[정책 제안] 우리나라 해킹은 정부의 인증 제도 때문이다

By PLURA

대한민국 정보보안 인증 제도의 철폐와 완벽한 공격 대응 전략

정부가 강제한 보안 인증 제도는 실제 해킹을 막지 못했습니다.
이제 해킹 대응 실패는 기업의 문제가 아니라, 정부 정책의 실패입니다.

Policy Proposal

1. 도입 (Introduction)

한국의 기업과 기관들은 정보보호 관리체계(ISMS·ISMS‑P), 공통평가기준(CC) 인증, 보안적합성 인증 등 정부 공인 정보보안 인증 제도를 통해 자사의 보안 수준을 입증하곤 합니다. 그러나 최근 잇따른 해킹 사고 ― 예스24, GS리테일, 보라매병원, 심지어 통신 대기업 SK텔레콤 ― 가 이러한 인증을 취득하고도 발생하면서 현행 제도의 실효성 논란이 끊이지 않고 있습니다.

예스24는 2023년 ISMS‑P 인증을 취득했지만, 2025년 6월 9~12일 국내 언론 보도에 따르면 랜섬웨어 공격으로 서비스가 나흘간 마비되는 피해를 입었습니다. SK텔레콤 역시 2025년 초 ISMS‑P를 갱신한 지 불과 6 개월 만에 2,695만 건의 가입자 식별정보(IMSI·ICCID)가 유출됐다고 확인되었습니다. 이 두 사례는 “인증 보유 = 안전”이라는 통념에 근본적 의문을 제기했습니다.

이처럼 보안 인증 제도를 둘러싼 반복적 실패는 단순히 민간 기업의 과실 문제가 아니라, 위협 모델을 따라가지 못한 제도 설계 책임을 정책 당국이 직시해야 할 사안입니다. 민간은 기준을 충실히 따랐지만, 그 기준 자체가 최신 위협을 막아내지 못한 결과가 누적되고 있습니다.

이 과정에서 보안 전문가들이 실질적 방어보다 형식적 문서 작업에 과도하게 투입되는 구조적 문제도 심각합니다. 한 대기업 사례를 보면, 연간 인증 유지 작업에 투입되는 내부 보안 인력이 프로젝트 총인원의 약 30 %에 달하고, 평균 3 개월 이상이 문서 정비와 절차 검증에 소요된다고 보고됐습니다.

결국 해킹 사고의 근본 원인은 개별 기업의 부주의보다 시대착오적 인증 틀을 개선하지 않은 정책 구조에 있다는 점이 분명해졌습니다. 정책적 전환 없이는 동일한 실패가 반복될 수밖에 없습니다.

본 글에서는 이러한 구조적 한계를 구체적 사례 중심으로 짚어보고, 보다 실효적인 대응 방안을 제시하고자 합니다.

2. 인증 제도의 구조적 한계와 반복되는 침해 사례

1) 정보보안 인증 제도의 구조와 한계

우리나라의 ISMS/ISMS‑P 인증은 기업의 정보보호 관리체계가 일정 수준 이상임을 국가가 공인해 주는 제도로, 총 101개 항목을 서류 및 현장 심사로 평가합니다. CC 인증은 IT 제품의 보안기능을 국제 기준에 따라 등급(EAL)으로 부여하며, 보안적합성 인증은 공공기관용 IT 시스템의 안정성을 점검합니다.

이러한 제도는 기본 보호체계를 갖추게 하는 데 일정 부분 기여하지만, 정해진 평가 항목만 충족하면 인증을 획득할 수 있는 구조이다 보니 기업들이 지속적으로 보안 수준을 강화할 인센티브가 부족하며, 형식적인 체크리스트 통과에 그치는 경우가 많습니다.

특히 인증 준비와 심사 대응 과정에서 수개월간 전문 보안 인력이 형식적 항목 대응에 몰두하게 되며, 이로 인해 실제 위협 탐지·대응 작업은 뒷전으로 밀리는 실정입니다. 중소기업이나 보안 인력이 제한된 조직의 경우, 인증을 위한 리소스 소모가 실질적인 보안 강화 역량을 오히려 약화시키는 부작용을 낳고 있습니다.

