[전자신문] ISMS-P 인증받고도 뚫린다… 미토스 시대, 실전 사이버보안으로 가야 한다

By PLURA

ISMS-P 인증을 받았다는 기업이
랜섬웨어와 데이터 유출로 큰 피해를 입는다.

DLP, NAC, DB 암호화, 백업 체계까지 갖추었는데도
해킹 사고는 반복된다.

왜 이런 일이 생길까.

이유는 단순하다.

정보보안과 사이버보안을 같은 것으로 보기 때문이다

정보보안은 필요하다.

문서 보호, 개인정보 관리, 계정 권한, 보안 교육, 인증 대응, 백업 정책은
기업 보안의 기본이다.

ISMS-P도
최소한의 정보보호 관리체계를 갖추게 만든 중요한 제도다.

문제는
이 체계를 실제 해킹 대응 능력으로 오해할 때 발생한다.

정보보안은 정책과 증적의 언어다.

사이버보안은
“지금 이 순간, 공격자가 어디서 무엇을 하고 있는가”를 보는 언어다.

즉,

인증을 받았는가가 아니라, 지금 공격 흐름을 보고 있는가

이 질문으로 전환해야 한다.

ISMS-P는 필요하지만 충분하지 않다

ISMS-P는
조직이 정보보호와 개인정보보호 관리체계를 갖추었는지 확인하는 제도다.

보안 정책이 있는가.
개인정보 처리 절차가 있는가.
접근 권한을 관리하는가.
로그를 보관하는가.
백업과 복구 절차가 있는가.
보안 교육을 수행하는가.

이 질문들은 모두 중요하다.

하지만 실제 해킹 사고는
정책 문서 안에서 발생하지 않는다.

공격자는
인증서류를 보고 침투하지 않는다.

공격자는
웹 요청을 변조하고,
계정을 탈취하고,
서버에서 명령을 실행하고,
권한을 높이고,
데이터를 조회하고,
외부로 전송하려 한다.

따라서 ISMS-P가 묻는 질문과
실전 사이버보안이 물어야 하는 질문은 다르다.

구분 정보보안 관점 사이버보안 관점
핵심 질문 정책과 절차가 있는가 지금 공격을 보고 있는가
주요 기준 관리체계, 문서, 증적 탐지, 분석, 차단, 증적 확보
로그의 의미 보관 여부와 감사 자료 공격 흐름을 보는 원본 데이터
보안 장비의 의미 도입·운영 여부 실제 공격 탐지·차단 여부
사고 대응 절차와 보고 체계 침해 범위 분석과 즉시 대응
평가 기준 인증 유지 탐지 시간, 차단 시간, 설명 가능성

ISMS-P는
보안의 출발점이 될 수 있다.

그러나 ISMS-P만으로
미토스 시대의 AI 해킹 공격을 막을 수 있다고 생각하면 위험하다.

정보보안과 사이버보안은 같은 말이 아니다

정보보안은
조직의 정보를 보호하기 위한 관리 체계다.

정책을 만들고,
권한을 정리하고,
개인정보 처리 절차를 관리하고,
교육과 점검을 수행한다.

반면 사이버보안은
실제 공격자를 상대하는 영역이다.

공격자가 어디로 들어오는가.
어떤 계정을 사용하는가.
어떤 서버에서 명령을 실행하는가.
어떤 파일을 만들고 변경하는가.
어떤 데이터를 조회하고 빼내려 하는가.

이 흐름을 실시간으로 확인해야 한다.

둘은 연결되어야 하지만
같은 것은 아니다.

정보보안이 없으면
조직의 기본 보안 체계가 흔들린다.

하지만 사이버보안이 없으면
실제 공격이 들어왔을 때
무엇이 일어났는지 알 수 없다.

정보보안은 기준을 세우는 일이고, 사이버보안은 공격을 상대하는 일이다

미토스 시대가 이 차이를 더 분명하게 만든다

AI는 정보보안과 사이버보안의 차이를
더 분명하게 만든다.

