2025년 2월 6일, 캐나다 정부는 사이버 공격이 국가 경제와 안보에 미치는 영향을 고려해 ‘국가 사이버 보안 전략(NCSS)’을 발표했다. 이번 전략은 공공·민간 협력을 확대하고, 기업의 연구·개발과 시장 진출을 지원하며, 공급망 및 인프라 보안을 강화하는 것을 주요 목표로 삼는다. 2025년 3월 14일 공식 취임한 캐나다 마크 카니 총리 역시, 3월 17일에 이루어진 프랑스 에마뉘엘 마크롱 대통령과의 회담에서 사이버 보안 강화와 정보 공유를 핵심 의제로 제시하며, 캐나다가 사이버 보안을 국가적 우선 과제로 삼고 있음을 재확인했다. 이러한 정책적 기조와 맞물려 캐나다 사이버 보안 시장은 연평균 7.67% 성장해 2029년에는 75억1000만 캐나다달러 규모에 이를 것으로 예상된다.

캐나다 정부가 사이버 보안 시장 내 공급망 보안을 중요한 과제 중 하나로 설정하면서, 반도체 제조국인 한국은 관련 분야에서 강점을 발휘할 수 있으며 공공·민간 보안 프로젝트 참여 기회를 모색할 수 있을 것으로 보인다. 또한 캐나다 정부의 보안 인증 및 규제 변화에 대응해 현지 기업과 협업하는 전략이 한국 기업들에게 효과적인 시장 접근 방식이 될 수 있다. 본 기사에서는 캐나다 내 주요 사이버 공격 사례를 살펴보고, 국가 사이버 보안 전략의 핵심 내용과 함께 한국 기업이 고려할 시사점을 분석해 보고자 한다.

<3월 17일, 캐나다 마크 카니 총리와 프랑스 에마뉘엘 마크롱 대통령>

[자료: CBC News]

증가하는 랜섬웨어 공격, 영향받는 캐나다

2023년 6월, 캐나다 앨버타주 캘거리에 본사를 둔 에너지 기업 선코어(Suncor) 에너지가 랜섬웨어 공격을 받았다. 공격자는 회사의 산업 제어 시스템(ICS)과 운영 기술(OT) 네트워크를 표적으로 삼아 시스템 데이터를 암호화하고, 접근 권한 복구를 위한 몸값을 요구했다. 이로 인해 자회사 페트로 캐나다는 전 세계 1500개 이상의 주유소에서 직불 및 신용 카드 결제를 중단해야 했으며, 고객 로열티 프로그램 운영에도 차질을 빚어 브랜드 신뢰도가 타격을 입었다. 캐나다 인터넷 등록 관리국(CIRA)은 원유 판매에서 발생한 직접적 손실과 물류 처리에서 발생한 잠재적 손실까지 고려했을 때, 이번 공격으로 선코어 에너지에게 수백만 캐나다달러 규모의 경제적 피해가 발생했을 것으로 분석했다.

2024년 4월 말에는 캐나다 서부 기반의 약국 및 소매 체인 런던드럭스(London Drugs)가 랜섬웨어 공격을 받아 데이터 유출 피해를 입었다. 다크웹에서 활동하는 사이버 범죄 조직 록빗이 직원들의 사회보장번호와 은행 계좌 정보 등을 탈취한 뒤, 회사에 2500만 캐나다달러의 몸값을 요구했다. 이에 대해 런던드럭스는 “지불할 의사도 능력도 없다”고 공식 발표했으며, 이에 대해 뉴질랜드 사이버보안 기업 엠시소프트의 위협 분석가 브렛 캘로우는 이를 ”런던드럭스가 내릴 수 있었던 최선의 선택”이었다고 평가했다. 그러나 이 과정에서 런던드럭스는 캐나다 서부 전역 79개 매장을 약 일주일간 폐쇄해야 했고, 폐쇄 기간 동안 직원 급여와 고정비를 자체 부담해야 했다. 또한, 시스템 장애로 인해 처방 약을 정기적으로 리필하던 고객들이 경쟁사 약국으로 이탈하는 등 상당한 운영 차질을 빚었다.