2) 해킹 사례로 본 인증 제도의 실효성 부족

예스24는 ISMS‑P 인증 기업이었지만, 2025년 6월 9~12일 랜섬웨어 공격으로 웹사이트와 앱 서비스가 나흘간 마비되었습니다. 인증 취득 이후 보안 예산을 전년 대비 30 % 이상 확대했음에도 공격을 막지 못했고, 초기 대응 단계에서 KISA의 기술 지원 요청을 지연하여 복구가 장기화됐다는 후속 보도가 있었습니다. 이는 사후 대응 체계가 실효적으로 작동하지 못하는 현실을 드러냅니다.

GS리테일 또한 ISMS‑P 인증(2022) 상태에서 2024‑12‑27~2025‑01‑04 편의점 홈페이지가 해킹돼 고객 9만여 명 개인정보가 유출되었습니다. 같은 그룹의 GS홈쇼핑 웹사이트에서도 약 158만 건 추가 유출 정황이 확인돼 연쇄 침해 가능성이 제기됐습니다.

SK텔레콤은 2024년 10월 ISMS‑P를 재인증했으나, 2025년 4월에 2,695만 건의 가입자 식별정보(IMSI·ICCID)가 유출된 사실이 뒤늦게 공개되었습니다. 대용량 데이터가 이동하는 통신 사업자 특성상, 인증만으로는 대규모 유출을 막기 어렵다는 점이 재확인되었습니다.

서울특별시 보라매병원 역시 ISMS‑P 인증(2023)을 보유했음에도 2025‑02‑18 전산 시스템이 마비돼 외래 진료가 11시간 중단됐으며, 수사 당국은 랜섬웨어 추정(조사 중) 이라는 잠정 결론을 발표했습니다.

침해사고 통계

KISA 통계에 따르면 ISMS 인증 기업의 침해사고 신고 건수는 2021년 6건 → 2022년 13건 → 2023년 101건으로 급증했고, 2024년에도 96건으로 두 자릿수 수준이 이어졌습니다. 이는 인증 획득이 곧 보안 면역을 의미하지 않음을 방증합니다.

2‑1) 인증 제도의 설계 한계 정리

제도 주요 한계
ISMS / ISMS‑P ▸ 체크리스트 통과 위주 → 지속적 보안 강화 인센티브 부족
▸ 실전 침투 대응력·MFA 적용 여부 등 최신 위협 대응 평가 부재
보안 인력이 인증 업무에 과도 투입 → 실무 대응 역량 저하
CC 인증 ▸ 실제 운영 환경 설정·튜닝 여부 인증 범위 외
CI/CD 기반 빈번한 업데이트 주기를 따라가지 못함
보안적합성 인증 ▸ 인증 후 사후 모니터링·갱신 절차 미흡
심사용 행정 작업 과중 → 중소 조직 부담 가중

업계에서는 ISMS를 “건강검진“에 비유합니다. 검진 결과가 ‘정상’이어도 병이 발생할 수 있듯, 인증 획득이 해킹 면역을 담보하지는 않습니다.

2‑2) 사고 사례로 본 실효성 부족 정리

사례 인증 상태 (취득·갱신 시점) 사고·피해 내용 (출처) 시사점
예스24 ISMS‑P (2023) 2025‑06‑09 ~ 06‑12 랜섬웨어 감염 → 웹·앱 마비, 고객 정보 위험 (전자신문 2025‑06‑15) ▸ 초동 대응 지연 → 사후 대응 체계 미비
▸ 인증 유지 업무에 몰두 → 실전 대비 훈련 부족
GS25 (GS리테일) ISMS‑P (2022) 2024‑12‑27 ~ 2025‑01‑04 해킹 → 고객 9만 명 정보 유출 (아시아경제 2025‑01‑08) 크리덴셜 스터핑·로그인 보호 미흡 → 인증 항목에 최신 인증 공격 대응 평가 부재
GS샵 동일 그룹 2024‑06‑21 ~ 2025‑02‑13 추가 해킹 정황 → 고객 158만 건 유출 추정 (머니투데이 2025‑02‑14) ▸ 그룹 내 복수 시스템 연쇄 침해 → 인증이 전사적 통합 통제를 보장하지 못함
SK텔레콤 ISMS‑P 재인증 (2024‑10) 2025‑04 유심 가입자 정보 2,695만 건 유출 (IT조선 5‑19, 언론 추산) ▸ 국내 최대 통신사도 예외 아님 → 인증이 대규모 정보 유출 방지에 무력
서울특별시 보라매병원 ISMS‑P (2023) 2025‑02‑18 전산 장애 → 외래 진료 11시간 중단, 랜섬웨어 추정 (보안뉴스 2025‑02‑20) ▸ 의료기관 필수 서비스 마비 위험 → 인증 여부와 무관하게 사회 시설 보호 공백 존재

