보안(안보) 이란 지도부의 행동을 낱낱이 파헤친 ‘사이버 작전’의 내용, AI·데이터·알고리즘이 하나가 된 ‘지능화 전쟁’의 서막

[お持て成し]

이란 지도부의 행동을 낱낱이 파헤친 ‘사이버 작전’의 내용, AI·데이터·알고리즘이 하나가 된 ‘지능화 전쟁’의 서막 / 3월 7일(토) / 동양경제 온라인

[사진] 미국, 이스라엘, 이란은 모두 사이버 공격력이 높은 국가로 알려져 있다(사진: Getty Images)

미국은 이란의 핵 개발 문제를 둘러싼 대립 끝에 2026년 2월 28일, ‘에픽 퓨리 작전’이라 불리는 군사 작전을 이스라엘과 함께 시작했다.

이번 작전은 기존의 제한적인 시설 파괴와는 달리, 이란의 핵·군사 인프라를 광범위하게 무력화하고, 하메네이 사령관을 포함한 체제 중심부에 타격을 가해, 즉 대규모 군사 작전(지도부 배제)을 목표로 했다. 

사전에 사이버 침입 및 감시를 통한 정보 수집이 이루어졌고, 지도부의 행동이 파악된 점을 고려하면 이는 우연한 결과가 아니라 계획된 작전으로 실행된 것이다. 

이 군사 행동의 배경에서는 공격에 앞서 사이버 공간에서의 활동이 전개되고 있었다. 현재는 단편적인 정보가 많지만, 이번 사례는 현대 전쟁에서 사이버 작전과 정보 작업이 물리적 군사 행동보다 앞서 작전 환경을 정비하는 중요한 역할을 하고 있음을 시사한다.

■ 사이버는 주전력은 아니지만 작전 환경을 정비하는 수단

미국, 이스라엘, 그리고 이란은 모두 사이버 공격력이 높은 국가로 알려져 있다.

하지만 군사적 관점에서 보면, 사이버 공격이나 정보 작업은 단독으로 전쟁의 향방을 결정하는 무기가 아니다. 실제 작전에서는 육·해·공 등 군사 행동과 연계해 그 효과를 높이는 ‘전력 배증 요소(이네이블러)’로 활용되는 경우가 많다.

해킹을 통해 정찰이나 감시에서 우위를 확보하고, 적의 통신이나 지휘 체계를 혼란시키며, 상황 인식을 방해하고, 정보를 탈취하거나 잘못된 정보를 퍼뜨려 판단을 흐리게 하는 활동은 항공 공격이나 미사일 공격 등의 성공률을 높인다.

게다가 사이버 작전은 종종 ‘보이지 않는 화력’이라고 불리지만, 작전 발동 훨씬 이전부터 침투나 잠복이 이루어지는 장기 캠페인으로 준비되는 경우가 많다.

평소부터 네트워크 내부에 접근을 확보해 두는 것 자체가 방어·공격(전방 방어), 이른바 ‘전진 배치’와 같은 전략적 자산이 된다. 이번 작전에서도 그에 앞서, 기반이 되는 침투와 정보 수집이 몇 개월, 경우에 따라서는 수년 단위로 진행돼 왔던 것으로 보인다.

■ 주 전장의 물리 전투를 지원하는 사이버 작전

미국 싱크탱크 ‘전쟁연구소(ISW)’의 분석에서도 알 수 있듯이, 이번 작전은 주로 ① 방공망 장악, ② 미사일·드론 거점 파괴, ③ 지휘 체계 단절 등 군사 목표에 대한 타격을 결합한 것이었다.

이러한 공격은 혁명수비대(IRGC)를 포함한 이란의 지휘 명령 체계를 혼란시키고, 체제 중심부에 타격을 가할 수 있는 작전 환경을 조성하는 역할을 한다. 즉, 이번 군사 행동의 본질은 하메네이 사제와 군 지휘부를 직접 겨냥한 ‘데카피테이션’을 중심으로 한 작전이었다고 볼 수 있다.

공격 시작 전후 이란 내 인터넷 연결률이 평소 약 1%에서 몇 퍼센트 수준으로 급락했으며, 국영 통신사의 웹사이트가 일시적으로 접속 불가능해지는 등 통신 환경에 혼란이 발생한 것으로 관측되었다.

