[보고서] ISMS 인증제도, 왜 지금은 더 이상 유효하지 않은가?
대한민국 정보보안 인증 제도의 기술적 부조리와 현실 괴리 분석 보고서
개요 및 배경
대한민국의 정보보호 관리체계(ISMS 등)와 보안적합성 인증 제도는 기업과 기관의 사이버 보안을 담보하기 위한 필수적인 기준을 제시해왔습니다. 그러나 급변하는 기술 환경과 위협 양상에 비해 일부 인증 기준은 과거의 보안 패러다임에 머물러 있어 현실과 괴리가 발생하는 사례가 지적되고 있습니다. 본 보고서에서는 다음 네 가지 사례를 중심으로 이러한 기술적 부조리와 현실 괴리를 분석합니다:
1. 침입방지시스템(IPS) 구축 의무의 구조적 문제
침입방지시스템(IPS)의 필수 구축 요구는, 오늘날 암호화 중심의 통신 환경과 기술 현실 사이의 괴리를 가장 선명하게 보여주는 대표적인 사례입니다. 현재 전체 인터넷 트래픽의 95% 이상은 HTTPS 등 SSL/TLS 기반의 암호화된 형태로 이루어져 있으며, 일부 TLS 트래픽은 복호화 장비를 통해 제한적으로 분석이 가능하더라도, SSH, RDP, VPN, 사설 암호화 프로토콜 등은 기술적으로 복호화 및 탐지가 사실상 불가능한 상황입니다.
그럼에도 불구하고, IPS는 여전히 국내 보안 인증 제도(ISMS, 보안적합성 인증 등)에서 필수 보안 장비로 간주되고 있으며, 보유 여부 자체가 평가 요소로 작용하고 있습니다. 이는 1990~2000년대 평문 트래픽을 전제로 한 경계형 보안 모델의 잔재로, 실제 보안 효과와는 무관하게 ‘구축했다는 사실’만으로 인증 요건을 충족시키는 형식적 평가의 대표적인 폐단이라 할 수 있습니다.
결국 암호화된 트래픽으로 인해 ‘보이지 않는’ 환경에서, 내용도 확인하지 못하는 장비의 도입을 강제하는 정책은 보안의 실효성을 보장하지 못할 뿐 아니라, 예산과 인력 자원의 낭비로 이어지고 있습니다. 이러한 구조는 보안의 본질을 기술이 아닌 형식에 두는 제도적 한계를 보여주며, 근본적인 개편이 필요한 영역입니다.
2. 연 1회 취약점 점검 및 모의해킹의 실효성 문제
연 1회 실시되는 취약점 점검과 모의해킹은 지속적이고 급변하는 사이버 위협 환경에 실질적으로 대응할 수 있는가에 대한 의문을 강하게 제기합니다. 오늘날의 공격자는 취약점이 공개된 직후 수시간 내에 공격을 개시하며, 시스템 변경이나 신규 서비스 론칭 주기도 빨라져 위협 노출 가능성은 연중 지속됩니다. 그럼에도 불구하고 대부분의 인증 기준은 정기적으로 1년에 한 번 진단을 실시하고 보고서를 제출하는 수준에서 요건 충족으로 간주합니다.
특히 모의해킹은 사전에 합의된 IP 범위와 테스트 계정으로만 진행되는 방식이 일반적이며, 실전 공격자의 예측 불가성이나 우회 기법을 전혀 반영하지 못한 채 ‘절차상 점검’에 머물러 있습니다. 이러한 형식적 방식은 실제 침투 가능성을 검증하거나 조직의 탐지·대응 역량을 확인하는 데 거의 도움이 되지 않으며, 결과적으로 ‘연례 행사’ 수준의 점검이 제도의 본질을 훼손하고 있다는 비판이 나옵니다.
3. 안티바이러스 소프트웨어 도입 관행의 문제
안티바이러스 소프트웨어 사용에 대한 관행은, 기술 발전과 현실 보안 운영 환경의 변화와 괴리된 평가 기준을 그대로 답습하고 있다는 점에서 문제의 소지가 큽니다. 대표적으로 Microsoft Defender는 최근 수년간 AV-TEST 등에서 최상위 탐지 성능을 인정받고 있으며, 행위 기반 탐지, 실시간 보호, 클라우드 연동 분석 등 다양한 기능을 윈도우 OS에 기본 내장된 상태로 제공합니다.
그럼에도 불구하고 일부 인증 심사나 내부 평가에서는 Defender 단독 사용 시 외부 백신 제품 미도입을 지적하거나, ‘정품 보안 솔루션 구매 여부’ 자체를 보안 수준의 간접적 지표로 간주하는 경향이 여전히 존재합니다.
이는 보안의 본질을 “무엇을 구매했는가”로 판단하는 구시대적 인식의 연장선에 있으며, 무료지만 충분한 성능을 제공하는 솔루션조차 과소평가되는 현상을 초래하고 있습니다. 결국 제품 브랜드 중심의 인증 평가 방식은, 기술 기반 보안 역량을 왜곡시킬 수 있는 대표적 사례입니다.
4. 최신 공격기법에 대한 인증 기준의 대응 미비
Credential Stuffing, Living off the Land(LoL) 등 최근 사이버 공격자들이 자주 활용하는 기법들은, 전통적인 시그니처 기반 보안 솔루션이나 표준화된 통제 방식으로는 효과적으로 대응하기 어렵습니다. Credential Stuffing은 유출된 계정 정보를 자동 대입하여 정식 로그인 절차를 통해 침투하기 때문에, 방화벽이나 IPS로는 탐지 자체가 불가능하며, MFA 적용이나 이상행위 분석 체계가 필수적입니다.
LoL 공격 역시 PowerShell, RDP, WMI 등 시스템 내부의 정식 도구를 악용해 탐지를 회피하는 방식으로, 파일 없는(fileless) 행위 기반 공격으로 분류됩니다. 그러나 현행 인증 기준은 이러한 최신 공격 기법에 특화된 대응책을 명확히 요구하지 않고, 기존의 접근통제, 계정관리, 로그감사 수준에서 제한적으로 언급할 뿐입니다.
결과적으로, 보안 위협의 트렌드는 진화했지만, 이를 전제로 한 인증 기준은 정체되어 있으며, 이로 인해 ‘기준을 통과한 조직’조차 최신 위협에 무방비로 노출될 수 있는 구조적 공백이 발생하고 있습니다. 이는 현실 기반이 아닌 제도 중심의 평가 체계가 초래한 한계라 할 수 있습니다.
