N2SF 개편 및 ISMS-P 의무화 발맞춰 복잡한 입찰 없는 상시 보안망 구축 지원
자산 식별부터 취약점 매핑까지 단일 라이프사이클로 자동화하여 맹점 차단
[보안뉴스 조재호 기자] 위드네트웍스는 자사의 인공지능(AI) 기반 자산 및 보안 취약점 통합관리 플랫폼 ‘withVTM V3.0’이 조달청 나라장터 디지털서비스몰에 정식 등록됐다고 16일 밝혔다. 이번 등록을 통해 공공기관은 복잡한 입찰 절차 없이 수의계약이나 카탈로그 계약 방식으로 해당 솔루션을 신속하게 도입할 수 있게 됐다.
위드네트웍스의 이번 공공 조달 시장 진입은 최근 급격히 강화된 정부의 보안 규제 패러다임과 맞물려 각별한 의미를 지닌다. 지난해 9월 발표된 국가망 보안체계(N2SF)는 기존의 일률적인 물리적 망분리에서 벗어나 업무 중요도 기반의 자산 중심 보안 거버넌스를 강제하고 있다. 또, 지난 4월 개편돼 다가올 2027년 시행을 앞둔 ISMS-P 역시 디지털 자산에 대한 상시 보안 체계를 사실상 의무화한 상태다.
이러한 정책적 압박에도 현장에서는 자산관리와 취약점 점검, 컴플라이언스 증적이 서로 다른 도구와 수작업으로 파편화돼 운영되는 경우가 많아, 도구 사이의 빈틈이 보안 사각지대가 되는 문제가 반복됐다. IT 부서가 인지하지 못한 ‘쉐도우 IT’와 외부 노출된 ‘쉐도우 API’(Shadow API)를 자동으로 식별해 공급망 무결성까지 꿰뚫어 보는 단일화된 라이프사이클 관리가 그 어느 때보다 시급한 시점이다.
withVTM V3.0은 보안 취약점(CVE)과 보안 설정 취약점(CCE)을 단일 플랫폼에서 동시에 진단하고, 외부 노출 서비스 취약점까지 함께 점검한다. 취약점 심각도(CVSS)에만 의존하지 않고 향후 악용 가능성(EPSS)·실제 악용이 확인된 취약점(CISA KEV)·공격 코드 신호에 자산의 업무 중요도를 더해 AI로 종합한 자체 위험도 점수(VRS, Vulnerability Risk Score)를 산출한다. 이를 통해 한정된 보안 인력이 실제 위험한 취약점에 먼저 집중하도록 지원한다.
이외에도 자산 탐지·식별부터 인벤토리·SBOM 작성, 취약점 매핑, VRS 기반 우선순위 산정, 조치 및 재검증에 이르는 전 과정을 하나의 라이프사이클로 자동화한다. 이를 통해 분기 단위의 일회성 점검에 머물던 보안 운영을 상시 관리 체계로 전환하고, 감사에 필요한 증적 자료를 자동으로 수집·보고서화해 ISMS-P·N2SF 등 컴플라이언스 대응 부담을 크게 줄인다.
안종업 위드네트웍스 대표는 “디지털서비스몰 등록으로 공공기관이 까다로운 조달 절차 없이 withVTM V3.0을 신속하게 도입할 수 있는 길이 열렸다”며 “자산 가시성 확보부터 취약점 진단, AI 기반 위협 우선순위 산정, 상시 보안 운영과 컴플라이언스 대응까지, N2SF와 ISMS-P 개편이 요구하는 핵심 과제를 단일 플랫폼에서 해결하도록 지원하겠다”고 말했다.
[조재호 기자(zephyr@boannews.com)]
자산 식별부터 취약점 매핑까지 단일 라이프사이클로 자동화하여 맹점 차단
[보안뉴스 조재호 기자] 위드네트웍스는 자사의 인공지능(AI) 기반 자산 및 보안 취약점 통합관리 플랫폼 ‘withVTM V3.0’이 조달청 나라장터 디지털서비스몰에 정식 등록됐다고 16일 밝혔다. 이번 등록을 통해 공공기관은 복잡한 입찰 절차 없이 수의계약이나 카탈로그 계약 방식으로 해당 솔루션을 신속하게 도입할 수 있게 됐다.
위드네트웍스의 이번 공공 조달 시장 진입은 최근 급격히 강화된 정부의 보안 규제 패러다임과 맞물려 각별한 의미를 지닌다. 지난해 9월 발표된 국가망 보안체계(N2SF)는 기존의 일률적인 물리적 망분리에서 벗어나 업무 중요도 기반의 자산 중심 보안 거버넌스를 강제하고 있다. 또, 지난 4월 개편돼 다가올 2027년 시행을 앞둔 ISMS-P 역시 디지털 자산에 대한 상시 보안 체계를 사실상 의무화한 상태다.
이러한 정책적 압박에도 현장에서는 자산관리와 취약점 점검, 컴플라이언스 증적이 서로 다른 도구와 수작업으로 파편화돼 운영되는 경우가 많아, 도구 사이의 빈틈이 보안 사각지대가 되는 문제가 반복됐다. IT 부서가 인지하지 못한 ‘쉐도우 IT’와 외부 노출된 ‘쉐도우 API’(Shadow API)를 자동으로 식별해 공급망 무결성까지 꿰뚫어 보는 단일화된 라이프사이클 관리가 그 어느 때보다 시급한 시점이다.
withVTM V3.0은 보안 취약점(CVE)과 보안 설정 취약점(CCE)을 단일 플랫폼에서 동시에 진단하고, 외부 노출 서비스 취약점까지 함께 점검한다. 취약점 심각도(CVSS)에만 의존하지 않고 향후 악용 가능성(EPSS)·실제 악용이 확인된 취약점(CISA KEV)·공격 코드 신호에 자산의 업무 중요도를 더해 AI로 종합한 자체 위험도 점수(VRS, Vulnerability Risk Score)를 산출한다. 이를 통해 한정된 보안 인력이 실제 위험한 취약점에 먼저 집중하도록 지원한다.
이외에도 자산 탐지·식별부터 인벤토리·SBOM 작성, 취약점 매핑, VRS 기반 우선순위 산정, 조치 및 재검증에 이르는 전 과정을 하나의 라이프사이클로 자동화한다. 이를 통해 분기 단위의 일회성 점검에 머물던 보안 운영을 상시 관리 체계로 전환하고, 감사에 필요한 증적 자료를 자동으로 수집·보고서화해 ISMS-P·N2SF 등 컴플라이언스 대응 부담을 크게 줄인다.
안종업 위드네트웍스 대표는 “디지털서비스몰 등록으로 공공기관이 까다로운 조달 절차 없이 withVTM V3.0을 신속하게 도입할 수 있는 길이 열렸다”며 “자산 가시성 확보부터 취약점 진단, AI 기반 위협 우선순위 산정, 상시 보안 운영과 컴플라이언스 대응까지, N2SF와 ISMS-P 개편이 요구하는 핵심 과제를 단일 플랫폼에서 해결하도록 지원하겠다”고 말했다.
[조재호 기자(zephyr@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.png){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