같은 해 10월에는 온타리오 지역 5개 병원이 랜섬웨어 공격을 받아 약 32만6800건의 환자 정보가 유출됐고, 2024년 1월에는 토론토 동물원, 3월에는 온타리오주 머스코가 지역의 헌츠빌 마을이 랜섬웨어 공격으로 인해 컴퓨터 시스템 운영에 차질을 빚었다.

<2022년 부문별 캐나다 랜섬웨어 피해 산업>

[자료: 캐나다 사이버 보안 센터 2025.3.18.]

이처럼 에너지, 유통, 의료, 공공기관 등 다양한 산업에서 캐나다 기업들이 사이버 공격의 직접적인 위협을 받고 있다. 캐나다 사이버 보안 센터에 따르면, 2022년 대비 2023년 랜섬웨어 공격이 모든 산업에서 급격히 증가했으며, 특히 정보 기술(159%), 금융(157%), 건설(133%), 운송(122%) 등의 핵심 산업이 가장 큰 피해를 입은 것으로 분석되었다.

<2022~2023년 산업별 랜섬웨어 피해 증가율>
(단위: %)

[자료: 캐나다 사이버 보안 센터 2025.3.18]

사이버 공격으로 인한 경제적 피해도 급증하고 있다. 캐나다 사이버 보안 및 사이버 범죄 조사 기관(CSCSC)은 2023년 한 해 동안 캐나다 기업들이 사이버 보안 사고 복구에 지출한 금액은 12억 캐나다달러에 달하며, 2021년(6억 캐나다달러)에 비해 두 배 수준으로 증가했다고 밝혔다. 이는 사이버 공격을 경험한 기업 비율이 증가했을 뿐만 아니라, 개별 공격의 피해 규모 또한 커지고 있음을 의미한다. 이에 따라 캐나다 기업들은 사이버 보안을 핵심 경영 리스크로 인식하여, 보안 인력을 확충하고, 사이버 위협 대응을 위한 보안 솔루션 도입을 가속화하는 등 보안 투자 규모를 확대하고 있다.

국가적 대응, 캐나다의 사이버 보안 전략 강화

사이버 위협은 기업뿐만 아니라 국가 경제와 안보에도 심각한 영향을 미치고 있다. 이에 캐나다 정부는 금융, 에너지, 제조업 등 핵심 산업이 디지털 기술에 크게 의존하는 현실을 고려해, 사이버 보안 역량 강화를 최우선 과제로 설정했다. 2024년 캐나다 사이버 보안 센터(Cyber Centre)에 9억1740만 캐나다달러의 예산을 배정했으며, 지난 2월 6일에는 ‘국가 사이버 보안 전략(NCSS)'을 발표해 전방위적인 대응 체계를 구축했다.

캐나다 국가 사이버 보안 전략의 주요 내용

캐나다 국가 사이버 보안 전략은 ① 공공·민간 협력을 통한 보안 역량 강화, ② 사이버 보안 산업 경쟁력 강화, ③ 사이버 위협 대응 및 보안 강화를 핵심 전략으로 제시하고 있다. 이를 통해 캐나다 정부는 주요 인프라 보호 및 글로벌 사이버 보안 규범 준수를 강화하는 한편, 첨단 보안 기술 개발과 중소기업 지원을 통해 산업 경쟁력을 높이고, 랜섬웨어 및 사이버 범죄 대응 역량을 확대한다는 목표를 세웠다.

<캐나다 국가 사이버 보안 전략 정리>

[자료: 캐나다 공공안전부, KOTRA 밴쿠버 무역관 정리]

캐나다 국가 사이버 보안 전략은 "사회 전체의 참여"와 "민첩한 리더십"이라는 두 가지 원칙을 기반으로 수립됐다. 첫째, 사이버 보안을 특정 기관이나 기업만의 책임이 아닌 국가 전체의 공동 과제로 보고 있다. 이에 따라 정부, 기업, 학계, 민간단체 등 모든 이해관계자가 협력해야 한다는 점을 강조하고 있으며, 주요 산업 및 기업들과의 파트너십을 확대하고, 국민 대상 보안 교육과 인식 제고 활동을 강화할 방침이다. 둘째, 사회 전체가 참여하는 보안 체계가 효과적으로 작동하려면, 급변하는 사이버 위협에 맞춰 신속하고 유연하게 대응할 수 있는 리더십이 필수적이다. 이에 따라 캐나다 정부는 위협 변화에 맞춰 조정 가능한 실행 계획을 수립해, 실시간 대응 체계를 마련할 방침이다. 이러한 민첩한 리더십을 바탕으로, 캐나다는 글로벌 보안 환경 변화에 능동적으로 적응하고, 장기적으로 보안 기술 개발을 촉진할 수 있는 기반을 마련할 것으로 기대된다.