이를 사이버 공격에 의한 것으로 보도한 경우도 있었지만, 이번 통신 장애가 외부의 사이버 공격에 의한 것인지 여부는 확정할 수 없다.

군사 작전 초기 단계에서 적국의 통신 인프라를 무력화하는 것이 일반적인 수법인 반면, 이란 정부는 과거에도 국내 통제를 위해 스스로 인터넷 차단을 해온 전력이 있으며, 이번에도 정부 측의 네트워크 차단이었을 가능성이 제기되고 있다.

그보다 더 주목할 점은 이번 군사 행동의 배경에 장기간에 걸친 사이버 침투 작업이 있었다는 것이다.

보도에 따르면, 이스라엘은 수년간 테헤란의 교통 카메라망과 모바일 통신망에 침투해 신호등, 거리의 감시 카메라, 통신 메타데이터 등을 통해 도시 전체를 감시 기반으로 활용해 왔다.

이란이 국내 시위자와 반체제파를 감시하기 위해 구축한 감시 인프라가 오히려 이용되어, 수도의 교통망과 통신망 자체가 이스라엘 측의 정보 수집 플랫폼으로 기능하게 되었다.

이렇게 수집된 데이터에 의해 최고 지도자 알리 하메네이 주변의 경호 체계와 차량 출입, 경비 교대 패턴, 나아가 혁명 방위대 간부와 정치 고문을 포함한 권력 중심부의 이동 및 접촉 관계가 지속적으로 파악되고 있었다.

즉, 이란 지도부의 행동은 사실상 ‘전면 공개’된 상태이며, 군사 작전 발동 이전부터 적의 중추를 감시하는 디펜드 포워드(전방 방어)형 사이버 작전이 실행되고 있었다는 뜻이다.

■ 정보전과 AI가 지원하는 '지능화 전쟁'

이번 작전에서는 군사 공격과 동시에 심리전과 정보전도 전개되었다.

공격이 시작되자마자 스마트폰의 기도 알림 앱을 해킹해 페르시아어 메시지가 약 30분 동안 퍼졌으며, “자리를 포기하고 해방군에 합류하라”, “심판의 시간이 왔다”는 내용이 전달된 것으로 보도되었다.

또한 이란의 타스님 통신사 사이트에도 침입이 이루어졌으며, 하메네이 사제를 비방하는 메시지가 게시됐다는 보도도 있다. 이러한 활동은 사이버 침입을 통해 군사 공격과 동시에 사회 심리를 흔들어 체제 측의 혼란과 동요를 유발하는 전형적인 정보전 수법이다.

이번 작전에서 주목할 점은, 확보된 방대한 감시 데이터를 AI로 분석하는 방법이다.

보도에 따르면, 이스라엘 정보 부대는 해킹한 교통 카메라 영상에 더해 휴대전화 전파와 통신 메타데이터 등 수십억 규모의 데이터 포인트를 통합해 ‘누가 누구와 접촉했으며, 누가 누구에게 영향을 미쳤는지’를 규명하는 네트워크 분석을 수행했다.

이 분석을 통해 하메네이 스승과 그 주변을 둘러싼 상황이 시각화되었다. 그 결과, 경호원의 통근 경로와 근무 시간, 차량 출입, 측근과의 접촉 관계까지를 시간 순서대로 추적하는 ‘생활 패턴’이 구축된 것으로 알려졌다.

단편적인 감시 영상과 통신 기록은 AI에 의해 연결되어 의미를 갖는 데이터로 변환되어, 지도부를 둘러싼 권력 네트워크의 움직임을 한 장의 지도처럼 그려냈다.

AI에 의한 표적 식별, 사이버 공격에 의한 기능 무력화, 정보 작업에 의한 심리적 동요 유발, 그리고 물리적인 군사 타격. 이처럼 데이터, 알고리즘, 사이버 공간, 그리고 화력이 하나로 결합해 작전이 수행되는 형태는, 중국 인민해방군 장교들이 제시해 온 ‘지능화 전쟁(Intelligentized Warfare)’ 개념 자체와 가깝다.

