해 배상금 등도 보장 범위에 포함한다. 나아가, 신규 보안솔루션과 자문에 대한 수요도 증가하고 있다.

케냐 정부의 대응 현황 및 계획

2025년 2월 19일 케냐 ICT 및 디지털 경제국(State Department of ICT & Digital Economy) 회의에서 에마뉘엘 카타(Emmanuel Kata) 보안 및 감사 통제 담당 ICT 국장은 나이로비 무역관과의 인터뷰에서 ‘정부는 사이버 보안 역량 강화를 위해 협력 파트너를 찾고 있다’고 언급하며, ‘공공∙사조직의 사이버 공격 대응 능력을 높이고, 최신 보안 기술을 도입하기 위한 협력이 절실하다’고 강조했다. 특히, 최근 BRS 플랫폼 해킹 사건을 계기로 보안을 강화하기 위해 즉각 대응할 수 있는 역량을 갖춰 나가야 할 것이라 의견을 밝혔다.

케냐는 디지털 초고속도로 프로젝트(Digital Superhighway Project)와 같은 디지털 인프라 확장 사업이 가속화됨에 따라, 정부 및 민간 부문과 협력해 첨단 사이버 보안 솔루션을 제공할 기회도 많아지고 있다. 특히, 콘자 테크노폴리스(Konza Technopolis) 도시계획 프로젝트는 우리나라의 주요 투자처 중 하나로, 사이버 보안 서비스 및 관련 인프라 구축, 기자재 납품 등이 진행 중이다. 콘자개발청과 한국 카이스트의 협력을 통해 구축되는 케냐 과학기술원(Kenya-AIST)에는 한국의 자문을 받아 과학, 기술, 보안 솔루션 등에 대한 다양한 커리큘럼이 구축될 예정이다.

<콘자 시 케냐 과학기술원(Kenya-AIST) 건립 현장 전경>

[자료: KOTRA 나이로비 무역관]

진출 유망 분야 및 전략

1) 진출 유망 분야

케냐에서 사이버 공격이 증가하면서 머신러닝 기반 ‘고급 위협 탐지 플랫폼’이 효과적인 대안으로 주목받고 있다. '이메일 및 지능형 지속 공격(APT) 보호 솔루션'은 피싱 공격을 차단하는 데 강점을 갖고 있으며 금융권 및 공공기관에서의 활용도가 높을 것으로 기대된다. 또한 다크웹, 유해 사이트 등 모니터링을 통해 고객 정보가 불법 거래되는 조짐을 사전에 포착할 수 있다.

‘보안 설정∙관리 솔루션’도 유망 분야이다. 차세대 방화벽 및 침입 방지 시스템(IPS)을 통해 전반적인 웹 페이지, 서버의 취약점 공격을 자동으로 차단하고 사이버 공격을 방어하는 기본적인 스펙을 갖추게 될 것이다. 특히 ‘취약점 진단 도구’ 기능은 중소기업 및 정부 기관이 경제적인 비용으로 보안 수준을 강화하는 데 도움을 줄 것이다.

다음으로는 ‘아이덴티티 및 접근 권한 관리 솔루션’이 있다. 강력한 인증 체계를 도입해 고객 정보에 대한 해커들의 무단 접근을 방지하는 데 기여할 것이다. 특히, 케냐의 금융 환경을 고려해 M-Pesa 연계 OTP 인증을 지원하는 방식으로 현지에 적용할 경우 효과가 클 것이다.

‘클라우드의 보안, 암호화, 데이터 유실 방지(DLP) 솔루션’도 수요가 높아지는 분야다. 또한, 사이버 공격이 발생했을 때 신속한 사고 대응 관리를 위한 ‘포렌식 도구 및 시스템’이 피해 최소화의 핵심으로 떠오르고 있다. 포렌식 도구 및 시스템은 사고 발생 시 빠른 원인 분석과 대응을 가능하게 하며 보안 사고의 확산을 방지하는 역할을 할 수 있다.

마지막으로 테스트 및 교육 훈련을 통한 ‘보안 대응 역량 강화’가 필수적이라고 전문가들은 강조하고 있다. 최근 발생한 BRS 데이터 유출 사건은 대응 역량 부족으로 피해 규모가 더욱 커질 수 있음을 보여준 사례로 평가된다. 케냐 정부와 기업들은 보안 사고 예방 및 대응 계획 수립과 대응 역량을 가진 기술자를 육성할 필요성이 높아지고 있다.