과거의 공격자는
직접 취약점을 찾고,
공격 코드를 만들고,
침투 경로를 조합해야 했다.

하지만 이제는 AI가
소스코드와 시스템 구조를 분석하고,
취약점을 찾고,
공격 가능성을 검토하고,
공격 경로를 조합하는 시대가 열리고 있다.

앤트로픽의 클로드 미토스 프리뷰는
이 변화를 상징적으로 보여준다.

중요한 것은
특정 모델 하나가 아니다.

핵심은
AI 기반 취약점 탐색과 공격 자동화 능력이
앞으로 더 빠르게 확산될 수 있다는 점이다.

공격자가 AI 속도로 움직인다면
방어도 공격 흐름을 실시간으로 보고 차단해야 한다.

이것은
인증 대응이나 문서 관리의 문제가 아니다.

AI 해킹 시대의 핵심은 실시간 침해대응 능력이다

ISMS-P 항목 안에도 보안 장비는 있다

ISMS-P 안에도
방화벽, 웹방화벽, 침입탐지, 악성코드 대응, 로그 관리 항목은 있다.

문제는
그 질문의 방향이다.

대체로 많은 인증 대응은
다음과 같은 질문에 머문다.

  • 방화벽을 운영하는가
  • 웹방화벽을 운영하는가
  • 침입탐지 장비가 있는가
  • 악성코드 대응 체계가 있는가
  • 로그를 보관하는가
  • 보안 이벤트를 점검하는가
  • 증적을 남기고 있는가

이 질문도 필요하다.

하지만 사이버보안은
다르게 물어야 한다.

  • 지금 웹 요청 안의 공격 의도를 보고 있는가
  • 웹 공격 이후 서버 명령 실행을 연결해서 보고 있는가
  • 계정 탈취와 내부 접근 흐름을 구분하고 있는가
  • 서버와 PC의 프로세스 실행을 공격 흐름으로 분석하고 있는가
  • 데이터 조회와 외부 전송 시도를 추적하고 있는가
  • 공격이 확인되면 즉시 차단할 수 있는가
  • 사고 발생 시 원인과 범위를 설명할 증적이 있는가

로그를 보관하는 것과
로그로 공격을 보는 것은 다르다.

웹방화벽을 운영하는 것과
원본 웹 요청, 계정 행위, 서버 이벤트, PC 행위가
하나의 침해 흐름으로 보이는 것도 다르다.

데이터 유출은 복구할 수 없다

이 차이는 데이터 유출에서 더 분명해진다.

오늘날 많은 사이버 공격의 핵심 피해는
단순한 시스템 장애가 아니다.

데이터 유출이다.

랜섬웨어도
더 이상 파일 암호화만의 문제가 아니다.

공격자는 데이터를 먼저 빼내고,
이후 암호화하거나,
유출 사실을 이용해 협박하고,
금전을 요구한다.

이른바 이중 갈취가 일반화되고 있다.

이때 백업과 재해복구 체계가 있어도
이미 빠져나간 데이터는 복구할 수 없다.

서비스는 복구할 수 있다.

서버도 재설치할 수 있다.

파일도 백업에서 되돌릴 수 있다.

하지만 외부로 유출된 개인정보, 영업비밀, 고객 데이터는
되돌릴 수 없다.

그래서 데이터 유출 대응은
사후 복구가 아니라
사전 탐지와 실시간 차단의 문제다.

백업은 암호화 피해를 줄일 수 있지만, 유출된 데이터는 되돌릴 수 없다

사이버 복원력만으로는 부족하다

사이버 복원력도 필요하다.

침해 이후에도
업무를 유지하고,
시스템을 복구하고,
피해를 줄이는 능력은 중요하다.

하지만 복원력은
공격을 막는 능력과 같지 않다.

공격을 보지 못하고,
차단하지 못하고,
유출 범위를 설명하지 못한다면
복원력은 사후 복구 계획에 머문다.