3) [보고서] ISMS 인증제도, 왜 지금은 더 이상 유효하지 않은가? 🌐

본 보고서에서는 정보보안 인증 제도의 기술적 한계를 네 가지 사례 중심으로 분석합니다. 또한 제도 설계의 구조적 문제뿐만 아니라, 크리덴셜 스터핑이나 Living off the Land(LoL)과 같은 최신 공격에 대한 대응 기준조차 마련되지 않은 현실을 함께 짚어봅니다.

  1. 침입방지시스템(IPS) 구축 의무의 문제점은, 오늘날의 암호화 중심 통신 환경과 기술적 괴리를 명확히 보여줍니다. IPS는 SSL/TLS로 암호화된 트래픽의 내용을 제대로 분석하지 못함에도 불구하고, 여전히 보안 인증 제도에서 필수 구축 장비로 간주되고 있습니다. 현재 전체 인터넷 트래픽의 95 % 이상이 HTTPS를 포함한 암호화된 형태이며, 일부 TLS 트래픽은 복호화 장비를 통해 제한적으로 분석이 가능하더라도, SSH, RDP, VPN, 사설 암호화 프로토콜과 같은 다양한 트래픽은 사실상 복호화 및 탐지가 불가능합니다. 최근 BPFDoor 악성코드처럼 암호화된 SSH 세션을 가장해 탐지를 회피하는 사례까지 등장해, 트래픽이 실질적으로 ‘보이지 않는’ 시대에 1990~2000년대 평문 기반 보안 모델로 설계된 IPS 구축 의무는 실효성이 크게 의심되는 대표적 사례가 되었습니다.

  2. 연 1회 취약점 점검 및 모의해킹의 실효성은 현재 위협 환경을 따라가지 못하고 있습니다. 1년에 한 번 실시되는 취약점 진단과 모의해킹으로는 시시각각 등장하는 새로운 보안 위협에 대응하기 어렵다는 비판이 제기되고 있습니다. 공개 CVE는 2024년 한 해에만 29,000건 이상 발표되었고(일 평균 80 건), 이러한 속도는 ‘점검과 점검 사이’ 공백을 구조적으로 만들어 냅니다. 특히, 사전에 합의된 IP 범위와 계정 정보만을 활용해 수행되는 모의해킹은 실제 공격자의 수법과는 동떨어져 있어, 실전 대응력을 높이기보다는 형식적 절차에 그친다는 지적이 많습니다.

  3. 안티바이러스 소프트웨어 도입에 대한 인증 관행 또한 기술 현실과 괴리를 보입니다. 마이크로소프트 Defender는 고도화된 탐지 및 실시간 대응 기능을 기본으로 제공하며, AV‑TEST 최신 평가(2024 년 11–12 월)에서 탐지율·성능·사용성 부문 모두 6/6 만점을 획득하는 등 신뢰할 수 있는 엔드포인트 보호 수단으로 인정받고 있습니다. 그럼에도 일부 인증 기준 및 심사 관행에서는 여전히 별도의 유료 백신 도입을 ‘보안 강화의 증거’로 간주하거나, 가점 요소로 포함하는 분위기가 남아 있어 ‘무엇을 구매했는가’가 ‘얼마나 잘 방어하는가’보다 우선시되는 구시대적 관행을 드러냅니다.

  4. 최신 공격 기법에 대한 인증 기준의 대응력은 현저히 부족합니다. 크리덴셜 스터핑(Credential Stuffing)이나 LoL(Living off the Land)과 같은 공격은 기존 보안 장비로는 탐지 자체가 어려운 방식입니다. Credential Stuffing은 멀티팩터 인증(MFA)과 이상 로그인 탐지 없이는 막기 힘들고, LoL 공격은 EDR 기반 행위 분석 없이는 파일리스 방식으로 숨어들 수 있습니다. 그러나 현행 인증 제도에서는 이러한 공격 유형에 대한 구체적 탐지·대응 요건이 거의 언급되지 않거나, 일반적인 접근통제·로그관리 수준에서만 다뤄지고 있어 실효성 있는 방어체계를 검증하기 어렵습니다.

