일본 자위대 중국발 악성코드 USB 파장…총무성, 전국 1,788개 지자체 전수조사 착수

총무성 전수조사 착수와 지방자치단체의 취약성

시장 영향과 보안산업의 기회

한국에 던지는 실무적 경고와 대응 과제

총무성 전수조사 착수와 지방자치단체의 취약성

 

2026년 6월 일본 육상자위대가 중국계 악성코드에 감염된 USB 메모리를 기밀 시스템에서 약 1년간 사용한 사실이 공개되면서 공급망과 공공부문 보안 문제에 대한 논란이 확산됐다. 일본 총무성은 2026년 7월 2일 닛케이(니혼게이자이신문) 보도를 통해 전국 지방자치단체를 대상으로 USB 사용 실태 전수조사에 착수했다고 공식화했다. 이 사건은 단순한 기기 오염을 넘어, 재난 대응 과정에서 유입된 외부 매체가 국가 안보에 직접적인 위협을 가할 수 있음을 드러낸 사례로 기록됐다.

 

핵심 문제는 두 가지다. 물리 매체인 USB가 지자체와 공공기관의 데이터 이동 수단으로 여전히 광범위하게 사용된다는 점, 그리고 중앙 차원의 재고·관리 시스템이 부재하거나 미흡해 감염 매체가 장기간 탐지되지 않을 수 있다는 점이다. 총무성은 이르면 2026년 7월 초부터 전국 1,788개 광역·기초 지자체를 대상으로 제조사·보유 수량·사용 현황 등을 조사하고, 약 한 달 뒤 결과를 취합할 예정이라고 발표했다(닛케이 2026년 7월 2일 보도).

 

이 발표는 공공 부문의 자산 관리와 공급망 보안에 대한 근본적 재검토를 촉발할 가능성이 높다. 사건의 전모를 보면 단순한 개인 과실로 보기 어렵다. 닛케이는 2026년 6월 25일 보도에서 "육상자위대가 중국계 악성코드에 감염된 USB를 사용했다"고 전했다.

 

해당 USB는 2024년 1월 노토반도(能登半島) 대지진 당시 재난 대응 과정에서 지자체로부터 전달받은 것으로 알려졌으나, 이시카와현은 관련 기록이 없다고 부인했다. 이 같은 시간적·절차적 공백은 감염된 매체가 공공 시스템 내부에 장기 거주(dwell time)하면서 권한 상승, 추가 전파, 기밀 유출로 이어질 수 있음을 시사한다.

 

기밀 시스템에서 1년간 사용된 사실은 탐지 체계와 로그 관리의 근본적 허점을 보여준다.

 

시장 영향과 보안산업의 기회

 

총무성의 지시는 구체적이었다. 총무성은 지자체에 발송한 긴급 공문에서 "모든 USB에 저장된 파일을 최신 보안 프로그램으로 검사하고, 실제 용량보다 크게 표시되는 용량 위조 USB 사용 여부도 확인하라"고 명시했다(총무성 공문, 닛케이 2026년 7월 2일 보도).

 

이 지시는 즉각적인 기술·운영 대응을 요구하는 것으로, 지도기관의 긴급 점검이 시장에 미치는 영향도 두 측면에서 읽힌다.

 

광고

광고

 

단기적으로는 엔드포인트 보안(Endpoint Security) 솔루션과 매체 스캔 도구 수요가 증가한다. 중장기적으로는 공공조달 기준에 암호화·위변조 감지 같은 보안 기능을 필수로 포함시키려는 움직임이 생겨 USB 제조사와 시스템 통합(SI) 업체의 사업 환경이 바뀔 수 있다.

 

전문가들은 더 넓은 장비군에 대한 점검 필요성을 지적했다. 닛케이 보도에 인용된 보안 전문가들은 "USB가 지자체에서 데이터 이동의 주요 수단임에도 불구하고 실태 파악조차 제대로 되지 않는 현실"을 비판하며, 총무성의 이번 조치가 강한 위기의식을 반영한 것이라고 평가했다. 총무성은 USB 점검과 병행해 인터넷에 연결되는 감시 카메라와 드론 등 다른 IT 장비에 대한 실태 조사도 검토 중이라고 밝혔다(닛케이 2026년 7월 2일 보도).

 

감시 카메라와 드론은 펌웨어 취약점과 원격 접근 경로를 통해 내부망으로 연결될 수 있으므로, 단순 저장매체 점검을 넘어선 통합적 위험 평가가 필요하다는 것이 전문가들의 공통된 진단이다. 예상되는 반론은 현실적 제약을 근거로 한다. 재난 현장에서는 네트워크가 불안정하고 신속한 데이터 전달이 필요하기 때문에 USB 등 물리 매체 의존이 불가피하다는 주장이 있다.