2) 진출 전략

사이버 보안 분야 기업들이 케냐 시장에 효과적으로 진출하기 위해 정부 협력, 민간 파트너십, 금융권 협업, 현지 맞춤형 솔루션 제공 등을 전략적으로 활용해야 한다.

케냐 정부는 최근 사이버 보안 강화를 위해 국제 협력을 모색하고 있으며, 특히 우리나라와의 협력을 적극 희망하는 것으로 알려졌다. 케냐 ICT부는 공무원 교육 및 최신 보안 시스템 도입을 위해 한국에 지원을 요청한 바 있으며, 이에 따라 우리 기업들은 ‘디지털 슈퍼하이웨이 프로젝트’ 및 ‘콘자 테크노폴리스(Konza Technopolis) 스마트시티 사업’ 등에 관심을 갖고 적극 활용할 필요가 있다. 이러한 정부 주도 프로젝트에 조기 참여할 경우, 공공기관과의 신뢰 구축뿐만 아니라 케냐 시장에서 빠르게 입지를 다질 수 있을 것으로 기대된다.

아울러 케냐 민간기업과의 전략적 제휴도 고려해야 한다. 현지 IT 및 통신업계에서 강력한 입지를 가진 Safaricom, Liquid Telecom 등과 협력하고 사이버보안 서비스 제공 및 솔루션을 현지화해 개발하면 시장 진입 장벽을 낮출 수 있을 것이다. 합작 투자(JV)나 업무협약(MOU)을 통해 기술력과 현지 네트워크를 결합하면 보다 원활한 사업 운영이 가능할 것이다.

케냐 금융권과 모바일 금융(M-Pesa) 관련 기업들과 협력하는 것도 효과적인 전략이 될 것이다. M-Pesa와 연계한 OTP(일회용 비밀번호) 인증 솔루션 등 케냐 금융·통신 환경에 특화된 보안 기술을 제공하면 현지 기업과 기관의 도입 수요가 높아질 것이다. 또는 저렴한 비용으로 금융권에 시범 적용하면, 효과를 입증한 뒤 장기 계약으로 이어질 가능성이 높다. 금융권에서 기술 효과가 입증될 경우, 입소문을 통해 보다 광범위한 고객층을 확보할 수 있을 것으로 보인다.

전문가들은 "케냐 시장은 빠르게 디지털 전환이 이뤄지고 있어 사이버보안 수요가 증가하고 있다"라며 "정부 및 금융권과의 전략적 협력을 통해 한국 기업들이 시장을 선점할 기회를 적극적으로 모색해야 한다"라고 조언했다.

시사점

케냐는 정부 주도의 디지털 정책, 혁신적인 기술 발전, 국제 협력을 바탕으로 아프리카의 디지털 선도 국가로 자리 잡았다. 나아가 케냐 정부는 데이터 보호법(Data Protection Act 2018)과 컴퓨터 남용 및 사이버범죄법(Computer Misuse and Cybercrimes Act 2019) 등 법적 체계를 마련하며 사이버 보안을 강화하고 있다. 그러나 법의 허점과 열악한 보안망을 노린 사이버 범죄는 매년 증가하고 있다.

최근 발생한 사이버 공격들은 케냐의 디지털 인프라∙보안망이 매우 취약하다는 점을 보여주고 있으며, 심각한 사회 문제로 떠오르고 있다. 정부, 항공, 금융 부문 등 주요 서비스 기능이 마비되고 개인∙기업의 민감 정보가 유출되면서 국가 보안 및 국민들의 일상생활에 큰 악영향을 미쳤다.

일련의 사건들은 케냐의 디지털 생태계를 보호하기 위한 사이버 보안 조치의 중요성을 강조하고 있다. 케냐는 사이버 보안을 위한 법률과 체계를 갖추고는 있지만, 보안 위협은 진화, 심각해지는 추세로 이를 대응하기 위한 노력이 필수적이다. 앞으로 케냐 정부는 중장기적인 GtoG, GtoB국제 협력을 통해 사이버 보안 역량을 강화하고, 인재를 육성해 안정적인 디지털 경제 기반을 마련할 것이며, 우리 관련 기업들의 진출이 기대된다.

자료: 캐피탈 뉴스, Tech Group Kenya, 케냐 비즈니스 데일리, Statista Analytics, 케냐 정보통신청, KOTRA 나이로비 무역관 자료 종합