미토스급 AI 해킹 대응의 출발점은
복구가 아니다.

탐지다.
분석이다.
차단이다.
증적 확보다.

구분 사이버 복원력 중심 실전 사이버보안 중심
초점 사고 후 업무 유지와 복구 사고 전후 공격 흐름 탐지와 차단
주요 질문 얼마나 빨리 복구할 수 있는가 공격을 얼마나 빨리 볼 수 있는가
핵심 자료 백업, DR, 복구 절차 원본 로그, 상관분석, 포렌식 증적
한계 유출된 데이터는 되돌릴 수 없음 실시간 탐지·차단 체계가 필요함
목표 업무 연속성 침해 차단과 피해 최소화

복원력은 필요하다.

그러나 복원력이
탐지와 차단의 부재를 대신할 수는 없다.

제로트러스트도 가시성과 탐지로 연결되어야 한다

제로트러스트도
접근과 권한 검증으로만 좁혀 설명해서는 안 된다.

제로트러스트의 핵심은
무조건 신뢰하지 않고,
계속 검증하는 것이다.

그러나 이 검증이
로그와 행위 분석으로 이어지지 않으면
실전 침해대응 체계가 되기 어렵다.

제대로 된 제로트러스트 아키텍처는
다음 영역의 가시성을 높여야 한다.

  • 사용자
  • 단말
  • 애플리케이션
  • 네트워크
  • 데이터 흐름
  • 권한 사용
  • 세션 변화
  • 관리자 행위

하지만 가시성만 있어도 부족하다.

그 가시성이
실제 로그 분석과
침해 탐지·차단으로 연결되어야 한다.

제로트러스트는
접근 통제 제품을 도입하는 것으로 끝나지 않는다.

제로트러스트는 신뢰하지 않는 선언이 아니라, 검증하고 탐지하고 대응하는 운영 체계여야 한다

모의해킹도 보고서로 끝나면 안 된다

모의해킹도
인증 대응 증적으로만 소비되어서는 안 된다.

모의해킹의 본질은
공격자 관점에서 실제 침투 가능성을 검증하는 활동이다.

그 결과는
보고서로 끝나면 안 된다.

모의해킹 결과는
다음 질문으로 이어져야 한다.

  • 해당 공격을 웹방화벽이 탐지했는가
  • 우회 요청의 원본 로그가 남았는가
  • 서버 명령 실행과 연결해 볼 수 있는가
  • EDR은 후속 행위를 탐지했는가
  • SIEM 또는 XDR은 공격 흐름을 상관분석했는가
  • 차단 정책으로 전환할 수 있는가
  • 사고 발생 시 증적으로 활용할 수 있는가

모의해킹은
“취약점이 있었다”는 보고서가 아니라
“우리 보안 체계가 실제 공격을 탐지하고 차단할 수 있는가”를 검증하는 자료가 되어야 한다.

보안 컴플라이언스는 두 축으로 나누어야 한다

이제 보안 컴플라이언스는
두 축으로 나누어야 한다.

첫 번째는
정보보안 관점의 ISMS-P다.

이는 정보보호와 개인정보보호 관리체계를
수립하고 운영하는 기준이다.

두 번째는
사이버보안 관점의 침해대응 체계다.

이는 실제 공격을 조기에 탐지하고,
침해 흐름을 분석하며,
데이터 유출과 피해 확산을 차단하는 기준이다.

목적 주요 내용 평가 기준
정보보안 컴플라이언스 관리체계 수립 정책, 절차, 권한, 교육, 증적 인증 유지, 감사 대응
사이버보안 침해대응 실제 공격 대응 로그 수집, 상관분석, 탐지, 차단, 포렌식 탐지 시간, 차단 시간, 사고 설명 가능성

두 축은 경쟁 관계가 아니다.

ISMS-P는 기본이다.

그러나 AI 해킹 시대에는
그 위에 실전 사이버보안 침해대응 기준을 별도로 세워야 한다.