각 사례별로 최신 기술적 동향과 보안 현실, 관련 인증기준 및 평가항목, 국제 보안 표준(NIST, ENISA 등)의 접근법을 비교 분석하고, 실제 침해 사례와 언론 보도를 통해 시사점을 도출하였습니다. 마지막으로 요약 표를 통해 각 기술 이슈의 제도 반영 현황과 정책적 개편 필요성을 정리합니다.
1. IPS와 암호화 트래픽: 과거 규정 vs 현재 현실
기술 배경과 보안 현실
과거 네트워크 보안은 주로 평문 트래픽을 기반으로 침입을 탐지/차단하는 모델이 주류였습니다. 전통적 침입방지시스템(IPS)은 패킷의 내용(payload)을 검사하여 알려진 공격 시그니처를 찾아내고 차단하는 방식으로 동작합니다. 그러나 오늘날 인터넷 트래픽의 대다수는 HTTPS 등 SSL/TLS 기반 암호화 트래픽으로 이루어져 있으며, 일부 보고에 따르면 2024년 기준 95% 이상의 트래픽이 암호화된 상태입니다. 여기에 더해, SSH, RDP, VPN, 사설 암호화 프로토콜 등도 조직 내외부에서 광범위하게 사용되고 있습니다.
이러한 환경에서는, 일부 TLS 트래픽은 SSL 프록시나 복호화 장비를 통해 제한적으로 분석이 가능하더라도, SSH, RDP, VPN, BPFDoor와 같은 사용자 정의 암호화 채널에 대해서는 복호화 및 분석이 사실상 불가능합니다. 예를 들어, 최근 발견된 BPFDoor 악성코드는 패킷 필터링을 우회해 TCP 포트가 열리지 않은 상태에서도 SSH 트래픽을 가장해 통신을 수행하며, 암호화된 채널 내부에서 명령 제어를 은폐하는 수법으로 기존 IPS 탐지를 무력화한 사례입니다.
결과적으로 IPS는 이러한 암호화 트래픽을 식별하거나 내용 분석이 어려워 실질적인 대응력을 상실하고 있음에도 불구하고, 국내 보안 인증 제도에서는 여전히 필수 보안장비로 간주되고 있습니다. 이는 1990~2000년대 평문 기반 네트워크 환경을 전제로 한 보안모델에 기초한 제도적 잔재이며, 현실과 동떨어진 대표적인 정책 오류라 할 수 있습니다.
인증 제도 기준 및 평가 항목과의 비교
ISMS 등의 국내 보안 인증 기준에서는 네트워크 보안시스템의 일환으로 침입차단시스템(방화벽) 및 침입탐지/방지시스템(IDS/IPS)의 구축·운영을 사실상 기본 통제항목으로 요구합니다. 특히 중요한 정보자산을 보유한 기관일수록 IPS 도입이 당연시되고 심사에서도 이를 갖추었는지 확인하는 경우가 일반적입니다. 이는 해당 기준들이 수립된 시기의 보안 패러다임(즉, 내부-외부 망 경계에서 패킷 내용을 살펴 악성 행위를 차단하는 모델)에 기초한 것입니다.
예를 들어, 개인정보 보호 관련 관리체계 요구사항에는 “개인정보처리시스템에 대한 불법 접근 및 유출 방지를 위해 보안시스템을 설치·운영해야 한다”는 식의 조항이 있으며, 여기서 말하는 보안시스템에는 WAF, DLP 등과 함께 네트워크 IPS도 포함되는 것으로 해석됩니다. 그러나 이는 암호화 트래픽에 대한 가시성 확보를 포함하지 않으며, 실제로는 기관이 IPS 장비를 보유하고 있더라도 HTTPS, SSH, VPN과 같은 암호화 통신 내부에 존재하는 공격을 식별하거나 차단하지 못하는 상황이 빈번합니다. 그럼에도 불구하고 인증 심사에서는 “IPS 장비를 갖추었는가” 여부만으로 요건을 충족한 것으로 간주되는 경우가 많아, 형식은 갖추었지만 실질은 결여된 평가 구조가 지속되고 있습니다.
국제적 보안 가이드의 접근 방식
국제적으로는 암호화 트래픽 속 위협을 다루기 위해 여러 보완적 전략이 권고됩니다. NIST는 네트워크 기반 IDS/IPS의 한계를 인정하면서, 암호화되기 전이나 복호화된 후의 구간에서 모니터링을 수행하도록 권장합니다. 이는 예를 들어 SSL 프록시를 통해 중간 복호화 후 검사하거나, 종단점(클라이언트/서버)에 에이전트를 설치하여 통신 내용을 확인하는 방식입니다. ENISA 등 유럽 가이드라인에서도 TLS 가시성 확보 및 제로 트러스트 아키텍처의 필요성을 강조하며, 암호화 환경에서도 보안 가시성을 유지하기 위한 행위 기반 탐지, 메모리 포렌식, 명령줄 로깅 등의 기술 활용을 권장하고 있습니다.
한편, 차세대 방화벽(NGFW)이나 SSL 가시성 솔루션이 국제 시장에서 각광받는 것도 같은 맥락입니다. 2023년 Gigamon 보고서에 따르면 설문 기관의 70% 이상이 암호화 트래픽을 검사하지 못하고 내부망으로 통과시키고 있으며, 이에 대한 가시성 확보 기술이 2024년 보안팀의 최우선 과제가 될 것이라고 지적합니다. 많은 글로벌 기업들은 TLS 검사 프록시, SSL 오프로드 장비, EDR(Endpoint Detection & Response) 등으로 IPS의 한계를 보완하거나 대체하는 방향으로 전환하고 있습니다.
실제 사례와 시사점
현실적으로 IPS에만 의존할 경우, 암호화된 트래픽 내부에 숨겨진 공격을 탐지하지 못해 침해 사고로 이어질 수 있다는 점은 이미 다수의 사례로 확인되고 있습니다. 국내외 다양한 APT 공격 및 악성코드 유포 사례에서, 공격자는 HTTPS나 SSH로 암호화된 C2(Command & Control) 통신을 활용해 IPS와 방화벽을 우회하고 내부 정보를 유출했습니다.
특히, BPFDoor는 암호화된 SSH 세션을 가장하여 백도어 명령을 은닉하고, 침입 방지 장비에 포착되지 않는 고급 공격을 수행한 사례로 대표됩니다. 이처럼 공격자는 SSL뿐 아니라 SSH, RDP, VPN, 사설 암호화 프로토콜 등 다양한 암호화 채널을 통해 탐지 회피를 시도하며, 이들 트래픽은 대부분 현재 IPS로는 내용 분석이 불가능한 영역입니다.