성장하는 캐나다 사이버 보안 시장, 확대되는 투자와 협력

캐나다 정부가 주요 인프라 보호를 위한 국가 전략을 내세움에 따라, 기업에게는 보안 솔루션 도입이 운영 필수 요소로 자리 잡고 있다. 특히, 공공기관뿐만 아니라 금융·에너지·제조업 등 캐나다 주요 산업에서도 보안 시스템 강화를 위한 예산이 증가하고 있어, 관련 기술과 솔루션을 보유한 기업들에게 신규 프로젝트와 장기 계약 확보 기회가 확대될 전망이다.

또한, 캐나다는 디지털 헌장 이행법(Digital Charter Implementation Act, 2022)의 시행을 통해 소비자 개인정보 보호법 및 인공지능 및 데이터법 적용을 심도 있게 논의함에 따라, 데이터 보호 및 프라이버시 규제가 한층 강화될 것으로 예상된다. 이에 맞춰 관련 보안 기술과 서비스에 대한 수요 역시 지속적으로 증가할 것으로 보인다. 특히, 소비자 개인정보 보호법은 기업이 개인정보 보호 정책을 명확히 수립하고, 소비자에게 데이터 처리 과정에 대한 투명성을 제공하며, 보안 침해 발생 시 신속한 보고 의무를 부과하는 내용을 포함하고 있어 기업들의 보안 투자 확대를 유도하고 있다.

사이버 보안 위협이 국경을 초월해 발생하는 만큼, 캐나다 정부는 국제 협력을 강화하고 글로벌 파트너들과의 공조를 확대하는 전략을 추진하고 있다. 캐나다 보안정보국(CSIS)은 국제 협력을 통해 국가 안보 차원의 사이버 위협을 감시하며, 캐나다 정부는 글로벌 기업들과 협력하여 사이버 위협 대응 능력을 강화할 계획이다.

Statista의 자료에 의하면, 현재 캐나다 사이버 보안 시장에서 Microsoft, Fortinet, IBM 등이 핵심 기업으로 활동하고 있으나, 60%에 해당하는 시장이 기타(others) 기업들로 구성돼 있어 규모가 작은 민간 기업들에게도 충분한 기회가 열려 있는 것으로 보인다. 특히, 캐나다 정부는 국가 사이버 보안 전략에서 확인했듯이 중소기업의 보안 기술 도입을 촉진하기 위해 세제 혜택과 지원 정책을 제공하고 있으며, 글로벌 대기업과의 협력뿐만 아니라 중소 보안 기업들이 정부 조달 시장 및 민간 부문에서 경쟁력을 갖출 수 있도록 지원하고 있다. 이에 따라 중소 보안 기업들이 공공·민간 프로젝트에 참여할 기회가 증가하고 있으며, AI·클라우드 보안·데이터 암호화 등 차별화된 기술을 보유한 기업들에게 특히 유리한 환경이 조성되고 있다.

캐나다 정부의 정책적 지원과 기업들의 보안 투자 확대에 힘입어, 캐나다 사이버 보안 시장은 지속적인 성장세를 기록하고 있다. Statista에 따르면, 2025년 캐나다 사이버 보안 시장 규모는 57억 5,000만 캐나다달러로 예상되며, 연평균 7.67% 성장해 2029년에는 75억1000만 캐나다달러에 이를 전망이다. 시장은 보안 서비스 분야(컨설팅·운영 지원)와 보안 솔루션 분야(소프트웨어·하드웨어)가 유사한 비율로 시장 점유율을 차지하고 있으며, 기업들의 보안 투자 확대에 따라 직원 1인당 보안 관련 평균 지출도 2029년에는 각각 보안 서비스 분야 153.74 캐나다달러, 보안 솔루션 분야 179.12 캐나다달러로 총 332.86 캐나다달러까지 증가할 것으로 예상된다.

