.gif)
[보안뉴스 강현주 기자] SK텔레콤 유심 정보 유출 사고로 ‘정보보호체계인증’(ISMS) 실효성 논란이 재점화된 가운데, 인증 심사에 ‘모의해킹’을 포함해 제도의 효과를 높이는 방안이 검토되고 있다. 보안 업계는 “매우 바람직하다”며 긍정적 반응이다.
10일 개인정보보보위원회 등 정부 관계자들에 따르면 ISMS와 ISMS-P 인증 심사 과정에 ‘모의해킹’을 추가하는 방안을 검토 중이다. 이 같은 내용은 지난달 열린 ‘개인정보 정책포럼’과 ‘PIS FAIR 2025’에서도 공개된 바 있다.
ISMS는 한국인터넷진흥원(KISA)이 심사하는 국가 공인 ‘정보보호 체계 인증’이다. 기업 및 기관이 운영하는 보안 체계의 적합 여부를 인증하는 제도로, 심사 항목은 80개다. ISMS-P는 ‘정보보호 및 개인정보보호 체계 인증’이다. ISMS 심사항목 80개에 개인정보 처리단계별 요구사항 21개를 추가한 101개 항목을 심사한다.
일정 규모 이상의 대상 기업들은 ISMS를 의무 취득해야 하며, ISMS와 ISMS-P 중 선택할 수 있다.
▲ISMS-P 인증 마크 [자료: 한국인터넷진흥원]
“현행 ‘모의훈련’으로는 역부족 ”
두 인증은 기업이 최소한의 보안 체계를 확보할 수 있는 기준을 제시한다는 장점이 있다. 하지만 정해진 항목만 충족하면 되기에, 보안 노력을 지속적으로 강화할 인센티브를 제공하기보다는 사고를 당할 경우 면죄부 역할을 한다는 비판도 만만치 않았다.
이미 ISMS-P를 취득한 SKT가 최근 해킹 사고를 당함에 따라 실효성 논란이 다시 불붙었다.
현재 ISMS-P 인증 심사 항목엔 침해 사고를 대비한 ‘모의훈련’도 포함돼 있다. ‘인증 기준 2.11.4 사고 대응 훈련 및 개선’이 이에 대한 항목이다. 기업들은 인증 심사 통과를 위해 시나리오에 따른 모의훈련을 연 1회 이상 실시해야 한다.
KISA 관계자는 이 항목에 대해 “임직원과 이해관계자가 침해사고 및 개인정보 유출사고 대응 절차를 숙지하고 훈련 결과를 반영해 대응체계를 개선하도록 하는 목적”이라며 “기업이 가진 정보시스템 데이터의 공격 위험을 분석할 수 있으며, 모의해킹 등의 수단을 통해 위험을 줄이는 노력을 병행할 수 있다”고 설명했다.
하지만 이 항목이 말하는 모의훈련은 ‘제3자’ 관점의 모의해킹 수준에는 많이 못 미친다. 악성 이메일 훈련 위주이고, 인증 기준에 제시된 항목들의 통과 여부를 판단하는 식이라 문턱이 낮은 편이라는 게 업계 설명이다.
이에 정부는 외부 전문 기관이 제공하는 모의해킹 서비스를 인증 심사에 추가하는 방안을 검토하고 있다. 제3자가 실시하는 모의해킹 서비스가 자체 모의훈련보다 훨씬 면밀하고 객관적으로 취약점을 분석할 수 있기 때문이다.
이 안이 반영되면 대상 기업들은 심사 통과를 위해 외부 모의해킹 서비스를 받아야 한다. 현재 과학기술정보통신부와 개인정보위에서는 이 같은 논의가 오가고 있다.
개인정보위 관계자는 “ISMS와 ISMS-P의 실효성을 높이기 위해 외부 모의해킹 서비스를 통한 취약점 점검 항목을 추가하는 등 다양한 방안을 과기정통부와 검토 중”이라며 “다만 아직 의견 수렴 중이며, 도입 시기나 어떤 형태로 반영할지 등은 현재 확정된 것이 없다”고 밝혔다.
KISA 관계자는 “ISMS-P 인증제도 실효성 제고를 위해 관계 부처 및 기관과 논의 중이며, 산학연 등 이해관계자 의견을 수렴해 개선안을 마련할 예정”이라고 말했다.