결과적으로, “IPS를 운영하고 있다”는 체크박스는 채울 수 있어도, 실질적인 위협 탐지·차단 능력을 갖췄다고 보기 어려운 상황이 반복되고 있습니다. 이러한 사례들은 인증 제도 개편의 필요성을 강하게 시사합니다.
현행 기준은 IPS 장비 보유 여부만을 요구할 것이 아니라, 암호화 트래픽에 대한 가시성 확보 대책의 유무를 통제 요건으로 포함해야 하며, TLS 복호화 기술 또는 EDR 등 대안적 보안 조치를 마련한 경우 이를 통과 기준으로 인정하는 유연한 평가체계가 필요합니다.
궁극적으로는, 1990년대식 “네트워크 경계 기반 보안” 패러다임에서 벗어나, 제로 트러스트 및 행위 기반 보안 전략을 반영한 제도 개편이 절실합니다.
항목 1: IPS 구축 의무 vs 암호화 트래픽 현실 – 비교 정리
| 항목 | 현행 인증 기준의 관행 | 현실 보안 환경의 변화 | 국제적 권고 및 사례 | 제도 개선 필요성 |
|---|---|---|---|---|
| IPS 구축 의무 | 네트워크 경계에 IDS/IPS 설치 필수. 해당 장비 운영 여부를 중시 | 대부분 트래픽이 SSL/TLS 암호화 ⇒ IPS가 내부 내용 분석 불가. 공격자는 암호화로 IPS 우회 SSH, RDP, VPN, 사설 암호화 등은 복호화 불가능 |
NIST: 복호화 구간에서 모니터링 권고 ENISA: TLS 가시성 확보 및 제로트러스트 강조 글로벌 기업: SSL 검사 프록시, EDR 도입 사례 |
IPS 요건 재정립: 암호화 트래픽 가시성 대책까지 포함하도록 기준 보완. IPS 대안 통제(예: SSL 프록시, EDR, 행위기반 탐지)를 인정 필요 |
2. 연 1회 취약점 점검 및 모의해킹 규정의 한계와 폐기 필요성
현실과 동떨어진 고비용·저효율 구조
오늘날 대부분의 보안 인증 및 컴플라이언스 기준은 여전히 “연 1회 이상 취약점 진단 및 모의해킹(pen-test)”을 의무화하고 있습니다. 그러나 이러한 연례 중심의 접근 방식은 보안 실효성과는 점점 더 거리가 멀어지고 있습니다.
우선, 중소·중견기업, 심지어 대기업 입장에서도 연 1회 모의해킹은 단가가 수천만 원에서 1억 원에 이르는 고비용으로, 현실적으로 수행이 불가능하거나 최소 범위에만 그치는 경우가 많습니다. 또한 1년의 시간 간격은 보안 위협이 상시로 발생하는 현실과 맞지 않아, 점검이 이루어지지 않는 기간 동안 새로 등장한 취약점에 대한 대응이 완전히 비어 있는 상태가 됩니다. 그럼에도 불구하고 인증 심사에서는 “연 1회 수행 여부”만 확인되면 자동화 수준이나 실전 대응력 등 실질적인 보안 역량은 평가하지 않고 있습니다.
이처럼 연례 점검은 실제로는 ‘문서용 행사’에 그치기 쉽고, 예산과 인력의 낭비로 이어지는 동시에 위협 대응의 공백을 낳습니다. 무엇보다도, “고비용 방식은 강제하고, 저비용·상시 대응 대안은 전혀 평가하지 않는다”는 점에서 이 제도는 구조적으로 잘못 설계되어 있습니다.
글로벌 기준은 상시·자동·위험기반 모델로 전환 중
NIST 사이버보안 프레임워크, PCI-DSS 11.x, 유럽의 TIBER-EU 같은 국제 기준은 이미 이러한 문제를 인식하고, 연 1회 점검 방식에서 벗어나고 있습니다. 이들은 자동화된 스캐닝 툴과 SaaS 기반의 지속적인 점검을 주간 또는 일일 단위로 수행할 수 있도록 권고하며, 핵심 인프라에는 위험 기반의 레드팀 테스트를 병행하고 있습니다. 또한 기업 규모와 보안 수준에 따라 버그바운티나 공격 표면 관리(ASM)를 통해 상시적인 테스트 체계를 유연하게 도입하는 추세입니다.
즉, 빈도와 비용은 고정된 규제가 아닌 자율 조정 가능한 항목이 되어야 하며, 고비용의 연례 행사를 폐지하는 것이 오히려 글로벌 표준으로 자리잡아가고 있습니다.
반복되는 침해사고가 보여주는 제도의 한계
이러한 구조적 문제는 실제 침해사고에서도 반복적으로 확인되고 있습니다. 2017년 Equifax 해킹 사건은 연례 점검을 마친 이후 60일 이내에, 미패치 상태였던 취약점이 악용되면서 1억 4천만 명의 개인정보가 유출된 대표적인 사례입니다. 국내에서도 연말 점검을 완료한 이후 신규 취약점이 공개되었지만, 다음 점검까지 아무 대응 없이 수개월이 지나며 침해사고가 발생한 사례들이 존재합니다.
공격자는 항상 “점검과 점검 사이의 공백”을 노립니다. 그리고 현재의 제도는 이러한 공백을 줄이는 것이 아니라 제도적으로 고정해 놓고 있는 셈입니다.
폐기 선언이 필요한 이유와 새로운 체계의 방향
기존의 연 1회 점검 중심 규정은 더 이상 유효하지 않으며, 실질적인 대응력 확보를 위해 전면적으로 폐기되어야 합니다. 그 대안으로는, 자동화된 스캐닝 시스템을 통해 주 단위로 점검하고, 패치의 평균 처리 시간(MTTR)을 7일 이내로 유지하도록 관리하는 체계를 권장해야 합니다. 또한 모의해킹 역시 획일적인 연례 테스트 대신, 상시 운영되는 버그바운티 프로그램과 주요 인프라에 대한 연 1~2회 수준의 고도화된 레드팀 활동으로 대체하는 것이 효율적입니다.
대응 훈련 역시 선택 사항이 아닌 필수 항목으로 인식되어야 하며, 분기별로 Table-top 훈련이나 Blue-team 훈련을 통해 실질적인 위기 대응 능력을 지속적으로 강화할 수 있도록 운영해야 합니다.
이러한 방식은 단순히 비용을 줄이는 것을 넘어, 조직의 보안 수준을 실제로 끌어올릴 수 있는 방식이며, 기존의 정형화된 규정 기반 심사에서 실질적인 대응 능력 중심의 평가 체계로의 전환이 반드시 필요합니다.
