[정책제안] ISMS-P 강화는 왜 실질 보안을 강화하지 못하는가 — 인증 중심 정책이 만드는 구조적 실패
요약 한 줄
원칙: 보안은 인증이 아니라 운영 역량이다.
문제: ISMS-P 강화는 실전 방어가 아닌 ‘심사 통과 최적화’를 유도한다.
결론: 인증 중심 정책을 넘어 가이드·성과·인력 지속가능성 중심 체계로 전환해야 한다.
0) 정책 제안 요지
-
정책 목표: 실질적인 침해 대응력 강화와 정보보안 인력의 지속가능성 확보
-
적용 대상:
- 공공기관·지자체
- ISMS-P 의무 대상 기업
- 개인정보·대국민 서비스 운영 조직
-
핵심 제안:
- ISMS-P 강화 일변도 정책 재검토
- 인증 중심 → 보안 가이드·성과 중심 체계 전환
- 징벌적 과징금은 최소 기준 미이행·중과실·반복 위반에 한정
- 보안 담당자 업무 지속성과 인력 보호를 정책 목표에 포함
1) 문제 인식: 인증을 강화하면 보안이 강해지는가?
최근 정부 정책은 대형 침해사고를 계기로
ISMS-P 심사 강화, 사후 점검 확대, 징벌적 과징금 도입을 핵심 수단으로 삼고 있다.
그러나 이 접근은 다음 질문에 명확히 답하지 못한다.
“정부가 만든 인증 체계를 성실히 이행했음에도 해킹을 당했다면,
왜 다시 징벌적 책임까지 부담해야 하는가?”
이 질문에 답하지 못하는 정책은
현장에서 정당성·수용성·실효성을 동시에 잃게 된다.
2) 핵심 쟁점 한 줄 정의
‘인증(절차 준수)’과 ‘침해(결과)’를 동일 책임 체계로 묶으면,
조직은 보안을 ‘실효성’이 아니라 ‘서류·심사 통과’에 최적화한다.
그 결과,
- 인증 비용은 증가하지만
- 실제 공격 탐지·대응 능력은 정체되고
- 사고 발생 시에는 “이중 처벌” 논란만 커진다
이는 개인의 태도 문제가 아니라,
정책 설계가 잘못된 유인 구조를 만든 결과다.
3) ISMS-P 강화가 만드는 구조적 문제
3-1. 인증 강화 → 인증 산업만 성장
ISMS-P를 강화할수록 확대되는 것은 다음 영역이다.
- 인증 컨설팅
- 심사 대응 전담 인력
- 증빙 문서 관리
- 컴플라이언스 솔루션
반면 상대적으로 후순위로 밀리는 것은,
- 침해 탐지 자동화
- 공격 시나리오 기반 훈련
- 로그 가시성·분석 역량
- 실제 대응 시간 단축
즉, 보안 강화가 아니라 ‘인증 대응 최적화’ 시장만 성장한다.
3-2. 형식 심사로의 구조적 회귀
정부는 현행 ISMS-P가
서면·샘플링 중심이라는 한계를 인식하고 있으나,
심사 인력과 예산이 충분하지 않은 상황에서
강화된 심사는 다시 형식적 체크리스트 점검으로 회귀할 가능성이 크다.
이 경우,
현장의 공격은 정교해지는데
정책은 문서만 두꺼워지는 역설
이 반복된다.
4) 인력·현장 관점에서의 심각한 부작용
4-1. 인증 심사 강화 = 실무자 업무 폭증
ISMS-P 강화는 곧 다음을 의미한다.
- 추가 증빙 요구
- 반복 점검 대응
- 외부 심사 대응
- 시정조치 관리
- 교육·훈련 이력 관리
이는 실제 해킹 대응과 직접적 관련이 없는
행정·컴플라이언스 업무의 급증이다.
4-2. 보안 인력 번아웃과 직무 기피 가속
정보보안 조직은 이미,
- 만성 인력 부족
- 24시간 대응 압박
- 사고 시 과도한 책임
속에서 심각한 번아웃 상태에 있다.
여기에 인증 강화는
책임은 늘리고, 통제권은 주지 않는 구조를 고착화한다.
그 결과,
- 정보보안은 고위험·고책임·저보상 직무로 인식되고
- 내부 기피 업무가 되며
- 신규 인력 유입은 줄고, 기존 인력은 이탈한다
특히 학령 인구와 이공계 지원자 감소라는 현실에서,
이는 보안을 강화하는 정책이 아니라
시스템을 지키는 사람이 먼저 소모되는 정책
이다.
5) 정책 전환 제안
5-1. 제안 A: 인증 중심 → 가이드·성과 중심 전환
-
정부는 Zero Trust Architecture(ZTA) 등
참조 보안 아키텍처와 최소 보안 기준(Baseline)을 명확히 제시 -
기업·기관은 자신의 위험과 역량에 맞춰 이행
-
징벌적 제재는 다음 경우에 한정 적용
-
최소 기준 미이행
-
반복·중과실
-
고의 또는 중대한 관리 태만
이를 통해
“열심히 했지만 당한 경우”와
“기본을 하지 않은 경우”를 명확히 구분할 수 있다.
5-2) 제안 B: 표준 로그 기반 보안 체계 제도화
인증 유지 여부나 면책 규칙보다 더 중요한 것은
사고 발생 시 무엇이 실제로 일어났는지를 입증·분석할 수 있는 로그의 존재다.
따라서 정책의 초점은
국가 차원의 “표준 로그(Standard Logging)” 체계 도입으로 전환되어야 한다.
