국내 기업을 겨냥한 사이버 공격이 해마다 증가하면서, 기존 보안 점검 방식의 실효성에 대한 문제 제기가 거세지고 있다. 연 1~2회 실시하는 정기 취약점 점검과 정보보호 인증만으로는 빠르게 변화하는 공격 환경을 따라가기 어렵다는 지적이다. 이 과정에서 실제 공격 상황을 가정해 방어 수준을 검증하는 ‘모의해킹(Penetration Testing)’이 기업 보안의 새로운 기준으로 떠오르고 있다.
한국인터넷진흥원(KISA)에 따르면 국내 사이버 침해사고 신고 건수는 2022년 1142건, 2023년 1277건, 2024년 1887건으로 매년 증가세를 보였다. 지난해에는 11월 기준 2167건이 접수돼 전년 동기 대비 약 15% 늘었다. 공격 유형별로는 서버 해킹과 디도스(DDoS) 공격이 전체의 약 75%를 차지하며, 공격 빈도와 파급력 모두 확대되는 흐름이 이어지고 있다.
문제는 공격 환경의 변화 속도가 기업의 보안 관리 체계를 앞지르고 있다는 점이다. 자동화 도구와 인공지능 기반 공격 기법이 확산되면서, 해커는 24시간 조직의 취약 지점을 탐색한다. 클라우드 전환, SaaS 도입, 외부 연계 서비스 확대 등으로 공격표면 역시 계속 넓어지는 상황이다.
반면 다수 기업의 보안 점검은 여전히 일정 주기에 맞춘 스캔 중심 진단에 머물러 있다. 점검 시점에는 문제가 없더라도, 이후 새롭게 등장한 취약점이나 구성 변경 사항까지 반영하기는 쉽지 않다. ISMS나 ISMS-P 인증을 보유한 기업에서 대형 침해사고가 반복되는 배경으로 이런 구조적 한계가 거론된다.
업계 한 관계자는 “인증 제도 자체가 무의미하다고 보기는 어렵지만, 인증 취득이 곧 실제 공격에 대한 방어력을 보장하지는 않는다”며 “문서와 절차 중심의 평가 방식은 현실의 공격 양상과 간극이 커지고 있다”고 말했다.
정부도 이런 문제 인식을 바탕으로 제도 개선에 나섰다. 개인정보보호위원회와 과학기술정보통신부는 지난달 6일 관계부처 대책회의를 열고 ISMS 및 ISMS-P 제도 전반에 대한 개선안을 발표했다. 주요 공공 시스템과 통신사, 대규모 플랫폼 기업을 의무 인증 대상으로 확대하는 한편, 서류 중심 심사에서 현장 검증 비중을 높이겠다는 내용이 핵심이다.
특히 기술 심사 단계에서의 변화가 눈에 띈다. 사고 이력이 있거나 고위험군으로 분류된 기업에 대해 예비심사 단계부터 취약점 진단과 함께 실제 공격 상황을 가정한 모의해킹을 의무화하는 방안이 포함됐다. 인증을 받은 기업에서 중대한 침해사고가 발생할 경우 특별 사후 심사를 통해 인증을 취소할 수 있도록 한 점도 눈여겨볼 대목이다.
감독기관의 점검 방식 역시 변하고 있다. 금융보안원은 지난해 11월 빗썸과 코인원 등 주요 가상자산 거래소를 대상으로 실제 해킹 기법과 유사한 모의 침투 테스트를 진행했다. 외부 침입부터 내부 확산까지 전 과정을 검증하는 방식으로, 기존 체크리스트 중심 점검과는 결이 다르다.
이 같은 흐름은 민간 기업 전반에도 영향을 미치고 있다. 단순 취약점 목록을 나열하는 점검 방식에서 벗어나, 공격자가 실제로 침투할 수 있는 경로를 확인하고 대응 우선순위를 정하려는 수요가 늘고 있다. 특히 금융, 플랫폼, 게임, 이커머스 등 대규모 트래픽과 개인정보를 다루는 업종을 중심으로 실전형 검증 요구가 확대되는 분위기다.
다만 모의해킹이 만능 해법으로 받아들여지는 데에는 신중론도 있다. 테스트 범위와 시나리오 설정에 따라 결과 편차가 크고, 일회성 수행으로는 지속적인 위험 관리가 어렵다는 점에서다. 업계에서는 모의해킹을 정기 점검을 대체하는 수단이 아니라, 상시 보안 관리 체계의 한 축으로 활용해야 한다는 의견이 나온다.
이런 시장 변화 속에서 에스투더블유(S2W)는 사이버위협 인텔리전스(CTI)를 모의해킹 절차에 결합한 실전형 보안 모델을 내세우고 있다. 디지털 리스크 프로텍션(DRP), 공격표면관리(ASM), 위협 인텔리전스(TI)를 연계해 조직의 공격 노출 구간을 입체적으로 분석하는 방식이다.
자체 ASM 솔루션을 활용해 외부에 노출된 자산을 식별하고, 위험도 판별 알고리즘으로 대응 우선순위를 도출한다. 공개 취약점을 자동 검증하는 CART(Continuous Automated Red Teaming) 시스템을 적용해 실제 공격자의 전술과 유사한 시나리오 기반 테스트를 수행하는 점도 특징이다. 다크웹에 유출된 계정 정보와 연계된 공격 가능성까지 검토 범위에 포함시킨다.
양종헌 S2W 오펜시브연구팀장은 “모의해킹은 스캐닝으로 확인된 취약점이 실제 공격으로 이어질 수 있는지를 검증하는 과정”이라며 “공격자가 악용할 가능성이 높은 지점부터 대응하도록 돕는 데 목적이 있다”고 말했다. 이어 “노출 지표를 통합 관리하고 취약점 우선순위를 지속적으로 조정하는 CTEM 체계 구축에 필요한 기반을 제공한다”고 설명했다.
모의해킹을 중심으로 한 실전 검증 강화는 단기 유행으로 끝나기보다는, 제도와 시장 변화에 따라 구조적으로 자리 잡을 가능성이 크다. 다만 비용 부담과 내부 대응 역량 확보, 테스트 결과의 실질적 개선 반영 여부는 기업이 풀어야 할 과제로 남아 있다.
보안 업계 한 전문가는 “실전형 검증이 늘어나는 만큼, 결과를 단순 보고서로 끝내지 않고 조직 운영에 반영하는지가 관건”이라며 “모의해킹 도입 여부보다 중요한 건 이후의 대응 체계”라고 말했다.
Copyright ⓒ 스타트업엔 무단 전재 및 재배포 금지