이와 같이, 현행 보안 인증 제도는 암호화 트래픽, 최신 공격 기법, 보안 운영 현실을 반영하지 못하는 기술적 한계에 직면해 있습니다. 형식적 장비 도입과 정기 점검만으로는 실시간 위협에 대응할 수 없으며, 제도 자체가 실효성을 상실한 상태입니다.

이제는 고정된 기준이 아닌, 지속적 대응과 자율 운영 중심의 새로운 보안 체계로의 전환이 필수적입니다.

3. 형식 중심 인증을 대체할 실효적 대안

현장의 보안 대응력을 높이기 위해서는 형식적 인증을 넘어 실효적인 기술·운영 대책을 병행해야 합니다. PLURA 등이 강조하는 다음과 같은 웹 기반 위협 대응 전략들은 현행 제도의 보완을 넘어 완벽한 대응을 할 수 있는 현실적인 최고의 대안입니다:

1) 웹방화벽(WAF) 구축 및 실시간 튜닝

웹 서비스에는 SQL 인젝션, XSS 공격 등 다양한 웹 기반 침입 시도가 빈번합니다. WAF는 이러한 악의적 웹 요청을 실시간으로 차단해 주는 1차 방어선입니다. 중요한 것은 WAF를 정교하게 설정하고 지속적으로 튜닝하는 것입니다. 예를 들어 실시간 로그 모니터링을 통해 대량의 SQL 인젝션 스캐닝이나 크리덴셜 스터핑 전조를 조기에 포착한 경우, 방화벽이나 WAF의 설정을 신속히 조정하여 피해를 최소화할 수 있습니다. 공격자들은 우회 목적으로 URL 이중 인코딩, 특수문자 치환 등 기법으로 WAF를 뚫으려 하기 때문에, 보안 담당자는 로그에 나타나는 우회 시도 패턴을 분석하여 WAF 규칙을 보강해야 합니다.

전통적인 인라인(브리지) 방식은 L2 경로에 WAF를 직접 연결해야 하며, 장애 발생 시 우회(Bypass) 위험과 하드웨어 종속성 문제가 존재합니다. 반면, 리버스 프록시 방식의 WAF는 TLS 세션을 종료해 암호화 트래픽까지 완전하게 분석할 수 있으며, 장애 발생 시 GSLB 또는 DNS 기반 라우팅으로 빠르게 우회되어 서비스 가용성을 유지합니다.

특히 프록시 기반 WAF는 컨테이너 및 쿠버네티스 환경에서 오토스케일링과 룰셋(가상 패치) 자동 동기화를 지원하여 DevSecOps 파이프라인에 자연스럽게 통합됩니다. 이로써 동일한 보안 정책을 모든 노드에 일관되게 적용할 수 있으며, 성능과 확장성을 확보하면서 실시간·지능형 웹 위협에 대한 대응 수준을 크게 향상시킬 수 있습니다.

2) 웹 로그 통합 모니터링 및 이상행위 분석

최신 공격들은 갈수록 지능화되어 여러 단계에 걸쳐 은밀히 진행됩니다. 따라서 개별 요청만 쳐다봐서는 공격 징후를 놓치기 쉽습니다. 대신 전체 웹 트래픽 로그를 지속적으로 수집·분석하면 보안 인사이트를 훨씬 더 깊고 넓게 얻을 수 있습니다. 실제로 제로데이 공격이나 크리덴셜 스터핑(대량 로그인 시도) 같은 신종 위협은 정상 로그 속에 섞여 드러나기 때문에, 평소와 다른 트래픽 패턴이나 반복되는 오류 시도를 종합적으로 살펴봐야 조기 탐지가 가능합니다. 예컨대 수십 개 IP에서 동시에 발생하는 로그인 실패는 한두 개 로그만 보면 단순 오류로 보이지만, 전체 로그 추이를 보면 대규모 브루트포싱 공격임을 식별할 수 있습니다. 또 웹쉘 업로드권한 상승을 위한 파라미터 변조 등도 로그 전수분석을 통해서만 흐름을 파악할 수 있습니다.

이를 구현하기 위한 현실적인 기술 스택은 SIEM–UEBA 계층입니다. PLURA‑XDR은 수집·저장 레이어를 구성하고, 규칙·통계 기반 SIEM(Security Information and Event Management)과 자체 UEBA(User & Entity Behavior Analytics) 엔진을 하나의 파이프라인으로 연결합니다. 이렇게 모인 로그는 공격자 TTP 패턴에 따라 실시간 상관 분석되며, 산출된 이상 점수(Anomaly Score)는 대시보드에 실시간으로 시각화됩니다. 이러한 통합 모니터링 체계는 기존 인증제도에서 놓치기 쉬운 이상행위 징후를 초 단위로 포착해 침해사고의 사전 대응력을 크게 높여 줍니다.