결론적으로, 1년에 한 번 점검하는 방식은 이미 보안 현실에서 그 임무를 마쳤습니다. 인증 제도는 이제 상시적이고 저비용이며 위험 기반으로 설계된 새로운 틀로 전면 교체되어야만 실질적인 보안 효과를 기대할 수 있습니다.
항목 2: 연 1회 취약점 진단/모의해킹 – 비교 정리
| 항목 | 현행 인증상의 요구사항 | 보안 현실 및 문제점 | 국제적 모범 사례 및 권고 | 개선 및 개편 방향 |
|---|---|---|---|---|
| 취약점 점검 빈도 | 일반적으로 연 1회 이상 정기 점검 실시 요구 | 신규 취약점이 수시로 발생 → 1년 주기론 대응 공백 큼 정기 점검 후 공개된 취약점은 다음 점검 때까지 방치 위험 |
PCI-DSS: 연1회 + 주요 변경 시 추가 테스트 글로벌: 지속적 스캔/펜테스트 추세 |
상시 평가 체계 도입: 분기별 스캔, 수시 패치 확인 등 연중 지속 관리를 인증에 반영 |
| 모의해킹 현실성 | 범위·시나리오 사전 합의 후 안전하게 진행 (준컴플라이언스 목적) | 실제 공격은 예고 없이 다양한 경로로 진행됨 → 현행 모의해킹은 공격자 시나리오와 괴리 테스트 인지 시 방어 효율 과대평가 우려 |
금융권 TIBER-EU 등 위협기반 자율 모의해킹 도입 NIST 등 주기적 침투 훈련 권고 |
시나리오 다양화: 불시 모의침투, 내부자 위협 가정 등 실전형 훈련 평가요소 추가 공격 표면 관리 및 Threat Hunting 체계 평가 |
3. 안티바이러스 솔루션: Microsoft Defender vs 서드파티 제품
최신 기술 동향과 보안 현실
과거 수십 년간 PC 및 서버 보안의 기본 수칙 중 하나는 “안티바이러스(백신) 소프트웨어 설치"였습니다. 윈도우 XP/7 시절까지만 해도 OS 내장 보안 기능이 제한적이어서 시중의 AhnLab, Symantec, Trend Micro 등의 서드파티 백신 제품이 필수적으로 여겨졌습니다. 그러나 Microsoft가 윈도우 10부터 기본 탑재한 Defender 안티바이러스는 해를 거듭하며 성능이 크게 향상되었습니다. 최근 몇 년간 AV-TEST 등의 권위있는 평가에서 마이크로소프트 Defender는 탐지율, 사용성, 성능 면에서 만점에 가까운 점수(6점 만점 중 지속적으로 6점)를 획득하여 업계 평균을 상회하는 모습을 보였습니다. 이는 이제 Windows Defender가 유료 백신에 필적하는 보호 수준을 제공한다는 의미입니다. 실제 보안 전문가들 사이에서도 “윈도우에 기본 내장된 보안으로 충분하다”는 의견이 늘고 있으며, 별도의 백신을 설치하지 않고도 OS 제공 기능과 정기 업데이트만으로도 일반적인 악성코드 위협에 대응 가능하다는 인식이 퍼지고 있습니다.
또한 Microsoft Defender는 단순 바이러스 검사 기능을 넘어 행위 기반 탐지, 메모리 보호, 클라우드 연계 악성코드 평판 조회 등 고급 기능을 포함하고 있고, 조직 단위로는 Defender for Endpoint 형태로 EDR(Endpoint Detection & Response) 기능까지 확장됩니다. 윈도우 환경에서 추가 비용 없이 활용 가능하다는 점도 커다란 강점입니다. 요컨대 현재의 현실은 “백신 = 유료 소프트웨어” 공식이 깨지고, OS 기본 보안과 클라우드 AI를 연계한 차세대 엔드포인트 보안”으로 발전하고 있습니다. 한편, 일부 서드파티 백신은 여전히 랜섬웨어 전용 보호기능, 비밀번호 관리, VPN 번들 제공 등 부가기능을 내세워 차별화를 꾀하지만, 이러한 기능들은 전문 솔루션 대비 품질이 떨어지거나 시스템에 부담을 주는 경우도 있어 무조건 많다고 좋은 게 아니다라는 지적이 있습니다. 더욱이 작금의 위협은 전통 바이러스보다 파일리스(Fileless) 공격, Living-off-the-Land 형태로 진화하여 백신 한 가지로 막기 어려운 시대이기도 합니다. 결국 현대 보안 현실은 “단일 백신보다는 종합적인 엔드포인트 방어”를 요구합니다.
인증 기준과 관행의 비교
국내 정보보안 관리체계 기준에서는 “악성코드 방지 대책 수립”을 하나의 요구사항으로 두고, 통상 백신 설치 및 업데이트, 악성코드 경보 시 조치 등을 확인합니다. 여기서 말하는 백신이 특정 제품이어야 한다고 명시되지는 않지만, 실무적으로는 전 기관 PC에 백신 솔루션을 설치 운영하는 것을 전제로 합니다. 문제는 일부 심사나 가이드라인에서 Windows Defender와 같은 기본 제공 솔루션의 활용에 대해 명확한 언급이 부족하다는 점입니다. 과거에는 Defender가 안티스파이웨어 수준이었기 때문에 “백신 = 타사 제품”이라는 인식이 굳어졌고, 현재도 많은 기관들이 관행적으로 별도의 백신 도입을 당연시합니다. 예를 들어, 내부심사 체크리스트에 “백신 솔루션(AhnLab V3 등) 설치 여부”를 묻거나, Defender만 사용 시 이에 대한 추가 설명을 요구하는 사례들이 보고됩니다 (공식 지침이라기보다는 현장 관행에 가까움).
또한 조달 및 예산 측면에서 백신 소프트웨어 구매가 하나의 항목으로 반영되어, 별도 제품을 도입해야 보안에 신경쓴 것으로 평가받는 분위기도 없지 않습니다. 가점 요소 언급은 이런 맥락을 반영하는데, 가령 모 기관의 정보보호 수준평가에서 “국내외 공인된 백신 제품 사용 여부”를 플러스 요인으로 본 사례가 있습니다. 반면, Defender처럼 기본 제공되는 경우 눈에 띄지 않기 때문에 보안 투자가 부족하다고 오해받을 소지도 있습니다. 정리하면, 인증 제도 자체가 외부 백신 사용을 명문화하고 있지는 않지만, 심사관과 조직 모두 관행적으로 “외부 백신 = 보안 강화”로 받아들이는 경향이 존재한다는 것입니다.