인증은 면책이 아니다

핵심은 책임이다.

인증은 면책이 아니다.

ISMS-P 인증을 받았다고
침해사고 책임이 사라지지 않는다.

방화벽을 도입했다고
웹 공격 대응 책임이 끝나지 않는다.

로그를 보관했다고
침해 흐름을 분석한 것이 되지 않는다.

실제 시스템을 운영하고,
공격을 탐지하고,
피해를 줄여야 하는 주체는 기업 자신이다.

보안 사고가 발생했을 때
조직은 다음 질문에 답해야 한다.

  • 공격은 어디서 시작되었는가
  • 어떤 취약점 또는 계정이 이용되었는가
  • 어떤 서버와 PC가 영향을 받았는가
  • 어떤 명령이 실행되었는가
  • 어떤 파일이 생성·변경·삭제되었는가
  • 어떤 데이터가 조회되었는가
  • 외부 전송 흔적은 있는가
  • 차단은 언제 이루어졌는가
  • 재발 방지 조치는 무엇인가

이 질문에 답하지 못하면
인증서가 있어도 국민과 고객을 설득하기 어렵다.

정부 정책도 달라져야 한다

정부 정책도 달라져야 한다.

ISMS-P 확대가
기업의 보안 인식을 높이고
최소한의 관리 기준을 정착시킨 것은 사실이다.

그러나 해킹 피해에 대비한다는 명분으로
ISMS-P 의무화와 인증 항목을 계속 늘리는 방식만으로는
한계가 분명하다.

항목을 늘린다고
실시간 탐지 능력이 생기지는 않는다.

증적을 더 요구한다고
침해 흐름이 자동으로 보이지는 않는다.

정부는 이제
실시간 탐지·분석·차단을 중심으로 한
사이버보안 침해대응 기준을 별도로 제시해야 한다.

정책 기준은 이렇게 바뀌어야 한다

기존 질문 바뀌어야 할 질문
로그를 보관하는가 로그로 공격 흐름을 분석하는가
보안 장비를 운영하는가 보안 장비가 실제 공격을 탐지·차단하는가
사고 대응 절차가 있는가 사고 발생 시 원인과 범위를 설명할 수 있는가
모의해킹을 수행했는가 모의해킹 공격을 실제 보안 체계가 탐지했는가
백업 체계가 있는가 데이터 유출 시도를 조기에 탐지·차단하는가

정책의 방향은
인증 항목 확대가 아니라
실전 대응 능력 검증으로 가야 한다.

기업의 예산과 KPI도 바뀌어야 한다

기업 내부의 보안 예산과 KPI도 바뀌어야 한다.

ISMS-P 대응, 인증 컨설팅, 증적 관리에만 예산이 집중되면
실제 침해를 보는 역량은 약해진다.

해킹 피해에 대비하려면
다음 영역에 별도 예산을 배분해야 한다.

  • 원본 웹 요청·응답 수집
  • 계정 행위 분석
  • 서버 이벤트 수집
  • PC 행위 분석
  • 웹·서버·PC 로그 상관분석
  • 실시간 차단
  • 포렌식 증적 확보
  • AI 기반 공격 흐름 판단
  • 사고 원인과 범위 설명 자동화

보안 투자의 기준도 바뀌어야 한다.

인증 유지 여부만 KPI로 삼으면
보안팀은 증적 관리에 집중하게 된다.

그러나 실제 해킹 대응을 위해서는
다음 KPI가 필요하다.

KPI 의미
탐지 시간 공격 발생 후 얼마나 빨리 확인했는가
분석 시간 공격 흐름과 영향을 얼마나 빨리 파악했는가
차단 시간 위험 확인 후 얼마나 빨리 차단했는가
설명 가능성 사고 원인과 범위를 근거 로그로 설명할 수 있는가
유출 판단 어떤 데이터가 조회·전송되었는지 확인할 수 있는가
재발 방지 탐지·차단 정책으로 전환되었는가

이제 보안 KPI는
“인증을 유지했는가”에서
“공격을 보고 막았는가”로 바뀌어야 한다.