3) 고급 감사 로그 설정 및 내부 보안 모니터링

외부로 드러나는 웹 공격뿐만 아니라, 시스템 내부에서 벌어지는 이상 징후를 잡아내는 것도 중요합니다. 이를 위해 서버 및 OS의 고급 감사 정책을 활성화하여 감사 로그(이벤트 로그)를 정교하게 남기고 분석해야 합니다. Windows 고급 감사정책의 경우, 평소 기본 설정으로는 기록되지 않는 다양한 보안 이벤트까지 상세히 로깅할 수 있습니다. 리눅스 환경에서는 Auditd, eBPF‑based LSM(audit‑ebpf) 등을 통해 커널 호출과 파일·프로세스 이벤트를 정밀 추적할 수 있습니다.

이렇게 수집된 이벤트 로그는 EDR/플랫폼 연계를 통해 자동 분석·대응 루프로 이어져야 합니다. 예를 들어 PLURA‑XDR EDR 모듈은 감사 로그와 엔드포인트 텔레메트리를 통합 수집해, 의심스러운 PowerShell 실행, 관리자 계정 비정상 사용, 대량 데이터 유출 같은 행위를 즉시 격리하거나 프로세스를 차단하고 사고 티켓을 생성합니다. PLURA 블로그에서는 “고급 감사정책은 단순한 로그 수집 도구가 아니라, 공격 탐지와 예방을 위한 필수 보안 체계”라고 강조합니다. 이러한 내부 감사 로그 모니터링 체계 강화침해사고 발생을 사전에 차단하고 피해를 최소화하는 데 핵심 역할을 합니다.

4) 마이터 어택(MITRE ATT&CK) 프레임워크 기반 운영으로의 전환 필요성

MITRE ATT&CK은 전 세계에서 발생한 실제 사이버 공격 기법을 전술(Tactics)과 기술(Techniques)로 체계화한 지식베이스로, 오늘날 가장 현실적인 사이버 위협 대응 기준으로 자리 잡고 있습니다. 조직은 이 프레임워크를 통해 현재 보안 체계가 어떤 공격 수법에 대비하고 있으며, 어떤 영역이 취약한지를 구체적으로 진단할 수 있습니다. 예컨대, MITRE ATT&CK 매트릭스를 참고해 필수 로그가 전술·기술별로 수집되고 있는지, 탐지 및 대응 규칙이 제대로 갖춰져 있는지를 점검할 수 있습니다.

구체적 실행 방법으로는 CALDERA, Atomic Red Team 같은 오픈소스 도구를 활용해 공격 시뮬레이션(Adversary Emulation) 을 자동화하고, 결과를 Detection Coverage %·Mean Time To Detect(MTTD) 등의 KPI로 계량화할 수 있습니다. PLURA‑XDR은 CALDERA 시나리오를 수집 로그와 연동해 한눈에 커버리지 맵을 그려 주기 때문에, “탐지 빈 구간”을 빠르게 찾아내어 탐지 규칙을 추가할 수 있습니다.

기존 인증제도는 문서 중심의 형식적 평가에 머무르는 반면, MITRE ATT&CK 기반의 점검은 실질적인 보안 역량을 확인할 수 있게 합니다. 특히 주기적인 고비용의 제3자 침투 테스트보다는, MITRE ATT&CK을 기준으로 한 내부 운영 점검 체계를 상시적으로 갖추는 것이 훨씬 실용적이고 효과적인 대안이 될 수 있습니다.

따라서 정책 입안자들은 이제 단순 인증 심사를 넘어, MITRE ATT&CK 기반의 공격자 관점 시뮬레이션 및 로그 기반 대응 체계를 갖춘 조직에게 실질적인 인증을 부여하는 제도 개편을 검토해야 합니다. 이는 인증제도가 ‘보안이 되어 있는지’를 묻는 평가에서, ‘실제로 대응할 수 있는지’를 검증하는 체계로 전환되는 것을 의미합니다.

MITRE ATT&CK 기반의 운영은 곧 “공격자 관점에서 스스로를 점검하는 방어 전략”이며, 이러한 방식이야말로 기존 인증제도의 한계를 보완하고, 국내 보안 수준을 실질적으로 향상시킬 수 있는 열쇠입니다.