이러한 관행은 앞서 언급한 현실과 다소 엇갈립니다. 최신 Windows 환경에서 Defender는 충분한 보안성을 제공함에도 불구하고, 이를 “무료 기본 백신이라 신뢰하기 어렵다”고 낮게 치부하거나, 별도 비용을 들여야 성의있게 보안 대비를 한 것으로 평가하는 인식은 재고되어야 합니다. 인증 기준의 본래 취지는 “엔드포인트 악성코드 대응 능력 확보”일 터인데, 현재는 그것이 “유명 백신 솔루션 운영 여부”로 치환되는 경우가 있는 것입니다.
국제적 관점 및 사례
국제 표준 (예: ISO/IEC 27002)에서는 악성코드 방지 통제를 명시하되 특정 제품을 요구하지 않습니다. 조직 환경에 맞는 방식을 택하도록 유연성을 줍니다. 실제 많은 글로벌 기업들은 Windows Defender의 향상된 기능을 인정하여 기존 유료 백신에서 Defender로 전환하는 추세를 보였으며, 가트너 등에서도 Microsoft를 엔드포인트 보안 리더군으로 평가하고 있습니다. 미국 연방기관의 경우 “권고 목록(Approved Product List)”에 Defender와 같은 기본 기능이 올라가 있기도 하며, CIS 벤치마크 등에서도 Defender 설정 최적화가 모범수칙으로 제시됩니다. 이는 Defender를 포함한 OS 기본 보호 기능도 잘 구성하면 충분히 기업용으로 활용 가능하다는 국제적 인식이 있다는 뜻입니다.
또한 멀티레이어드 보안 관점에서, 국제 가이드는 단순 백신보다는 행위 기반 탐지, 애플리케이션 화이트리스팅, EDR 등을 통합적으로 권고합니다. 예를 들어, 호주 사이버보안센터(ACSC)의 필수 8대 대비책(Essential Eight)에는 응용프로그램 제어(Application Control)나 메모리 보호, 매크로 실행 제한 등이 포함되어 전통 백신 의존도를 낮추는 접근을 취합니다. NIST SP 800-83 (악성코드 대응)에서도 서명 기반 백신의 한계를 지적하고, 보조적 수단의 활용(behaviour blocking 등)을 언급합니다. 종합하면 국제적 흐름은 “특정 AV 제품을 쓰느냐”보다 “엔드포인트에서 다양한 기법의 악성행위를 얼마나 탐지/차단하느냐”에 초점을 맞추고 있습니다. 이러한 맥락에서, Windows Defender의 고도화는 엔드포인트 보안의 기본 토대가 강화된 사례로 평가되며, 국제 기준들은 이를 배제하기보다는 적절히 활용하도록 독려하는 추세입니다.
시사점 및 개선 방향
현장의 사례를 보면, 일부 기관에서 Defender만 사용하다가 감사/심사 시 추가 지적을 받은 일도 전해집니다. 반대로, 외부 백신을 도입했지만 업데이트 미흡으로 오히려 방치된 사례도 있습니다. 중요한 것은 “이용 중인 솔루션의 효과성”이지 “브랜드”가 아닙니다. 2019년 모 제조기업 해킹 사건에서는 유료 백신을 사용 중이었음에도 초기 침투를 막지 못했고, 이후 EDR 솔루션 도입으로 행위 기반 탐지를 강화하여 재발을 방지한 일이 있습니다. 이 경우가 말해주듯, 전통 백신만으로 현대적 위협(특히 파일리스, 스크립트 기반 공격)을 차단하기 어려우며, 공격 징후 포착과 대응 속도 측면에서 EDR 등으로 보완해야 효과가 납니다.
따라서 정책적 개선으로, 인증 평가 시 “엔드포인트 보안 솔루션 운영”에 대한 평가를 정량적 도구 보유 여부 체크가 아닌, 실제 방어능력 중심으로 전환할 필요가 있습니다. 예를 들어 Defender를 사용하더라도 중앙관리 콘솔을 통해 경고 모니터링을 하고, 클라우드 보호를 활성화했다면 충분히 높은 평가를 받아야 합니다. 반면 어떤 기관이 외부 백신을 도입했더라도 업데이트가 수개월 묵었거나 경고 로그를 아예 안 보고 있다면 낮은 평가를 받아야 옳습니다. 이를 위해서는 심사 지침의 세분화가 요구됩니다. 또한 OS 기본 보안 활용 가이드를 제시하여, 예산과 인력이 부족한 중소기관은 굳이 무리해서 여러 솔루션을 살게 하기보다 기본으로 제공되는 보안을 잘 활용하도록 유도하는 편이 효과적일 수 있습니다. 궁극적으로 “무엇을 샀나”보다 “얼마나 대응하나”를 보는 평가 체계로 나아가야 할 것입니다.
항목 3: 안티바이러스 솔루션 도입 관행 – 비교 정리
| 항목 | 전통적 인증 관행 | 현실적인 보안 수준 | 국제적 동향 및 사례 | 개선 방향 |
|---|---|---|---|---|
| 백신 솔루션 사용 | PC/서버에 서드파티 백신 설치 여부 중시 (Defender 등 기본 솔루션 언급 적음) |
Windows Defender 성능 대폭 향상 → 별도 백신 없어도 상위권 탐지율 고급 기능(EDR 등)까지 통합 제공 |
글로벌 기업 다수 Defender로 전환 추세 AV-TEST 등에서 Defender 만점 평가 ISO/NIST: 특정 제품 아닌 기능 효과 중시 |
기능 중심 평가: 어떤 솔루션이든 최신 업데이트, 행동기반 탐지 등 엔드포인트 방어 기능 충실하면 OK. Defender 활용 가이드 제시, 별도 구매 강요 지양 |
| 인증상의 인식 | 외부 백신 사용을 “보안 투자의 지표”로 보는 경향 기본 백신 사용 시 설명 요구 또는 가점 불이익? |
외부 백신도 관리 소홀하면 무용지물 기본 제공 보안도 설정·모니터링 잘하면 효과적 |
가트너 MQ: MS Defender를 리더 분류 국제 규제: OS 기본보안도 활용 권장 (예: CIS Benchmarks) |
평가 기준 개선: “백신 구매 여부” 대신 “악성코드 대응체계” 전반 평가. Defender 포함 다양한 안티멀웨어 활용 인정 및 장려 |
우리는 1~3번까지 ISMS 인증제도 상의 문제점을 기술적 사례와 함께 살펴보았습니다. 그러나 더 심각한 문제는, 이러한 구조적 한계뿐만 아니라 인증 제도 자체가 최신 사이버 공격에 대해 실질적인 가이드라인조차 갖추고 있지 않다는 점입니다.
