지난해 정보보호 및 개인정보보호 관리체계 인증(ISMS-P), 정보보호 관리체계 인증(ISMS)을 받은 기업마저도 해커의 공격에 무너졌다. 이에 정부가 강화를 골자로 인증 체계를 손보고 있다. '체크리스트' 형식의 서류 중심 인증 심사에서 벗어나 모의해킹, 취약점 진단 등을 의무화하는 식의 '현장 검증'을 강화하는 방안이 꼽힌다. 이에 에스투더블우(S2W) 등 공격자 관점에서 조직의 취약점을 선제적으로 파악하고 대응하는 오펜시브 보안 기업에 관심이 모아지고 있다.
19일 한국인터넷진흥원(KISA)에 따르면 국내 사이버 침해사고 신고 건수는 2022년 1천142건, 2023년 1천277건, 2024년 1천887건 등으로 매년 증가세를 기록했다. 지난해 수치는 집계되지 않았지만, 상반기에만 1천건 이상이 접수돼 전년 동기 대비 침해사고 신고 건수는 약 15% 늘었다.
특히 지난해 SK텔레콤, KT, 롯데카드 등 굵직한 해킹 사고가 터져 나온 데다, 이들 기업이 ISMS 및 ISMS-P 인증을 받았음에도 외부 공격을 당했다는 사실이 알려져 현행 인증 제도가 충분히 대응하지 못한다는 지적도 제기되고 있다. 반기 또는 연 단위로 시행하는 주기적인 점검과 정부 차원에서 시행하는 인증 제도만으로는 실질적인 위험을 막는데 도움이 되지 않는다는 지적도 나온다.
이에 정부는 ISMS 및 ISMS-P 제도 전반에 대한 손질에 나섰다. 개인정보보호위원회와 과학기술정보통신부는 대책회의를 마련하고, 주요 공공 시스템과 대규모 플랫폼 등 중요 개인정보처리자를 대상으로 ISMS-P 인증 의무화를 2027년 7월부터 시행할 예정이다. 또 보안 사고와 직결되는 항목인 패치 관리, 취약점 점검 등 부문에서 기준에 미달할 경우 인증심사를 중단, 인증 부여 자체가 멈춘다. 인증의 실효성 강화를 위해 정부가 본격적으로 칼을 빼든 양상이다.
정부가 취약점 점검 등 부문에서 강력한 기준점을 제시한 만큼 사전에 취약점을 찾아내고 조치하기 위한 모의해킹, 취약점 진단 등 오펜시브 시큐리티 분야가 탄력을 받을 전망이다. 실제 정부가 제시한 개선안에는 사고 이력이 있거나 고위험군으로 분류된 기업에 대해 예비심사 단계부터 취약점 진단과 더불어 실제 공격 상황을 가정한 모의해킹(Penetration Testing)을 의무화하는 내용이 포함됐다.
이런 변화에 S2W는 실전형 검증 수요에 대응하기 위해 사이버위협 인텔리전스(CTI) 기반 분석 역량을 모의해킹 절차에 결합한 보안 모델을 고객사에 제시할 청사진을 갖고 있다. 디지털 리스크 프로텍션(DRP)과 공격표면관리(ASM), 위협 인텔리전스(TI)를 연계해 조직의 공격 노출 구간을 입체적으로 파악할 수 있도록 지원하는 형태다.
특히 자체 공격 표면 관리(ASM) 솔루션을 통해 외부 공격표면을 식별하고, 위험도 판별 알고리즘으로 내부 자산의 대응 우선순위를 도출하는 것이 특징이다. 공개된 취약점을 자동 검증하는 CART(Continuous Automated Red Teaming) 시스템을 활용해 실제 위협 행위자의 공격 시나리오 기반 테스트도 수행하는 것도 가능하다.
관련기사
- 정부, 보안인증 ISMS-P 내년 7월부터 의무화2026.01.13
- 내부자 무선 백도어 해킹, 신종 수법 부상…"ISMS에 포함돼야"2026.01.06
- 보안 인증 8년만에 대폭 손질...컨설팅기업들 "특수 온다" 함박웃음2026.01.11
- 보안 사고 뿌리, AI가 알려준다…S2W, '통제 가능한' 침입 분석 프레임워크 제시2026.01.08
아울러 공격자의 전술·기술·절차(TTP)를 분석해 대비해야 할 취약점과 선제적 대응 방안을 제안하며, 다크웹에 유출된 계정 정보로부터 파생될 수 있는 공격 시나리오까지 검토하도록 지원하고 있다.
양종형 S2W 오펜시브연구팀장은 "S2W의 모의해킹 서비스는 노출 지표를 통합적으로 관리하고 취약점의 우선순위를 실시간으로 조정하는 등 지속적 위협 노출 관리(CTEM) 체계를 구축하는 데 필요한 기반을 제공한다"고 설명했다.
