독일 연방군 사칭 피싱 메일 사태 개요

2025년 2월 초 독일 연방군(Bundeswehr)은 자사를 사칭한 대규모 피싱 메일이 돌고 있다며 전 국민에게 주의를 당부했다. 해당 메일은 “병적 기록부(Wehrregister)를 업데이트해야 한다”라는 허위 ‘법적 의무’를 앞세워 수신자를 속였다. 이어 연방군 공식 홈페이지를 흉내 낸 가짜 사이트로 접속을 유도해 비밀번호, 계좌번호, 주소 등 민감한 개인정보를 빼내는 수법을 썼다.

 국방부는 “연방군이나 커리어센터가 예고 없이 이메일로 개인정보를 요구하는 일은 절대 없다”라며 “메일과 링크를 즉시 삭제하라”고 강조했다.

이번 피싱 사태의 배경에는 병역제도 개편을 둘러싼 정치적 공백이 자리한다. 2011년 병역 의무가 중단되면서 병적 기록 시스템도 사라졌고, 이를 복원하려던 ‘병역법’ 개정안은 자유민주당(FDP)의 이탈로 의회 통과에 실패했다. 법적 근거가 불투명해진 틈을 노린 범죄자들이 혼란을 부추기고 있다는 분석이 나온다.

독일 연방정보보안청(BSI), 사이버 보안의 중요성 강조 

연방군과 산하기관은 러시아 등 외국 세력의 해킹 시도와 범죄 조직의 표적이 되는 사례가 잦다. 최근 뮌헨 연방군대학교가 당한 해킹 공격도 같은 맥락으로 풀이된다.

클라우디아 플라트너(Claudia Plattner) 연방정보보안청(BSI) 청장은 이런 상황을 “사실상 하나의 ‘공격자 산업’이 형성된 것”이라고 표현했다. 그는 기술적 방어 못지않게 정보전(戰) 대응의 중요성을 강조하면서, 대표 사례로 독일 통계청(Destatis) ‘해킹’ 소동을 들었다. 인도네시아 해커 그룹이 다크웹에서 “3.8GB의 데이터를 훔쳤다”라며 판매를 시도했지만 조사 결과 실제 유출은 없었다. 그럼에도 일부 매체는 “연방 선거가 해킹당했다(Die Bundestagswahl wurde angegriffen)”라는 자극적 헤드라인을 달았고, SNS에서는 “국가가 국민을 보호하지 못한다”라는 불안이 삽시간에 퍼졌다. 플라트너는 이를 “러시안 플레이북”이라며, 실제 피해보다 공포와 혼란을 극대화해 국가 신뢰를 흔드는 전형적인 전략이라고 지적했다.

경제적 피해는 이미 눈앞에 드러났다. IT 업계 단체 비트콤(Bitkom)에 따르면 2024년 한 해 독일 기업이 입은 사이버 범죄 손실은 1790억 유로(약 260조 원)에 달했다. 플라트너는 “50억, 500억이 덜해도 여전히 천문학적 수치”라며, “사이버 보안은 비용이 아니라 사업을 지탱하는 투자”라고 강조했다. 그러나 다수 기업과 공공기관은 아직도 구식·복잡한 IT 시스템을 고집하고 있다. 그는 “부분 보강은 미봉책일 뿐”이라며 “보안 없이 운영해 보라, 훨씬 큰 대가를 치르게 될 것”이라고 경영진을 향해 직격탄을 날렸다.

플라트너가 제시한 핵심 해법은 EU 차원의 규제 강화다. 네트워크·정보보안 지침(NIS‑2)과 사이버 복원력 법(CRA)은 기업의 보안 의무와 사고 보고를 강제하지만, 독일은 연립정부 붕괴로 국내 이행법안이 지연됐다. EU 위반 절차가 이미 진행 중인 가운데 그는 “총선 직후 최우선 과제로 입법을 마무리해야 한다”라고 촉구했다. 동시에 “273칸짜리 보고서 양식은 곤란하다”라며 과도한 서류 작업 대신 실효성 있는 규제를 주문했다.