5) LLM 연동으로 “탐지 → 샘플 분석 → 대응” 속도 향상

기존 보안 솔루션은 룰(rule)·시그니처(signature)·화이트리스트 기반 탐지에 의존해 이미 알려진 공격에는 효과적이지만, 새로운 취약점이나 변종 공격에는 한계가 있습니다. 이를 보완하기 위해 대규모 언어 모델(LLM, 예: GPT) 을 연동해 미탐지 영역에서 제로데이 가능성이 높은 로그를 선별·분석하고, 의미 기반으로 위험도를 재분류합니다.

LLM은 WAF·EDR가 수집한 탐지 로그 중 샘플링된 이벤트만 받아 수 초 내에 공격 의도·유사 사례·권고 대응을 요약합니다. 예컨대 비정형 로그 속 의심스러운 URI, User‑Agent, 비정상 헤더 조합 등을 식별해 “신규 공격 의심” 로그로 태깅하고, 자동 대응 체계와 연동해 실시간 차단 또는 룰셋(가상 패치) 갱신까지 수행할 수 있습니다.

즉, LLM은 모든 데이터를 일괄 처리하는 ‘만능 엔진’이 아니라 탐지 시스템 옆에 배치된 지능형 분석가처럼 작동할 때 가장 큰 효과를 발휘하며, 운영자는 이를 통해 제로데이 위협에 대응하는 시간·인력 공백을 최소화할 수 있습니다.

이와 같이, 위 다섯 가지 실천 방안을 동시에 적용하면 — 경계 차단(WAF), 가시성 확보(로그·감사), 내부 대응(EDR), 공격자 관점 검증(ATT&CK), AI 기반 신종 위협 분석(LLM) — 이 모두가 하나의 순환 흐름으로 연결된 완전한 위협 차단 체계가 구축됩니다. 그 결과, 새로 등장하는 제로데이 위협조차 실시간으로 탐지·차단·보완하는 완전무결에 가까운 사이버 보안 환경을 실현할 수 있습니다.

[PLURA-XDR] 완벽한 대응을 위한 정보보안 캠페인 ↗️

4. 결론 (Conclusion)

지금까지 살펴본 것처럼, 대한민국의 정보보안 인증 제도(ISMS, CC 인증, 보안적합성 인증 등)는 기본적인 보안 관리 여부만을 평가하는 형식적 제도에 머물고 있으며, 급변하는 사이버 위협 환경에 실질적으로 대응하기에는 뚜렷한 한계를 보이고 있습니다.

특히 소프트웨어 중심의 보안 제품이나 시스템에 대한 ‘3년 단위 정기 인증’ 방식은 현실을 전혀 반영하지 못합니다. 오늘날 사이버 보안 제품은 하루에도 여러 차례 업데이트되며, 보안 설정과 탐지 로직은 상황에 따라 실시간으로 조정됩니다. 예를 들어:

  • 웹 방화벽(WAF) 탐지 시그니처는 신규 공격에 대응하기 위해 하루에도 수차례 수정됩니다.
  • 엔드포인트 보안(EDR) 제품은 지속적으로 AI 탐지 모델과 정책을 업데이트하며,
  • 클라우드 SaaS 기반 보안 솔루션은 기능이 수시로 배포되는 CI/CD 체계를 따릅니다.

이러한 환경에서 수년 주기의 사전 인증은 무의미할 뿐 아니라, 변화에 빠르게 대응해야 할 보안 솔루션의 유연성을 오히려 억제하는 걸림돌이 되고 있습니다.

또한, 인증 제도는 막대한 시간과 비용 낭비를 초래하고 있습니다. 많은 기업들이 인증을 받기 위해 수개월 동안 내부 보안 인력을 문서 정비와 형식적 점검에 투입하고 있으며, 이 과정에서 실제 보안 운영은 뒷전으로 밀리고, 핵심 인력은 행정 피로에 지쳐 이탈하는 악순환이 반복되고 있습니다. 인증 심사기관 또한 본질과 무관한 서류 점검과 반복 행정에 전문가들을 투입하고 있어, 보안 인재를 낭비하는 구조를 고착화시키고 있습니다. 예컨대 2024년 기준, 국내에서 해킹 사고를 겪은 20개 공공기관 중 17곳이 ISMS 인증을 보유하고 있었다는 사실은 형식 중심 평가의 실효성을 스스로 반증합니다.