이번 작전은 그 이론이 실제 전장에서 재현된 사례로도 주목받고 있다.

■ 이란의 사이버 보복과 향후 전개

압도적인 군사력 차이에 직면한 이란에게 사이버 공격은 드물게 비대칭적인 보복 수단이 된다.

실제로 이란에 귀속된 것으로 알려진 해커 집단이 요르단의 연료 공급 시스템을 공격했다고 주장하고 있으며, 중동 각지의 공항과 은행을 표적으로 한 사이버 공격도 선언했다.

다만 현재로서는 실제 사이버 공격보다 정보전 비중이 더 큰 것으로 보인다. SNS에서는 “미군 기지가 공격당했다”, “미 항공모함이 격침됐다”는 영상과 이미지가 다양하게 퍼졌지만, 그 대부분은 진위가 불분명하거나 허위 정보이다. 전황을 둘러싼 혼란과 불확실성을 확대하는 것 자체가 전략적 정보전의 일환이다.

한편, 미국·이스라엘의 군사 작전이 일단락된 뒤 서방 국가와 그 동맹국에 대한 사이버 보복이 본격화될 가능성을 배제할 수 없다.

실제로 보안 기업 Anomali는 “앞으로 14일 이내에 서방 국가 및 동맹국에 대한 이란의 사이버 보복이 이루어질 가능성이 85~90%에 달한다”고 분석했다. 이 예측이 어느 정도 현실화될지는 알 수 없지만, 미국 본토와 동맹국, 혹은 민간 기업 등을 표적으로 하는 간접적인 사이버 공격이 확대될 위험에 대해서는 계속해서 주의가 필요하다.

이번 사례가 보여주는 것은 전쟁의 모습 자체가 변하고 있다는 현실이다. 군사 작전은 이제 미사일이나 폭격만으로 끝나는 것이 아니라, 사이버 침입, 정보전, AI 기반 데이터 분석 및 의사결정 지원이 결합되어 물리적 공간과 디지털 공간을 가로지르는 형태로 수행되고 있다.

이러한 전투의 변화는 일본에게도 무관하지 않다. 중동에서 충돌이 격화되면 이란의 프록시(대리) 세력에 의한 DDoS 공격이나 랜섬웨어 공격이 서방 국가들의 기업과 인프라에 파급될 가능성이 있다. 실제로 미국과 영국에서는 주요 인프라 사업자에게 사이버 방어 강화를 요구하는 경고가 나오고 있다.

멀리 떨어진 분쟁이라도 사이버 공간에서는 직접적인 영향을 미친다. 이번 사건은 지정학적 위험과 사이버 위험이 불가분한 시대에 일본의 안보와 위기 관리에 대한 사고방식도 업데이트를 요구받고 있음을 보여준다. 중요 인프라 방어, 인재 양성, 비상 대응 체계 정비 등 전투 변화에 대응하는 국가적 대비가 요구되고 있다.

사이토 타카미치 : 메이지 대학 사이버 보안 연구소 소장

イラン指導部の行動を丸裸にした「サイバー作戦」の中身、AI・データ・アルゴリズムが一体となった“知能化戦争”の幕開け

イラン指導部の行動を丸裸にした「サイバー作戦」の中身、AI・データ・アルゴリズムが一体と

イラン指導部の行動を丸裸にした「サイバー作戦」の中身、AI・データ・アルゴリズムが一体となった“知能化戦争”の幕開け / 3/7(土) / 東洋経済オンライン

アメリカ、イスラエル、イランはいずれもサイバー攻撃力が高い国として知られている（写真：Getty Images）

　アメリカはイランの核開発問題を巡る対立の末、2026年2月28日、「エピック・フューリー作戦」と呼ばれる軍事作戦をイスラエルと共に開始した。

　今回の作戦は、従来の限定的な施設破壊とは異なり、イランの核・軍事インフラの広範な無力化に加え、ハメネイ師を含む体制中枢への打撃、すなわちデカピテーション(指導部排除)を目的とした大規模軍事作戦であった。