예컨대 최근 몇 년 사이 보안 업계에서 반복적으로 지적되고 있는 Credential Stuffing(크리덴셜 스터핑) 및 Living off the Land(LoL) 공격과 같은 고도화된 위협에 대해, ISMS 인증 기준 어디에도 이를 명시적으로 탐지하거나 대응할 수 있도록 요구하는 항목은 존재하지 않습니다.
기존 인증 항목들이 계정 관리, 접근 통제, 로그 분석과 같은 포괄적인 영역을 언급하고 있더라도, 이는 대부분 과거의 공격 모델에 기반한 일반적 수준에 그치며, 오늘날의 정교하고 은밀한 공격 수법에 대한 실질적인 대응 역량을 확인하거나 점검하는 수준에는 미치지 못합니다.
결국 이는 인증제도가 단순히 “기초 보안 수칙 이행 여부”에만 초점을 맞춘 결과이며, 실제 공격 상황에서의 탐지 능력이나 대응 체계를 평가하지 않는 구조적 결함으로 이어지고 있습니다.
이제는 기존 보안 통제가 아닌 “공격자 관점”에서 시스템의 약점을 검증하고, 그에 따라 실질적인 대응 능력을 갖추었는지를 확인하는 기준으로 전환되어야 합니다. 이를 위해서는 Credential Stuffing과 LoL 공격 같은 최신 위협 유형을 명시적으로 인증 제도에 반영하고, 탐지 및 차단 체계 여부를 구체적으로 평가해야 할 시점입니다.
4. 최신 공격기법 (Credential Stuffing, Living off the Land 등)에 대한 인증 기준의 대응
배경: 크리덴셜 스터핑 & LoL 공격의 부상
크리덴셜 스터핑(Credential Stuffing)은 오늘날 계정 탈취 공격의 대표적인 수법으로 부상했습니다. 공격자는 대규모로 유출된 타 서비스의 ID/비밀번호 목록을 입수한 뒤, 이를 자동화된 스크립트로 다른 사이트에 시도 입력하여 계정 접속을 시도합니다. 사용자가 여러 서비스에서 비슷한 비밀번호를 쓰는 경우 성공률이 높아지며, 한번 뚫리면 해당 계정의 개인정보나 금전정보를 탈취하는 심각한 피해가 발생합니다.
실제 2023년 이후만 보더라도 국내에서도 GS리테일, 스타벅스, 한국장학재단 등에서 크리덴셜 스터핑 공격으로 수만~~수십만 건의 개인정보 유출 사고가 연쇄적으로 일어났습니다. 예컨대 GS리테일 사건에서는 공격자가 여러 경로로 입수한 ID/PW를 무작위 대입하여 9만여 명의 고객정보를 빼냈으며, 보안전문가들은 대응책으로 멀티팩터 인증(MFA) 도입과 이상 로그인 탐지를 강조했습니다.
이처럼 Credential Stuffing은 아주 흔한 공격기법으로 자리잡았지만, 전통적인 보안 통제(예: 방화벽, 백신)로는 막을 수 없고 인증 단계의 보완책, 특히 MFA와 로그인 이상행위 탐지 체계가 필요합니다.
LoL(Living off the Land) 공격은 앞서도 언급했듯, 시스템에 원래 존재하는 합법적 도구를 악용하는 공격 기법입니다. 예를 들면 윈도우의 PowerShell, WMI, MSHTA, DLL 등 관리도구를 통해 악성행위를 수행하므로, 공격자가 별도 악성 파일을 떨어뜨리지 않고 (파일리스 공격) 정상 프로세스 내에서 움직이기 때문에 기존 보안솔루션에 잘 탐지되지 않습니다. LoL 공격은 APT 그룹과 랜섬웨어 조직까지 광범위하게 활용하는 추세이며, 2023년 한 보고에 따르면 파일리스/LoL 공격이 전년 대비 14배(1400%) 폭증하였고 MITRE ATT&CK 상 가장 많이 보고된 공격기술이 되었다고 합니다. 특히 북한 해커조직의 한국 대상 침투에서도, 내부 관리자용 툴을 사용해 탐지를 회피한 사례가 있었을 정도로, LoL은 고도 공격의 대명사가 되어가고 있습니다.
이러한 최신 공격기법들의 공통점은, 기존 시그니처 기반 방어나 정형화된 통제만으로는 잡기 어렵다는 것입니다. Credential Stuffing은 정상 계정으로의 로그인 시도이므로 방화벽이나 IPS에 걸리지 않으며, LoL은 정상 프로세스가 행동하므로 백신이 악성으로 인지하지 못합니다. 탐지와 대응은 보안팀의 가시성 확보, 이상행위 분석, 보안 모니터링 체계에 달려 있습니다. 문제는, 현행 인증 제도에 이러한 기법들을 염두에 둔 명확한 통제 항목이 있는지입니다.
인증 제도 내 관련 통제 및 한계
ISMS-P 등의 관리체계 요구사항을 살펴보면 접근통제, 계정관리, 로그 및 모니터링 등의 항목이 있어 무작위 로그인 시도 탐지나 관리자 도구 사용 통제와 일정 부분 연관됩니다. 예를 들어 “시스템 또는 서비스의 이상징후 모니터링”, “비인가 접근시도에 대한 로그 분석” 등이 일반론으로 포함되곤 합니다. 하지만 ‘크리덴셜 스터핑 방지’ 혹은 ‘LoL 기법 탐지’와 같이 구체적인 용어로 기준에 언급되어 있지는 않습니다. 현실적으로 인증 심사에서는 계정 잠금 정책이 있는지, 로그인 실패 시 경보가 설정됐는지 등을 확인할 수는 있지만, 수만 건의 ID/PW 대입 시도가 분산 IP로 이뤄질 때 어떻게 탐지할지까지 심층 평가하진 않습니다. 마찬가지로 관리자 권한 남용이나 내부 도구 악용을 탐지하기 위한 EDR/UTM 활용 여부 등이 명시적으로 체크리스트에 포함되어 있지 않습니다.
요컨대, 인증 기준은 포괄적으로 적시되어 있으나 최신 공격 기법에 특화된 통제는 다소 부족합니다. 예를 들어 개인정보보호 관리체계에서는 계정탈취를 막기 위해 비밀번호 복잡도와 계정공유 금지 등을 다루지만, 이미 유출된 비밀번호 사용을 탐지하는 방법(MFA나 비밀번호 누출대조 등)에 대한 언급은 없습니다. 또한 내부자에 의한 도구 악용에 대비해 “프로그래밍 도구 사용 통제”같은 항목이 있을 수 있으나, 이를 APT 공격의 LoL 시나리오로 연결지어 점검하진 않는 게 현실입니다. 정리하면, 기준에는 있는 말 같은데 실제 평가와 대비책 점검은 미흡한 부분이라고 볼 수 있습니다.