실전 침해대응 체계는 무엇을 갖춰야 하는가

미토스 시대의 사이버보안은
개별 장비의 단순 도입으로 완성되지 않는다.

공격은 하나의 흐름으로 움직이기 때문이다.

웹 공격이 서버 명령 실행으로 이어지고,
서버 침해가 계정 탈취로 이어지고,
계정 탈취가 데이터 조회와 외부 전송으로 이어질 수 있다.

따라서 실전 침해대응 체계는
다음 요소를 갖춰야 한다.

1. 원본 웹 요청과 응답을 볼 수 있어야 한다

URL, IP, 상태 코드만으로는 부족하다.

Request Header, Request Body, Response Header, Response Body를 봐야
공격 의도와 결과를 판단할 수 있다.

2. 서버와 PC의 실행 행위를 볼 수 있어야 한다

공격은 웹에서 끝나지 않는다.

웹셸 업로드, 명령 실행, 파일 생성, 권한 상승, 외부 연결 등
서버와 PC 행위로 이어질 수 있다.

Process, CommandLine, Parent Process, 파일 변경, 네트워크 연결을
함께 봐야 한다.

3. 계정 행위와 권한 사용을 분석해야 한다

많은 침해는 계정으로 확산된다.

로그인 성공과 실패, 원격 로그인, 관리자 권한 사용, 신규 계정 생성, 권한 변경,
다중 IP 접근, 비정상 시간대 접근을 분석해야 한다.

4. 로그를 하나의 타임라인으로 연결해야 한다

개별 이벤트만 보면 정상처럼 보일 수 있다.

하지만 웹 요청, 서버 명령, 계정 행위, 파일 변경, 외부 통신을
같은 시간축에서 연결하면 공격 흐름이 드러난다.

5. 탐지 후 즉시 대응할 수 있어야 한다

탐지만으로는 부족하다.

위험이 확인되면
IP 차단, 계정 잠금, 프로세스 종료, 네트워크 격리, 정책 업데이트, 증적 보존으로 이어져야 한다.

PLURA-XDR이 의미를 갖는 지점

PLURA-XDR이 의미를 갖는 지점도 여기에 있다.

AI 해킹과 미토스 시대의 공격은
웹 요청 하나, 서버 이벤트 하나, 계정 로그인 하나로 끝나지 않는다.

웹 요청에서 시작된 공격이
서버 내부 명령 실행으로 이어지고,
계정 행위와 파일 접근,
데이터 조회와 외부 통신으로 이어질 수 있다.

따라서 필요한 것은
개별 보안 제품의 단순 조합이 아니라
공격 흐름을 하나로 보는 통합 플랫폼이다.

PLURA-XDR은 다음 관점에서
실전 사이버보안 침해대응에 접근한다.

  • 웹 요청과 응답 분석
  • 서버 실행 행위 분석
  • PC 행위 분석
  • 계정 행위 분석
  • 원본 로그 기반 증적 확보
  • 웹·서버·PC 상관분석
  • 실시간 탐지와 대응
  • AI 기반 판단 지원

핵심은
“AI가 모든 것을 대신한다”가 아니다.

AI가
사람이 놓치기 쉬운 흐름을 먼저 연결하고,
위험도를 설명하고,
대응 우선순위를 제시해야 한다는 것이다.

즉,

AI는 더 많은 경보를 만드는 도구가 아니라, 대응 가능한 판단을 돕는 도구여야 한다

지금 당장 점검해야 할 7가지

ISMS-P 인증을 받았거나 준비 중인 조직이라면
다음 질문부터 점검해야 한다.

1. 우리는 원본 웹 요청과 응답을 보고 있는가

URL과 상태 코드만으로는 부족하다.

공격 의도는
Request Body와 Response Body에 남는 경우가 많다.

