국내 사이버 위협이 고도화되면서 기업 보안 검증의 기준이 변화하고 있다. 한국인터넷진흥원에 따르면 국내 사이버 침해사고 신고 건수는 2022년 1142건, 2023년 1277건, 2024년 1887건으로 매년 증가했다. 지난 한 해에는 11월 기준 2167건이 접수됐으며 상반기에만 1000건 이상이 발생해 전년 동기 대비 약 15% 늘었다. 이 가운데 서버 해킹과 디도스(DDoS) 공격이 전체의 약 75%를 차지하며 위협 강도도 지속적으로 높아지고 있다.
이러한 환경 변화 속에서 연 1~2회 정기 점검과 정보보호 인증 취득에 의존해 온 기존 보안 전략의 한계가 드러나고 있다. 공격 기법은 자동화와 지능화를 거듭하며 24시간 조직의 취약 지점을 탐색하고 있으며 클라우드와 SaaS 도입 확대로 공격표면 또한 지속적으로 변화하고 있다. 인증 취득 시점에는 문제가 없더라도 이후 새롭게 등장하는 취약점과 공격 기법까지 포괄적으로 관리하기에는 현행 점검 방식이 충분하지 않다는 지적이 이어지고 있다.
이에 정부는 정보보호관리체계(ISMS)와 개인정보보호관리체계(ISMS-P) 제도 전반에 대한 개선에 나섰다. 개인정보보호위원회와 과학기술정보통신부는 관계부처 대책회의를 통해 ISMS-P 의무 인증 대상을 주요 공공 시스템과 통신사, 대규모 플랫폼까지 확대하고 서류 중심 심사에서 벗어나 현장 검증을 강화하는 방안을 발표했다. 특히 사고 이력이 있거나 고위험군으로 분류된 기업에 대해서는 예비심사 단계부터 취약점 진단과 함께 실제 공격 상황을 가정한 모의해킹을 의무화하는 내용이 포함됐다.
이 같은 제도 변화는 산업 전반에서도 실전 대응력 중심의 검증 요구를 강화하는 흐름으로 이어지고 있다. 금융보안원이 주요 가상자산 거래소를 대상으로 실제 해킹 방식과 동일한 모의 침투 테스트를 수행해 외부 침입부터 내부 확산까지 위험 경로를 점검한 사례는 기존 문서·절차 중심 점검에서 벗어나 실전 공격 시나리오 기반 평가로 무게중심이 이동하고 있음을 보여준다.
이러한 흐름 속에서 S2W는 사이버위협 인텔리전스(CTI) 기반 분석 역량을 모의해킹 절차에 결합한 실전형 보안 검증 모델을 제시하고 있다. S2W는 디지털 리스크 프로텍션(DRP), 공격표면관리(ASM), 위협 인텔리전스(TI)를 연계해 조직의 공격 노출 구간을 입체적으로 파악하고 실제 위협 시나리오를 기반으로 방어 수준을 검증하는 방식이다.
S2W는 자체 ASM 솔루션을 통해 외부 공격표면을 식별하고 위험도 판별 알고리즘으로 내부 자산의 대응 우선순위를 도출한다. 여기에 공개 취약점을 자동 검증하는 CART(Continuous Automated Red Teaming) 시스템을 활용해 실제 공격자가 사용하는 전술과 유사한 시나리오 기반 테스트를 수행한다. 공격자의 전술·기술·절차(TTP)를 분석해 대비해야 할 취약점과 선제적 대응 방안을 제시하고, 다크웹에 유출된 계정 정보로부터 파생될 수 있는 공격 시나리오까지 검토하도록 지원한다.
양종헌 S2W 오펜시브연구팀장은 “모의해킹은 자동 스캐닝으로 식별된 취약점이 실제 공격으로 이어질 수 있는지를 확인해 위험도를 판단하는 과정”이라며 “이를 통해 조직은 공격자가 실제로 악용할 가능성이 높은 지점부터 우선적으로 대응할 수 있다”고 말했다. 이어 “S2W의 모의해킹 서비스는 노출 지표를 통합적으로 관리하고 취약점 우선순위를 실시간으로 조정하는 등 지속적 위협 노출 관리(CTEM) 체계 구축을 지원한다”고 밝혔다.
헬로티 구서경 기자 |