연방군 사칭 피싱 사태와 BSI의 경고가 던지는 메시지는 분명하다. 사이버 공격은 상시화된 ‘산업’이 됐고, 기술·정보·규제가 삼위일체로 작동해야만 방어선이 유지된다. 독일이 이 경고를 얼마나 심각하게 받아들이느냐에 따라 국가 디지털 안보의 향방이 갈릴 전망이다.

독일 사이버 보안 시장, DX 가속화 및 사이버 범죄 증가와 함께 성장 중

독일의 디지털 전환 속도가 빨라질수록 사이버 범죄도 기하급수적으로 늘고 있다. 2021년 이후 독일 내 사이버 범죄로 인한 연간 손실액은 해마다 2000억 유로를 웃돈다. Statista가 집계한 ‘경찰 접수 건수’만 봐도 2022년에 13만6865건이 보고됐다. 기업과 공공기관이 ‘강력한 보안 솔루션’이 필요하다고 입을 모으는 배경이다.

시장도 그 수요를 반영해 성장세를 이어가고 있다. Statista 자료에 따르면 2023년 독일 사이버 보안 시장 매출은 61억4000만 유로로 전년 대비 7.7% 늘었다. 세부적으로는 사이버 솔루션 27억9000만 유로(+13%), 보안 서비스 33억5000만 유로(+3.7%) 규모다. 2028년에는 솔루션 55억2000만 유로, 서비스 41억7000만 유로로 확대될 전망이다.

그러나 ‘규모의 성장’이 곧 ‘방어력 향상’을 뜻하지는 않는다. 시스코의 ‘사이버 보안 준비 지수 2023’ 조사 결과, 실제로 사이버 공격에 충분히 대응 가능한 독일 기업은 11%에 불과했다. 나머지 89%는 준비가 미흡하거나 아예 없는 상태로 평가돼, 투자 확대에도 불구하고 현장 대응 능력에는 여전히 큰 격차가 있음을 드러냈다.

<2016~2028년 독일 사이버 보안 시장 매출 규모 및 전망치>

(단위: € 억)

* 주: 2025~2028년은 전망치

[자료: Statista]

시사점

독일 사이버 보안 시장의 빠른 팽창은 우리 보안 업체에도 ‘해외 1순위’로 꼽힐 만한 기회를 제공한다. 2023년 독일의 사이버 범죄 피해액은 2060억 유로를 넘어섰고, 같은 해 사이버 보안 시장 매출은 61억4000만 유로(전년 대비 +7.7%)에 달했다.

그러나 시장 규모만큼 진입 장벽도 높다. 시스코 ‘사이버 보안 준비 지수 2023’에 따르면 실제로 공격에 대응할 만한 체계를 갖춘 독일 기업은 11%에 불과하다. 수요는 분명하지만, 89%의 기업이 '어디서부터 강화해야 할지'를 고민하고 있다는 뜻이다.

독일 IT 회사 A 사에 근무하는 마케팅 매니저 B 씨는 KOTRA 프랑크푸르트무역관과의 인터뷰에서 “독일 고객이 기대하는 것은 현장 환경에 꼭 맞춘 제품과 서비스다. OT(운영 기술) 인프라가 복잡한 제조 현장에는 맞춤 방화벽과 트래픽 가시화 솔루션이 필요하고, 다국적 기업은 멀티클라우드·온프레미스 하이브리드 통합 관리 플랫폼을 선호한다."라고 귀띔했다. 그는 이어, "이처럼 ‘독일형 제품군’을 제때 제안하는 업체가 시장을 선점할 가능성이 크다”라고 강조했다.

자료: 연방정보보안청(BSI), 독일연방군, 프라운호퍼연구소, 독일정보통신기술산업협회(Bitkom), Die Welt, Handelsblatt, KOTRA 프랑크푸르트 무역관 종합