그럼에도 불구하고 일부에서는 “인증 제도는 유지하되 보완하면 된다”거나 “침투 테스트, 탐지 항목 추가로 보완 가능하다”는 식의 주장을 합니다. 하지만 이는 본질을 비켜간 미봉책에 불과하며, 형식 자체의 문제를 근본적으로 외면하는 위험한 논리입니다.

문제는 제도의 미비가 아니라, 제도 자체가 비대해진 데 있습니다. 형식 중심 인증 체계는 시대착오적이며, 이를 살릴 수 있다는 주장은 결국 기득권 유지라는 자기합리화에 지나지 않습니다.

우리는 이러한 착시 효과에 더 이상 기대서는 안 됩니다. 형식만 유지된 채 이름만 바뀐 인증 제도가 또다시 현장의 인력과 자원을 낭비하는 결과를 반복하지 않도록, 단호히 체계 자체를 폐기하고 새로운 방향으로 전환해야 할 시점입니다.

특히 심각한 문제는, 정부가 만든 이 행정 중심의 인증 체계가 기업 CEO들에게 “인증만 받으면 안전하다는 왜곡된 인식을 학습시켜 실제 해킹 대응 역량 확보보다 형식 이행을 우선시하게 만들었다는 점입니다. 이는 단순한 운영상 실수가 아니라, 의사결정을 구조적으로 왜곡시킨 정책적 실패입니다.

따라서 현행 인증 제도는 과감히 전면 재설계되어야 하며, 그 대안으로 NIST의 ZTA(Zero Trust Architecture) 가이드라인처럼 ‘가이드 중심의 자율적 보안 운영 체계‘로 전환해야 합니다.

즉,

  • 국가는 최신 보안 기술 변화에 맞춘 가이드와 기술 문서 제공
  • 기업과 기관은 이를 기반으로 자율적으로 체계 구축 및 운영 책임 수행
  • 침해 사고 발생 시에는 이행 여부와 대응 수준에 따라 책임을 묻는 구조로 전환

이러한 방식이어야만, 실시간으로 전개되는 해킹 공격에 유연하고 민첩하게 대응할 수 있습니다. 인증을 획득하는 데 그치는 것이 아니라, 지속적인 보안 유지와 자율 개선 활동이 내재화된 구조가 되어야 합니다.

사이버 보안에 완전무결은 없지만, 심층적·실시간 대응 체계로 우리는 완전한 보호에 매우 근접할 수 있습니다.정확한 로그 수집, 능동적 분석, 실시간 대응 체계의 운영이 그 근간입니다.

정보보안 정책은 이제 문서와 체크리스트 중심의 인증에서 벗어나, 실시간 위협에 즉시 대응 가능한 운영 중심 체계로 전환되어야 합니다. 가이드를 제시하고, 운영은 각 조직이 책임지게 하는 방식이야말로 진정한 실효성과 대응력을 갖춘 정보보안 체계로 나아가는 첫걸음이 될 것입니다.

결론적으로, 더 이상 인증제도라는 이름 아래 형식을 위한 형식을 반복해서는 안 됩니다. 이제는 “이 제도가 실제 무엇을 지켜냈는가”라는 질문에 당당히 답할 수 있어야 합니다. 실제로 위협을 막을 수 있는 제도만이 존재할 가치가 있으며, 그렇지 않다면 폐기되는 것이 맞습니다.

그것이야말로 진짜 보안을 위한 첫걸음입니다.

해킹은 더 이상 개별 기업의 잘못이 아닙니다.
시대에 뒤떨어진 기준을 방치하고 강제한 현행 제도의 책임입니다.
현장의 보안 전문가들은 정부가 만든 ‘실효성 없는 안전망’ 아래에서, 실제 방어보다 인증 대응에 더 많은 자원과 시간을 낭비하고 있습니다.
“인증만 받으면 안전하다"는 착각은 기업이 만든 것이 아니라, 제도가 학습시킨 결과입니다.

우리는 보안 실패의 책임을 개별 기업에게만 전가할 것이 아니라, 제도를 설계하고 강제한 정책 당국의 책임을 정면으로 직시해야 합니다.

정책 당국은 이제 명확히 밝혀야 합니다.