▲SKT 해킹 사고 이후로 보안 인증 실효성 강화 목소리가 커지고 있다. [자료: 연합]
“제3자 관점 침투 테스트 주기적으로 필요”
정부 차원에서 인증 심사 모의해킹 적용안이 검토된다는 사실에 보안 업계는 환영하는 분위기다. SKT 사고에서 보듯 현재 국내 기업들의 정보보호 체계는 미흡하다. ‘최소치’에 해당하는 보안 인증을 강화해야 한다는 목소리가 높다. 보안 인증에 모의해킹을 포함하는 것은 이에 부합하는 바람직한 움직임이라고 입을 모은다.
국내 보안 산업 성장에 기여할 것이라는 기대도 나온다. 특히 일회성 이벤트가 아니라 주기적으로 제3자 침투 테스트를 실시하는 문화가 정착돼야 한다는 지적이 공통적이다.
보안 업계 한 전문가는 “모의해킹은 실제 해커 입장에서 공격해보고 취약점을 찾아내기 때문에 실효성 면에서 차원이 다르다”라며 "인증 심사에 모의해킹이 추가되면 국내 기업 보안 체계 강화와 보안 시장 성장이라는 측면에서 모두 바람직하다”고 강조했다.
또 다른 전문가는 “모의해킹은 실제 공격 시나리오를 통해 보안 수준의 현실적 위협 노출도와 대응 역량까지 검증할 수 있다”며 “고위험 자산보호와 보안팀 훈련 측면에서도 실질적 효과를 기대할 수 있다는 면에서 정부의 움직임은 맞는 방향”이라고 했다.
이성권 엔키화이트햇 대표는 “보안 체계가 선진적인 글로벌 기업들의 경우 제3자 관점의 침투 테스트를 기본적으로 시행하고 있다”며 “인증을 갖췄다 해도 실제 공격자 입장의 침투 테스트 없이는 해킹에 제대로 대응하기 어렵다”고 말했다. 이 대표는 이어 “시스템뿐 아니라 사람 실수로 인한 취약점이나 물리적 취약점까지 점검하는 게 중요하다”고 설명했다.
한편, 모의해킹 서비스를 제공하는 기업으로는 라온시큐어, 엔키화이트햇, 티오리, 스틸리언 등이 있다.
※모의해킹이란? 시스템 소유자나 관리자의 사전 허가를 받아 실제 해커가 실행하는 환경과 동일한 조건 및 기술을 이용해 대상 서버나 서비스의 취약점을 찾고 개선하는 서비스를 말한다.
[강현주 기자(jjoo@boannews.com)]
10일 개인정보보보위원회 등 정부 관계자들에 따르면 ISMS와 ISMS-P 인증 심사 과정에 ‘모의해킹’을 추가하는 방안을 검토 중이다. 이 같은 내용은 지난달 열린 ‘개인정보 정책포럼’과 ‘PIS FAIR 2025’에서도 공개된 바 있다.
ISMS는 한국인터넷진흥원(KISA)이 심사하는 국가 공인 ‘정보보호 체계 인증’이다. 기업 및 기관이 운영하는 보안 체계의 적합 여부를 인증하는 제도로, 심사 항목은 80개다. ISMS-P는 ‘정보보호 및 개인정보보호 체계 인증’이다. ISMS 심사항목 80개에 개인정보 처리단계별 요구사항 21개를 추가한 101개 항목을 심사한다.
일정 규모 이상의 대상 기업들은 ISMS를 의무 취득해야 하며, ISMS와 ISMS-P 중 선택할 수 있다.
▲ISMS-P 인증 마크 [자료: 한국인터넷진흥원]
“현행 ‘모의훈련’으로는 역부족 ”
두 인증은 기업이 최소한의 보안 체계를 확보할 수 있는 기준을 제시한다는 장점이 있다. 하지만 정해진 항목만 충족하면 되기에, 보안 노력을 지속적으로 강화할 인센티브를 제공하기보다는 사고를 당할 경우 면죄부 역할을 한다는 비판도 만만치 않았다.
이미 ISMS-P를 취득한 SKT가 최근 해킹 사고를 당함에 따라 실효성 논란이 다시 불붙었다.
현재 ISMS-P 인증 심사 항목엔 침해 사고를 대비한 ‘모의훈련’도 포함돼 있다. ‘인증 기준 2.11.4 사고 대응 훈련 및 개선’이 이에 대한 항목이다. 기업들은 인증 심사 통과를 위해 시나리오에 따른 모의훈련을 연 1회 이상 실시해야 한다.