2. 웹 공격 이후 서버 실행 행위를 연결해서 보고 있는가

웹 취약점 공격은
서버 명령 실행, 웹셸 업로드, 파일 변경으로 이어질 수 있다.

웹 로그와 서버 이벤트를 분리해서 보면
침해 흐름을 놓칠 수 있다.

3. 계정 탈취와 정상 로그인을 구분할 수 있는가

공격자는 정상 계정으로 들어오려 한다.

로그인 성공 자체가 정상이라는 뜻은 아니다.

접속 IP, 시간대, 장치, 세션, 이후 행위를 함께 봐야 한다.

4. 데이터 조회와 외부 전송 시도를 추적하고 있는가

데이터 유출은
복구할 수 없는 피해다.

대량 조회, 비정상 다운로드, 외부 전송, 압축 파일 생성, 클라우드 업로드 흔적을 확인해야 한다.

5. 탐지 후 자동 또는 반자동 차단으로 이어지는가

경보만 많고 대응이 늦으면
실전 보안이 아니다.

위험이 확인되면
IP 차단, 계정 잠금, 세션 종료, 프로세스 종료, 네트워크 격리로 이어져야 한다.

6. 사고 원인과 범위를 설명할 수 있는가

보안 사고 이후 가장 중요한 질문은
“무엇이 어디까지 당했는가”다.

원본 로그와 타임라인이 없으면
사고 원인과 범위를 설명하기 어렵다.

7. 인증 대응 예산과 침해대응 예산이 분리되어 있는가

증적 관리는 필요하다.

그러나 증적 관리 예산만 있고
실시간 탐지·차단·포렌식 예산이 없다면
실제 공격 대응 역량은 약할 수밖에 없다.

인증을 넘어서 실전 대응으로

AI 해킹 시대의 질문은
“우리는 인증을 받았는가”가 아니다.

이제 질문은 바뀌어야 한다.

우리 보안팀은 지금 이 순간의 공격 흐름을 보고 있는가

이 질문에 답하려면
정책과 증적 중심의 정보보안에서
실시간 탐지·분석·차단 중심의 사이버보안으로 전환해야 한다.

ISMS-P는 필요하다.

그러나 ISMS-P만으로는 충분하지 않다.

AI가 취약점을 찾고,
공격 경로를 조합하고,
기존 탐지 규칙을 우회하는 시대에는
보안도 실전 대응 능력으로 평가받아야 한다.

맺음말

인증은 중요하다.

하지만 인증은 출발점이지 종착점이 아니다.

ISMS-P 인증을 받았다는 사실이
해킹 피해를 막아주지는 않는다.

방화벽을 운영한다는 사실이
웹 공격을 막았다는 뜻은 아니다.

로그를 보관한다는 사실이
침해 흐름을 분석했다는 뜻도 아니다.

미토스 시대의 보안은
정책 문서와 증적 파일을 넘어
실제 공격 흐름을 보는 능력으로 가야 한다.

공격자가 어디로 들어오고,
어떤 계정을 쓰며,
어떤 서버에서 명령을 실행하고,
어떤 데이터를 빼내려 하는지
실시간으로 확인해야 한다.

그리고 위험이 확인되면
즉시 차단하고,
증적을 확보하고,
사고 원인과 범위를 설명할 수 있어야 한다.

AI 해킹 시대의 해법은
인증 항목을 더 늘리는 것이 아니다.

실전 사이버보안 침해대응 체계로 전환하는 것이다

지금 필요한 것은
“인증을 받았는가”라는 질문이 아니라
“지금 공격을 보고 있는가”라는 질문이다.

미토스 대응의 출발점도
바로 이 질문에서 시작된다.

📰 함께 읽기

📚 함께 읽기

📰 원문 뉴스

이 글은 아래 전자신문 기고문을 바탕으로
PLURA-Blog 형식에 맞게 확장·재구성한 내용입니다.

Tags