보안 인증을 취득했다고 해서 해킹에 대응할 수 있는 것은 아니며,
해당 인증은 어디까지나 제도 운영을 위한 행정 절차일 뿐입니다.
실제로 이 절차는 공격 탐지, 위협 차단, 보안 역량 강화 등 실질적 보호 기능을 제공하지 않습니다.
그럼에도 불구하고 정부·지자체·기관·기업 모두 이 절차를 의무적으로 이행해야 하며,
이를 위해 막대한 비용, 인력, 시간을 소모해야 합니다.
더욱이, 실질적 보안성과 무관하게 요건을 충족하지 못할 경우, 행정적 제재가 부과됩니다.

참고 (References)

언론 보도 및 사건 기사

  1. 안유리, 「‘랜섬웨어’ 예스24도 ISMS‑P, 실효성 의문…인증 받아도 뚫린다」, 이투데이 (2025‑06‑11).
  2. 박서린, 「해킹 피해 숨긴 ‘예스24’, 정상화 지지부진 이유」, ZDNet Korea (2025‑06‑11).
  3. 강현주, 「‘무용론’ ISMS 심사에 ‘모의해킹’ 추가하나…실효성 높아져 기대」, 보안뉴스 (2025‑06‑10).
  4. 최민지·김보민, 「또 해킹 당한 예스24에 과기정통부·KISA ‘자료보존 요구’…왜?」, 디지털데일리 (2025‑06‑10).
  5. 김아령, 「“해킹사태 언제 터질지 모른다”…유통업계 보안 관리 현주소는」, 이코노믹데일리 (2025‑05‑26).
  6. 전영주 외, 「“100억 투자 날리느니 수억 원 뜯기고 말죠”…‘열에 아홉’은 해커에 상납」, 아시아경제 (2025‑05‑26).
  7. IT조선, 「SKT IMSI·ICCID 유출 의혹에 과기정통부 조사 착수」 (2025‑05‑19).

국내 공식 보고서 및 통계

  1. 한국인터넷진흥원(KISA), 『사이버 침해사고 통계연보 2024』 (2025‑03).
  2. 한국인터넷진흥원, 『정보보호 관리체계(ISMS) 인증기준 해설서 v4.0』 (2024‑07).

기술 보고서 및 국제 보안 자료

  1. NIST, Zero Trust Architecture (ZTA), Special Publication 800-207, National Institute of Standards and Technology (2020).
  2. NIST, National Vulnerability Database (NVD), https://nvd.nist.gov
  3. CVE® Program, 2024 Year in Review (2025‑01).
  4. MITRE, ATT&CK Framework, https://attack.mitre.org
  5. MITRE Engenuity, CALDERA User Guide v4.2 (2024‑11).
  6. OWASP Foundation, ModSecurity Core Rule Set 3.4 Release Notes (2025‑01).
  7. Trend Micro Research, 「BPFDoor: A Covert Backdoor Using Raw Sockets」 (2025‑04).
  8. AV‑TEST GmbH, “Microsoft Defender Antivirus (Windows 10) – Nov–Dec 2024 Evaluation”, https://www.av-test.org/en/antivirus/home-windows/
  9. Cloudflare Radar Team, 「Encryption on the Web 2024 Review」 (2024‑12).
  10. Google Cloud DORA Team, Accelerate State of DevOps Report 2024 (2024‑10).
  11. OpenAI, GPT‑4o System Card (2025‑05).
  12. Cloud Security Alliance, WAAP Guidance v1.1 (2024‑03).

기업 블로그·기술 인사이트

  1. PLURA 블로그, 「웹의 전체 로그 분석은 왜 중요한가?」 (2025‑02‑20).
  2. PLURA 블로그, 「마이터 어택 관점에서 고급 감사 정책 활용」 (2023‑02‑21).
  3. PLURA 블로그, 「다중∙계층 보안, 정말 필요한가?」 (2025‑05‑05).
  4. PLURA 블로그, 「전통적인 SOC vs. PLURA-XDR 기반 SOC: 사후 중심을 넘어 사전 예방으로」 (2025‑02‑27).
  5. PLURA 블로그, 「SKT 해킹 악성코드 BPFDoor 분석 및 PLURA-XDR 대응 전략」 (2025-05-02).
  6. PLURA 블로그, 「제로 데이 공격 대응 전략」 (2025-02-23).
  7. PLURA 블로그, 「지금 해킹 공격이 진행 중인지 확인하려면?, PLURA-XDR의 즉각적인 가시성」 (2025-06-09).

Tags