　事前にサイバー侵入や監視による情報収集が行われ、指導部の行動が把握されていたことからも、これは偶発的な結果ではなく、計画された作戦として実行されたものである。

　この軍事行動の背後では、攻撃に先立つ形でサイバー空間での活動が展開されていた。現時点では断片的な情報が多いものの、今回の事例は、現代戦においてサイバー作戦や情報工作が物理的な軍事行動に先行し、作戦環境を整える重大な役割を担っていることを示唆している。

■ サイバーは主戦力ではないが作戦環境を整える手段

　アメリカ、イスラエルそしてイラン、いずれもサイバー攻撃力が高い国として知られている。

　しかし、軍事の観点から見ると、サイバー攻撃や情報工作は単独で戦争の帰趨を決める兵器ではない。実際の作戦では、陸・海・空などの軍事行動と連動し、その効果を高める「戦力倍増要素(イネーブラー)」として位置づけられることが多い。

　ハッキングによって偵察や監視により優位性を確保し、敵の通信や指揮系統を混乱させる、状況認識を妨害する、情報を窃取する、あるいは誤情報を流して判断を狂わせるといった活動は、航空攻撃やミサイル攻撃などの成功率を高める。

　さらに、サイバー作戦は、しばしば「見えない火力」と呼ばれるが、作戦発動のかなり前から侵入や潜伏が行われる長期的なキャンペーンとして準備されることが多い。

　平時からネットワーク内部にアクセスを確保しておくこと自体が、デフェンド・フォワード(前方防御)、いわば「前進配置」のような戦略的資産となる。今回の作戦でも、それに先駆けて、その基盤となる侵入や情報収集は数カ月、場合によっては数年単位で進められていたようだ。

■ 主戦場の物理戦をサポートするサイバー作戦

　アメリカのシンクタンク「戦争研究所(ISW)」の分析からも明らかなように、今回の作戦は、主に①防空網の制圧、②ミサイル・ドローン拠点の破壊、③指揮系統の断絶といった軍事目標への打撃を組み合わせたものであった。

　これらの攻撃は、革命防衛隊(IRGC)を含むイランの指揮命令系統を混乱させ、体制中枢への打撃を可能にするための作戦環境を整える役割を持つ。すなわち今回の軍事行動の本質は、ハメネイ師や軍指導部を直接狙う「デカピテーション」を主軸とした作戦であったと考えられる。

　攻撃開始前後、イラン国内のインターネット接続率は通常の約1％から数％程度にまで急落し、国営通信社のウェブサイトが一時アクセス不能になるなど通信環境の混乱が観測された。

　これをサイバー攻撃によるものとする報道もあったが、この通信障害が外部からのサイバー攻撃によるものかどうかは断定できない。

　軍事作戦の初期段階で敵国の通信インフラを無力化することは一般的な手法である一方、イラン政府は過去にも国内統制のために自らインターネット遮断を行ってきた経緯があり、今回も政府側によるネットワーク遮断であった可能性が指摘されている。

　それ以上に着目すべき点として、今回の軍事行動の背景には、長期間にわたるサイバー浸透工作があった。

　報道によれば、イスラエルは数年にわたりテヘランの交通カメラ網やモバイル通信網に侵入し、信号機や街角の監視カメラ、通信メタデータを通じて都市全体を監視基盤として利用していた。

　イランが国内の抗議者や反体制派を監視するために整備した監視インフラが逆に利用され、首都の交通ネットワークと通信網そのものがイスラエル側の情報収集プラットフォームとして機能してしまった。

　こうして収集されたデータにより、最高指導者アリ・ハメネイ師周辺の護衛体制や車両の出入り、警備の交代パターン、さらには革命防衛隊幹部や政治顧問を含む権力中枢の移動や接触関係が継続的に把握されていた。

　つまりイランの指導部の行動は事実上「丸裸」にされており、軍事作戦の発動以前から敵の中枢を監視するディフェンドフォワード(前方防御)型のサイバー作戦が実行されていたことになる。

■ 情報戦とAIが支える「知能化戦争」

今回の作戦では、軍事攻撃と並行して心理戦や情報戦も展開された。

　攻撃開始直後、スマートフォンの祈祷通知アプリのシステムへのハッキングを通じて、ペルシャ語のメッセージが約30分間にわたり拡散され、「持ち場を放棄し解放軍に加わるように」「審判の時が来た」といった内容が発信されたと報じられている。