<캐나다 사이버 보안 시장 성장 전망(좌)과 직원 1인당 보안 지출 추이(우)>

(단위: C$ 십억)

[자료: Statista 2025.3.17]

결과적으로, 캐나다 사이버 보안 시장은 정부의 보안 강화 정책과 기업들의 자율적 투자 확대에 힘입어 빠르게 성장하고 있으며, 대기업 및 중소기업 모두에게 새로운 사업 기회를 제공할 것으로 전망된다. 특히, 정부 주도의 사이버 보안 규제 강화와 함께 공공 및 민간 부문의 보안 솔루션 도입이 증가하면서, 시장에 진출하려는 보안 기업들에게 유리한 환경이 조성되고 있다.

시사점

캐나다 사이버 보안 시장에 효과적으로 접근하기 위해서는 제도 변화에 대한 이해와 함께, 현지 협력 구조에 대한 철저한 정보 분석이 필요하다. 캐나다 정부는 국가 주요 인프라와 산업의 공급망 보안을 강화하기 위해 민간 기업 및 다양한 이해관계자들과 협력하는 것을 중요한 전략으로 설정하고 있다. 특히, 운영 기술(OT), 산업 제어 시스템(ICS), 소프트웨어 공급망의 보안을 강화하는 방향으로 민간과 공공 부문 간 협력을 강화하고 있다. 이러한 배경에서, 한국은 반도체 제조국으로 공급망 보안 분야에서 강점을 보유하고 있어 캐나다의 사이버 보안 정책과 연계된 협력 기회를 모색할 수 있을 것으로 기대된다. 특히, 캐나다 정부가 정보 보호 및 인프라 보안 강화를 위해 공급망 보안 관리에 주력하고 있는 만큼, 반도체 기반 보안 솔루션, 신뢰할 수 있는 IoT(사물인터넷) 보안 기술, 데이터 보호를 위한 AI 기반 네트워크 보안 솔루션 등에서 경쟁력을 갖춘 한국 기업들은 캐나다 내 보안 프로젝트 참여 가능성이 높을 것으로 예상된다.

이와 더불어, 캐나다 정부의 보안 인증 프로그램 및 IoT 보안 라벨링 제도가 강화됨에 따라, 사이버 보안 규제 및 인증 체계에 대한 사전 준비도 필수적이다. 따라서, 한국 기업들은 캐나다의 보안 법·제도에 맞춰 제품 및 서비스의 보안 요건을 충족하는 방향으로 개발 전략을 수립해야 하며, 현지 법규에 대한 지속적인 모니터링을 통해 시장 진입에 대비해야 한다.

또한, 캐나다 정부가 산업 전반에 걸쳐 다양한 이해관계자들과의 협력을 추진하고 있는 만큼, 한국 기업들은 글로벌 대기업뿐 아니라 캐나다의 중소기업·민간·학계 등과의 협력을 고려할 필요가 있다. 이러한 협력 모델을 활용할 경우, 다음과 같은 이유로 시장 진입 장벽을 효과적으로 낮출 수 있을 것으로 예상된다. 첫째, 현지 기업과 컨소시엄을 구성하면 캐나다 정부 조달 및 공공 프로젝트 입찰 기회를 넓힐 수 있다. 둘째, 앞서 언급했듯이 캐나다는 사이버 보안 인증 프로그램과 IoT 보안 라벨링 제도를 강화하고 있는데, 현지 기업과 협력할 경우 해당 규제를 준수하는 제품 및 서비스를 보다 수월하게 개발할 수 있다. 셋째, 보안 솔루션 시장에서는 신뢰도가 중요한 요소이므로, 현지 기업이 보유한 고객 네트워크를 활용하면 초기 시장 안착이 한층 수월해질 것으로 예상된다.

자료: Business Intelligence for B.C., Global News, CityNews, TECKPATH, Canadian Centre for Cyber Security, Canadian Anti-Fraud Centre, Innovation, Science and Economic Development Canada, Public Safety Canada, Statista, 과학기술정보통신부, KOTRA 밴쿠버 무역관 자료 종합