KISA 관계자는 이 항목에 대해 “임직원과 이해관계자가 침해사고 및 개인정보 유출사고 대응 절차를 숙지하고 훈련 결과를 반영해 대응체계를 개선하도록 하는 목적”이라며 “기업이 가진 정보시스템 데이터의 공격 위험을 분석할 수 있으며, 모의해킹 등의 수단을 통해 위험을 줄이는 노력을 병행할 수 있다”고 설명했다.
하지만 이 항목이 말하는 모의훈련은 ‘제3자’ 관점의 모의해킹 수준에는 많이 못 미친다. 악성 이메일 훈련 위주이고, 인증 기준에 제시된 항목들의 통과 여부를 판단하는 식이라 문턱이 낮은 편이라는 게 업계 설명이다.
이에 정부는 외부 전문 기관이 제공하는 모의해킹 서비스를 인증 심사에 추가하는 방안을 검토하고 있다. 제3자가 실시하는 모의해킹 서비스가 자체 모의훈련보다 훨씬 면밀하고 객관적으로 취약점을 분석할 수 있기 때문이다.
이 안이 반영되면 대상 기업들은 심사 통과를 위해 외부 모의해킹 서비스를 받아야 한다. 현재 과학기술정보통신부와 개인정보위에서는 이 같은 논의가 오가고 있다.
개인정보위 관계자는 “ISMS와 ISMS-P의 실효성을 높이기 위해 외부 모의해킹 서비스를 통한 취약점 점검 항목을 추가하는 등 다양한 방안을 과기정통부와 검토 중”이라며 “다만 아직 의견 수렴 중이며, 도입 시기나 어떤 형태로 반영할지 등은 현재 확정된 것이 없다”고 밝혔다.
KISA 관계자는 “ISMS-P 인증제도 실효성 제고를 위해 관계 부처 및 기관과 논의 중이며, 산학연 등 이해관계자 의견을 수렴해 개선안을 마련할 예정”이라고 말했다.
▲SKT 해킹 사고 이후로 보안 인증 실효성 강화 목소리가 커지고 있다. [자료: 연합]
“제3자 관점 침투 테스트 주기적으로 필요”
정부 차원에서 인증 심사 모의해킹 적용안이 검토된다는 사실에 보안 업계는 환영하는 분위기다. SKT 사고에서 보듯 현재 국내 기업들의 정보보호 체계는 미흡하다. ‘최소치’에 해당하는 보안 인증을 강화해야 한다는 목소리가 높다. 보안 인증에 모의해킹을 포함하는 것은 이에 부합하는 바람직한 움직임이라고 입을 모은다.
국내 보안 산업 성장에 기여할 것이라는 기대도 나온다. 특히 일회성 이벤트가 아니라 주기적으로 제3자 침투 테스트를 실시하는 문화가 정착돼야 한다는 지적이 공통적이다.
보안 업계 한 전문가는 “모의해킹은 실제 해커 입장에서 공격해보고 취약점을 찾아내기 때문에 실효성 면에서 차원이 다르다”라며 "인증 심사에 모의해킹이 추가되면 국내 기업 보안 체계 강화와 보안 시장 성장이라는 측면에서 모두 바람직하다”고 강조했다.
또 다른 전문가는 “모의해킹은 실제 공격 시나리오를 통해 보안 수준의 현실적 위협 노출도와 대응 역량까지 검증할 수 있다”며 “고위험 자산보호와 보안팀 훈련 측면에서도 실질적 효과를 기대할 수 있다는 면에서 정부의 움직임은 맞는 방향”이라고 했다.
이성권 엔키화이트햇 대표는 “보안 체계가 선진적인 글로벌 기업들의 경우 제3자 관점의 침투 테스트를 기본적으로 시행하고 있다”며 “인증을 갖췄다 해도 실제 공격자 입장의 침투 테스트 없이는 해킹에 제대로 대응하기 어렵다”고 말했다. 이 대표는 이어 “시스템뿐 아니라 사람 실수로 인한 취약점이나 물리적 취약점까지 점검하는 게 중요하다”고 설명했다.
한편, 모의해킹 서비스를 제공하는 기업으로는 라온시큐어, 엔키화이트햇, 티오리, 스틸리언 등이 있다.
※모의해킹이란? 시스템 소유자나 관리자의 사전 허가를 받아 실제 해커가 실행하는 환경과 동일한 조건 및 기술을 이용해 대상 서버나 서비스의 취약점을 찾고 개선하는 서비스를 말한다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