　また、イランのタスニム通信社のサイトにも侵入が行われ、ハメネイ師を中傷するメッセージが掲載されたとの報道もある。こうした活動は、サイバー侵入を通じて軍事攻撃と同時に社会心理へ揺さぶりをかけ、体制側の混乱や動揺を誘発する典型的な情報戦の手法である。

　さらに今回の作戦で注目すべきは、取得された膨大な監視データをAIで解析する手法である。

　報道によれば、イスラエルの情報部隊はハッキングした交通カメラの映像に加え、携帯電話の電波や通信メタデータなど数十億規模のデータポイントを統合し、「誰が誰と接触し、誰が誰に影響を与えているのか」を特定するネットワーク分析を行った。

　この解析により、ハメネイ師やその周辺を取り巻く状況が可視化された。その結果、護衛の通勤ルートや勤務時間、車両の出入り、側近との接触関係までを時系列で追跡する「生活パターン」が構築されたとされる。

　断片的な監視映像や通信記録は、AIによって結び付けられることで意味を持つデータへと変換され、指導部を取り巻く権力ネットワークの動きを一枚の地図のように描き出した。

　AIによる標的の特定、サイバー攻撃による機能の無力化、情報工作による心理的動揺の誘発、そして物理的な軍事打撃。このようにデータ、アルゴリズム、サイバー空間、そして火力が一体となって作戦が遂行される形態は、中国人民解放軍の将校が提唱してきた「知能化戦争(Intelligentized Warfare)」の概念そのものに近い。

　今回の作戦は、その理論が現実の戦場で再現された事例としても注目される。

■ イランのサイバー報復と今後の展開

　圧倒的な軍事力の差に直面したイランにとって、サイバー攻撃は数少ない非対称的な報復手段となる。

　実際、イランに帰属するとされるハッカー集団がヨルダンの燃料供給システムを攻撃したと主張しているほか、中東各地の空港や銀行を標的としたサイバー攻撃も宣言している。

　もっとも、現時点では実際のサイバー攻撃よりも情報戦の比重が大きいとみられる。SNS上では「米軍基地が攻撃された」「米空母が撃沈された」とする動画や画像がさまざま拡散したが、その多くは真偽不明、あるいは偽情報である。戦況をめぐる混乱や不確実性を拡大させること自体が、戦略的な情報戦の一環である。

一方で、アメリカ・イスラエルによる軍事作戦が一段落した後、西側諸国やその同盟国に対するサイバー報復が本格化する可能性は否定できない。

　実際、セキュリティ企業Anomali社は「今後14日以内に西側諸国および同盟国に対するイランのサイバー報復が行われる可能性は85〜90％に達する」と分析している。この予測がどこまで現実化するかは不明だが、アメリカ本土や同盟国、あるいは民間企業などを標的とした間接的なサイバー攻撃が拡大するリスクには引き続き注意が必要である。

　今回の事例が示しているのは、戦争の姿そのものが変化しているという現実である。軍事作戦はもはやミサイルや爆撃だけで完結するものではなく、サイバー侵入、情報戦、AIによるデータ解析と意思決定支援が組み合わさることで、物理空間とデジタル空間を横断する形で遂行されるようになっている。

　こうした戦いの変化は、日本にとっても無関係ではない。中東での衝突が激化すれば、イランのプロキシ(代理)勢力によるDDoS攻撃やランサムウェア攻撃が、西側諸国の企業やインフラに波及する可能性がある。実際、アメリカやイギリスでは重要インフラ事業者に対し、サイバー防御の強化を求める警告が出されている。

　遠くの紛争であっても、サイバー空間では影響が直接及ぶ。今回の出来事は、地政学リスクとサイバーリスクが不可分となった時代において、日本の安全保障や危機管理の考え方もまたアップデートを迫られていることを示している。重要インフラ防御、人材育成、有事対応体制の整備など、戦いの変化に対応した国家的な備えが求められている。

齋藤 孝道 :明治大学サイバーセキュリティ研究所所長