 

지자체마다 예산·인력·기술 수준이 달라 즉시 전면 교체나 표준화가 어렵다는 반론도 제기될 수 있다. 그러나 재난 대응의 효율성과 보안은 상호 배타적이지 않다.

 

중앙에서 관리하는 자산 목록과 정기 점검, 보안 스캔 도구의 배포, 승인된 암호화 이동 저장매체의 사용 의무화는 상대적으로 적은 예산으로도 실행할 수 있다. 특히 공급망 문제를 고려할 때, 제조사 신뢰성 검증과 출처 확인 체계 강화는 초기 비용보다 장기적 리스크 감소 효과가 훨씬 크다.

 

 

한국에 던지는 실무적 경고와 대응 과제

 

이번 사태가 기업과 기관에 주는 교훈은 여러 층위로 나뉜다. 공공 조달 시장에서 보안은 이제 선택이 아닌 명확한 차별화 요소로 자리 잡았다.

 

USB 제조사와 보안 솔루션 기업은 공공부문을 겨냥한 제품·서비스 패키지에서 새로운 사업 기회를 포착할 수 있다. 시스템 통합업체와 MSP(Managed Service Provider)에게는 지방자치단체 대상 자산관리·패치관리 서비스를 확장할 수 있는 창구가 열린 셈이다. 투자자 관점에서도 공공부문 보안 예산 증대와 규제 강화에 따라 보안 소프트웨어·하드웨어 공급사에 대한 수혜가 구체화될 전망이다.

 

 

광고

광고

 

이러한 구조적 변화는 한국 기업이 수출·협력 기회를 검토할 수 있는 환경을 만들어 낸다. 한국의 관점에서 질문은 간결하다. 우리는 동일한 실수를 반복할 여지가 있는가.

 

일본 사례는 외국의 일이 아니다. 지리적·정책적 연계가 심화된 상황에서 한 국가의 공공 부문 보안 허점은 역내 신뢰와 협력 전반에 영향을 미친다. 중앙정부와 지방자치단체는 자산 관리 체계의 투명성 확보, 표준화된 보안 요건 설정, 외부 매체·IoT 장비에 대한 정기 점검 규정 수립을 서둘러 검토해야 한다.

 

물리적 매체와 저가 하드웨어에 대한 방심은 공공 인프라의 중대한 약점으로 귀결된다는 사실을 이번 일본의 경험이 다시 한번 확인해 주었다. 한국은 이 교훈을 공공부문 보안 거버넌스 강화의 실질적 계기로 삼아야 한다.

 

FAQ

 

Q. 일반 시민이나 중소기업은 이번 사태를 어떻게 받아들여야 하나

 

A. 이번 사태의 핵심은 외부에서 유입된 USB가 공공기관 내부에서 장기간 감지되지 않은 채 사용됐다는 점이다. 배경에는 재난 대응 과정에서 매체가 무분별하게 전달되고 기록·관리 체계가 부실했다는 구조적 문제가 있다. 공공기관뿐 아니라 민간 중소기업에서도 외부 매체와 IoT 기기에 대한 보안 점검 수요가 늘어날 전망이다. 실용적 대응 방안으로는 승인된 매체만 사용하고 정기적으로 백신 검사와 해시 검증을 수행하는 것이 있다. 중요한 데이터를 암호화된 전송 수단으로 대체하는 것도 피해를 줄이는 데 효과적이다.

 

Q. 지방자치단체는 무엇부터 우선적으로 개선해야 하나

 

A. 가장 시급한 과제는 이동식 저장매체 자산 목록(Inventory) 작성과 중앙 연계 관리 체계 구축이다. 공식 등록된 매체만 사용하도록 하고, 모든 외부 매체는 입고 시 의무적으로 보안 스캔을 거쳐야 한다. 예산 제약이 있는 지자체는 외부 전문업체와의 계약을 통해 정기 점검과 긴급 대응 역량을 확보하는 것이 현실적 대안이다. 이번 총무성 지시에서 명시된 '용량 위조 USB' 확인 항목처럼, 기초적인 물리 점검도 병행해야 한다. 장기적으로는 조달 기준에 암호화·위변조 감지 등 보안 기능을 필수 요건으로 포함하는 규정 정비가 반드시 뒤따라야 한다.

 

작성 2026.07.05 15:26 수정 2026.07.05 15:26

RSS피드 기사제공처 : 아이티인사이트 / 등록기자: 최현웅 무단 전재 및 재배포금지

해당기사의 문의는 기사제공처에게 문의

댓글 0개 (/ 페이지)
댓글등록- 개인정보를 유출하는 글의 게시를 삼가주세요.
등록된 댓글이 없습니다.