국제 표준 및 가이드의 접근
국제적으로는 Credential Stuffing과 같은 인증 공격에 대비한 권고가 활발합니다. ENISA와 유럽 개인정보 감독기구(EDPS) 등은 크리덴셜 스터핑을 주요 위협으로 지목하면서, 멀티팩터 인증(MFA) 도입, 비밀번호 유출 모니터링(예: Have I Been Pwned 등의 DB 대조), 로그인 시도 패턴 분석 등을 권장하고 있습니다. **NIST SP 800-63B(전자 인증 가이드)**에서도 사용자가 과거 유출된 비밀번호를 새 비밀번호로 설정하지 못하도록 누출 목록과 대조하도록 명시하고 있습니다. 또한 OWASP에서는 Credential Stuffing 대응 Cheat Sheet를 제공하여 IP별 rate limiting, Captcha 도입, MFA, 로그인 실패 모니터링 같은 구체적 수단을 안내합니다. 특히 금융권이나 대형 플랫폼 서비스는 사용자 보호 차원에서 이상 로그인 탐지 시스템(예: 동일 IP에서 다계정 로그인 시도, 동일 계정의 지리적 이격 로그인) 등을 구축하고 있습니다.
LoL 공격에 대해서 국제 가이드는 행위기반 탐지와 원천 차단 양면을 강조합니다. 예를 들어 MITRE ATT&CK 프레임워크는 PowerShell 사용, 스크립트 실행 등 TTP(전술/기술)를 카탈로그화하여 보안팀이 이를 모니터링하게 돕고 있습니다. NSA와 CISA에서는 파일리스 악성코드 대응 지침을 발행하여, 메모리 포렌식, 명령줄 로깅, 스크립트 실행 제한 등을 권고합니다. EDR 제품들은 이러한 LoL 행위를 실시간 탐지하도록 설계되고 있고, MS의 Defender for Endpoint도 의심스런 PowerShell 명령 차단 기능 등을 제공합니다. ENISA의 사이버 위협보고서에서도 “합법적 시스템 도구 악용이 증가하고 있어, 보안 통제가 이를 식별하도록 고도화되어야 한다”는 언급이 있습니다.
결국 국제 모범사례는 “최신 공격 기법을 전제로 한 보안통제”를 도입하는 방향입니다. 예컨대 Access Management 분야에서는 비정상적인 로그인 감지 및 차단(UEBA 기술 활용) 그리고 강력한 인증을 기본으로 하고, Endpoint Security 분야에서는 행동분석 기반 탐지, 메모리 감시, 애플리케이션 제어 등을 추가하고 있습니다. 제로 트러스트 모델도 결국 이러한 세부 기술들을 종합한 전략이라 볼 수 있습니다.
실제 침해사례와 개선 시사점
크리덴셜 스터핑으로 인한 피해는 앞서 언급한 여러 사례들이 경각심을 일깨웁니다. GS리테일 사례에서 해당 기업은 ISMS 인증도 취득하고 자체 보안을 “잘 하고 있다”고 평가받던 곳이지만, 결국 타 서비스 유출 정보로 인한 로그인 공격은 뚫렸습니다. 이 사례에서는 사건 후에야 해당 계정들을 잠그고, 비밀번호 변경을 공지하는 수습이 이뤄졌는데, 애초에 MFA를 적용하거나 이상 로그인 감지 체계를 적극 가동했다면 피해를 줄일 수 있었을 것입니다. 이렇듯 인증을 받았어도 현실 공격 기법에 대비가 부족하면 사고는 발생합니다. 이는 인증 기준이 최신 위협을 충분히 커버하지 못하면 생기는 허점이라 할 수 있습니다.
LoL 공격 관련해서는, 2019년 모 금융권 해킹사건에서 공격자가 공격 단계 내내 공개툴이 아닌 Windows 기본 도구(넷샤, WMIC 등)만 사용하여 8개월 간이나 탐지되지 않았던 일이 있었습니다. 당시 해당 기관은 각종 보안 제품을 다수 운영하고 있었음에도, 정상 툴의 이상 행위를 식별하는 룰이 부재해서 공격을 허용한 것으로 분석되었습니다. 이후 해당 기관은 EDR 도입과 로그 모니터링 고도화로 대응했지만 이미 대규모 정보유출이 벌어진 뒤였습니다. 이 사건은 “보안 솔루션을 여러 개 두어도, 정작 봐야 할 것을 보지 못하면 소용없다”는 교훈을 주었고, 관리체계 인증만으로는 이러한 고위협 시나리오에 대비했다고 볼 수 없다는 것을 보여주었습니다.
따라서 정책적 개선 방향은 자명합니다. 인증 제도에 최신 공격기법에 대한 대비 요구를 명문화해야 합니다. 예를 들어 “계정공격 대응” 항목을 신설하여 MFA 도입 여부, 무작위 로그인 탐지 체계, 비밀번호 누출확인 프로세스 등을 평가하거나, “이상행위 탐지” 통제를 강화하여 정상 도구의 악용 탐지 기술(EDR 활용 등) 적용 여부를 살펴야 합니다. 현재 일부 기준에 흩어져 있는 관련 내용(계정잠금, 관리자 로그검토 등)을 한데 묶어 중점통제 항목화하고, 심사 시 이러한 부분을 면밀히 체크하도록 할 필요가 있습니다. 더불어 실제 시나리오 기반의 점검(예: 레드팀이 LoL 기법으로 침투 시도해보기)을 도입하면, 피상적인 서류검토로 놓칠 수 있는 취약점을 찾아낼 수 있을 것입니다.
정리하면, 공격자 관점에서 생각하는 인증으로 패러다임 전환이 요구됩니다. 시대에 뒤처진 통제들을 개선하고, 날로 교묘해지는 공격 기법들에 대응하는 “살아있는” 보안 인증제도를 지향해야 할 것입니다.