① 정책 방향: “인증”이 아니라 로그 표준을 국가가 정의
정부는 ISMS-P 체크리스트를 강화하기보다,
다음과 같은 최소 필수 보안 로그 표준을 명확히 정의해야 한다.
② 표준 로그의 범위 (최소 기준)
1️⃣ 웹 트래픽 로그 (가장 중요)
-
HTTP/HTTPS 요청(Request) 본문
- URL, Method, Headers
- 파라미터, Payload(JSON/Form)
-
HTTP/HTTPS 응답(Response) 본문
- Status Code
- 응답 Payload
-
인증·세션·권한 관련 요청/응답 포함
👉 단순 Access Log가 아닌
“요청–응답 본문 기반 로그”가 표준이 되어야 한다.
많은 침해사고에서
“로그는 있었지만, 무엇이 요청되었는지는 알 수 없었다”
는 말이 반복된다.
2️⃣ 운영체제 로그 (MITRE ATT&CK 기준)
-
Windows / Linux 공통
-
다음 로그를 MITRE ATT&CK TTP 기준으로 매핑하여 생성
- 프로세스 생성
- 명령행(Command Line)
- 계정·권한 변경
- 파일 생성·변조
- 네트워크 연결
- 서비스·드라이버·커널 행위
👉 “이벤트는 많지만 의미가 없는 로그”가 아니라
공격 기법 관점에서 해석 가능한 로그가 표준이 되어야 한다.
3️⃣ Sysmon 기반 로깅 시스템 구축 (Windows)
Windows 환경에서는
Sysmon(Sysinternals System Monitor)을 활용한 로깅을
사실상 표준으로 제도화할 필요가 있다.
-
Sysmon Event ID 기반 로깅
- Process Create
- Network Connection
- File Create
- Registry Event
- Image Load
-
MITRE ATT&CK 매핑이 가능한 설정 템플릿 제공
-
기관·기업은 템플릿 기반으로 조정 가능
👉 Sysmon은 “특정 제품 종속”이 아니라
사실상 업계 공통 언어에 가까운 로깅 도구다.
4️⃣ Linux 환경의 Sysmon 확장 로깅 체계 도입
공공·금융·제조·클라우드 환경에서 Linux 비중이 지속적으로 증가하고 있음에도,
현행 보안 정책과 인증 체계는 Linux 로깅을 부차적 요소로 취급하고 있다.
이는 실질적인 침해 분석과 책임 판단에 중대한 공백을 만든다.
따라서 Windows와 동등한 관측 수준(Observability)을 확보하기 위해,
Linux 환경에서도 Sysmon 확장 로깅 체계를 정책적으로 명시할 필요가 있다.
① Sysmon for Linux 활용
Microsoft는 이미 Sysmon for Linux를 공식 제공하고 있으며,
다음과 같은 행위 기반(Event-based) 로그 수집이 가능하다.
- Process Create / Terminate
- Network Connection
- File Create / Modify
- 권한 상승(SUID/SGID) 관련 행위
- 실행 바이너리 및 명령행(Command Line)
👉 이를 통해
Windows Sysmon과 유사한 이벤트 모델을 Linux에서도 확보할 수 있다.
② Linux 기본 보안 로그와의 결합 운영 (필수)
Sysmon for Linux 단독 사용이 아니라,
다음 기본 보안 로그와의 결합 운영을 표준으로 명시해야 한다.
-
auditd
- execve
- 권한 변경
- 파일 접근 및 변조
-
systemd journal
- 서비스 실행/중단
- 데몬 행위
-
auth.log / secure
- 로그인
- sudo / su
-
커널 로그(dmesg)
- 커널 모듈 로딩
- 비정상 커널 행위
👉 핵심은 로그의 양이 아니라,
MITRE ATT&CK TTP 기준으로 의미 있는 이벤트만 선별·매핑하는 것이다.
③ 정책적 효과
이러한 표준 로그 체계를 도입할 경우:
- “인증을 받았는가?”가 아니라
“무엇을 기록하고 있었는가?”로 책임 기준이 전환된다. - 사고 발생 시
- 원인 규명 가능
- 은폐·추정 논란 최소화
- 재발 방지 조치의 실효성 확보
- 기업·기관은
- 문서 증빙보다 가시성과 운영 역량에 투자하게 된다.
즉,
보안 책임의 기준이
‘인증 여부’에서 ‘관측 가능성(Observability)’으로 이동한다.
④ 징벌적 제재와의 합리적 연결
징벌적 과징금은 다음 경우에만 적용되어야 한다.
- 표준 로그 미구현
- 로그 위·변조 또는 미보존
- 사고 발생 후 분석 불가능 상태 방치
반대로,
- 표준 로그를 성실히 구축·운영했고
- 사고 분석과 대응이 가능했다면
이는 관리 실패가 아니라, 고도화된 공격의 결과로
정책적으로 구분할 수 있다.
⑤ 핵심 메시지
“보안은 인증서가 아니라 로그로 증명된다.”
기록하지 않은 보안은 운영한 적이 없는 보안과 다르지 않다.
6) 맺음말
정보보안은 합격증을 받는 행위가 아니라,
사람과 시스템이 함께 작동하는 운영 능력이다.
사람이 버티지 못하는 제도는
결국 형식만 남고, 실질 방어력은 무너진다.
“보안은 인증서가 아니라, 운영 역량이며 사람이다.”
ISMS-P 정책은 이제 강화냐 완화냐의 문제가 아니라, 방향을 바꿀 시점이다.