항목 4: 최신 공격기법에 대한 대응 기준 – 비교 정리
| 항목 | 현행 인증제도 통제 요소 | 현실 공격 양상 및 위험 | 국제적 권고 및 대응 | 개선 필요성 |
|---|---|---|---|---|
| Credential Stuffing 대응 | 계정관리, 접근통제 항목에서 비번 정책, 로그인 실패 제한 등 간접 언급 |
대량 유출된 자격증명으로 무차별 로그인 시도 빈발 → MFA 미적용 시 속수무책 실제 다수 개인정보 유출 사고 원인 |
ENISA: 크리덴셜 스터핑 주요 위협 지목 대응: MFA 도입, 이상 로그인 탐지, 유출 PW 차단 OWASP 등 구체 가이드 제시 |
인증 기준 강화: MFA 도입 여부 평가 항목화 이상 로그인 행위에 대한 모니터링·차단 체계 요구 명확화 |
| Living off the Land 대응 | 로그 모니터링, 관리자 권한통제 등 일반 통제로 언급 | PowerShell 등 정상 도구로 위장한 공격 증가→ 시그니처 기반 탐지 무력화 다수 APT 및 랜섬웨어가 LoL 기법 악용 (파일리스 공격 1400% 증가) |
MITRE ATT&CK 통해 공격기법 식별 체계 확립 권고: EDR로 행위기반 탐지, 스크립트 실행 제한, 메모리 포렌식 등 실시 |
통제 구체화: 단말 EDR/행위기반 탐지 도입 여부 평가 로그에 관리도구 악용 징후 발생 시 경보체계 요구 보안 이벤트 규칙에 LoL 시나리오 포함 |
종합 비교 요약 및 결론
다음 표는 본 보고서에서 다룬 네 가지 사례에 대해 현행 제도와 현실의 격차, 그리고 정책적 개선 필요성을 요약 정리한 것입니다. 각 항목별로 문제의 핵심과 권고 방향을 한눈에 비교할 수 있도록 구성했습니다.
| 사례 이슈 (기술) | 현행 인증 제도에서의 위치 | 현실 보안 환경 및 문제점 | 국제 가이드/사례 비교 | 정책적 개선 필요성 (요약) |
|---|---|---|---|---|
| IPS 필수 구축 (암호화 트래픽) | ISMS 등에서 기본 보안솔루션으로 요구 경계보안 중시 |
대부분 트래픽 TLS 암호화 → 기존 IPS로 내부위협 식별 곤란 IPS 구축 여부 대비 실효성 저하 |
NIST: 암호화 트래픽 복호화 후 모니터링 제안 글로벌: SSL 가시성 장비, EDR 활용 추세 |
IPS 요건 현대화: 암호화 트래픽 대응 방안까지 포함토록 기준 개선 필요시 SSL 검사 또는 대체 통제 인정 |
| 취약점 점검 연 1회 (모의해킹) | 연 1회 진단/펜테스트 수행 시 요건 충족 간주 | 새로운 취약점 수시 등장, 공격은 연중무휴 → 연례 점검으론 공백 발생 사전 합의된 테스트는 실제 공격과 거리 |
PCI: 연1회+수시 테스트 규정 업계: Continuous Testing 강조 |
지속적 보안평가로 전환: 분기별 스캔·패치, 불시 모의훈련 도입 연1회 요건을 최소 기준으로 인식 개선 |
| 안티바이러스 솔루션 (Defender vs 외부) | 악성코드 대응 솔루션 구비 여부 확인 | MS Defender 무료 제공되나 별도 백신 요구 관행 → 기본 보안 과소평가, 형식적 도입 사례 |
Defender 성능 입증 (AV-TEST 만점 등) 가트너 MQ 리더, EDR 통합 기능 강조 |
성과 중심 평가: 솔루션 종류 불문 최신 대응능력 갖추면 OK Defender 활용 인정 및 운영실태 위주 평가 |
| 최신 공격 기법 대응 (Cred. Stuffing, LoL) | 관련 통제 일부 있으나 구체 요건 부재 | 계정 대입 공격 빈발, 파일리스 공격 급증 → 전통 통제로 탐지 어려움 | 권고: MFA 적용, 이상행위 탐지(UEBA), EDR 활용 ※ 공격기법 중심 대응체계 확산 |
통제 항목 명시화: MFA 등 계정보호 요구 추가 행위기반 탐지/대응 역량 평가 강화 (실전 시나리오 점검) |
결론: 더 이상 유효하지 않은 인증 제도, 근본적 전환이 필요합니다
현재 대한민국의 정보보안 인증 제도는 과거 일정 수준의 보안 체계를 갖추는 데 일정 부분 기여한 바 있습니다. 그러나 그 기여는 2000년대 초반까지로 이미 20년 전쯤에 끝났다고 봐야 합니다. 지금의 인증 제도는 기술 환경의 급격한 변화와 공격자들의 진화된 전략을 따라가지 못하고 있으며, 실효성 없는 형식적 절차만을 반복하는 관행으로 전락하고 있습니다.
IPS 구축, 연례 점검, 외부 백신 선호와 같은 구시대적 요건은 더 이상 실제 보안성과 아무런 관계가 없으며, 크리덴셜 스터핑, LoL과 같은 최신 공격에 대한 탐지·대응 기준조차 존재하지 않는 현실은, 이 제도가 현장과 얼마나 괴리되어 있는지를 명백히 보여주는 증거입니다.
결국 오늘날의 인증 제도는 보안을 위한 시스템이 아니라, 보안을 가장한 행정 절차에 불과하며, “규정만 지키면 안전하다”는 위험한 착각을 지속적으로 확산시키고 있습니다. 이제는 “형식적 합격”이라는 명분으로 현장 대응력을 저해하는 제도를 유지할 것이 아니라, 현실적 합격 기준, 즉 실제 방어 능력을 기준으로 삼는 완전히 새로운 틀로 전환해야 할 시점입니다.
결론적으로, 더 이상 인증제도라는 이름 아래 형식을 위한 형식을 반복해서는 안 됩니다. 이제는 “이 제도가 실제 무엇을 지켜냈는가”라는 질문에 당당히 답할 수 있어야 합니다. 실제로 위협을 막을 수 있는 제도만이 존재할 가치가 있으며, 그렇지 않다면 폐기되는 것이 맞습니다. 그것이야말로 진짜 보안을 위한 첫 걸음입니다.
따라서, 지금 우리가 바꿔야 할 것은 기술이 아니라 이 기술을 바라보는 정책의 틀 그 자체입니다.
참고 (References)
- 신지은, 「GS리테일, 크리덴셜 스터핑 공격 받아 고객 9만명 개인정보 유출」, 보안뉴스 (2025-01-05).
- 개인정보보호위원회, 「한국장학재단 홈페이지, 크리덴셜 스터핑으로 3만 2천명 개인정보 유출」 보도자료 (2024-11-18).
- Cloudflare Radar Team, 2024 Year in Review: Encryption on the Web (2024-12).
- Gigamon, State of SSL/TLS Visibility Report 2023 (2023-09).
- ISACA, 「Fileless Attacks on the Rise: 1,400 Percent Increase」 (2023-10).
- AV-TEST Institute, Product Review and Certification Report – Microsoft Defender Antivirus (Windows 10) Nov-Dec 2024 (2025-01).
- Trend Micro, 「BPFDoor: Hidden Controller Used Against Asia, Middle East Targets」 (2025-04)