정책과 증적 중심의 정보보안에서, 공격 흐름을 실시간으로 보는 침해대응 체계로 전환해야 한다
정보보호 및 개인정보보호 관리체계 인증(ISMS-P)을 받았다는 기업이 랜섬웨어와 데이터 유출로 큰 피해를 입는다. 자료유출방지(DLP), 네트워크 접근 제어(NAC), 데이터베이스(DB) 암호화, 백업 체계까지 갖추었는데도 해킹 사고가 반복된다. 왜 이런 일이 생길까.
이유는 정보보안과 사이버보안을 같은 것으로 보기 때문이다. 정보보안은 필요하다. 문서 보호, 개인정보 관리, 계정 권한, 보안 교육, 인증 대응, 백업 정책은 기업 보안의 기본이다. ISMS-P도 최소한의 정보보호 관리체계를 갖추게 만든 중요한 제도다. 문제는 이를 실전 해킹 대응 능력으로 오해할 때 발생한다.
정보보안은 정책과 증적의 언어다. 사이버보안은 “지금 이 순간, 공격자가 어디서 무엇을 하고 있는가”를 보는 언어다. 즉 공격자가 어디로 들어오고, 어떤 계정을 쓰며, 어떤 서버에서 명령을 실행하고, 어떤 데이터를 빼내려 하는지를 실시간으로 확인하는 대응의 언어다. 두 영역은 연결되어야 하지만 같은 것은 아니다.
인공지능(AI)은 이 차이를 더 분명하게 만든다. 앤트로픽의 클로드 미토스 프리뷰는 AI가 취약점 탐색과 공격 경로 조합의 속도를 높일 수 있음을 보여주는 상징적 사례다. 공격자가 AI 속도로 움직인다면 방어도 공격 흐름을 실시간으로 보고 차단해야 한다. 이는 정보보안 관리가 아니라 사이버보안 침해대응의 문제다.
ISMS-P 안에도 방화벽, 웹방화벽, 침입탐지, 악성코드 대응, 로그 관리 항목은 있다. 그러나 대체로 운영 여부와 증적을 묻는다. 사이버보안은 다르게 물어야 한다. 로그를 보관하는가가 아니라 그 로그로 지금 공격을 보고 있는가. 웹방화벽을 운영하는가가 아니라 원본 웹 요청, 계정 행위, 서버 이벤트, PC 행위가 하나의 침해 흐름으로 보이는가를 물어야 한다.
이 차이는 데이터 유출에서 더 분명해진다. 오늘날 많은 사이버 공격의 핵심 피해는 시스템 장애보다 데이터 유출로 이어진다. 랜섬웨어도 더 이상 파일 암호화만의 문제가 아니다. 데이터 유출 이후 협박과 금전 요구로 이어지는 이중 갈취가 일반화되고 있다. 백업과 재해복구 체계가 있어도 이미 빠져나간 데이터는 복구할 수 없다.
사이버 복원력도 필요하다. 그러나 복원력은 침해 이후에도 업무를 유지하고 빠르게 복구하는 능력에 가깝다. 공격을 보지 못하고, 차단하지 못하고, 유출 범위를 설명하지 못한다면 복원력은 사후 복구 계획에 머문다. 미토스급 AI 해킹 대응의 출발점은 복구가 아니라 탐지, 분석, 차단, 증적 확보여야 한다.
제로트러스트도 접근과 권한 검증으로만 좁혀 설명해서는 안 된다. 제대로 된 제로트러스트 아키텍처는 사용자, 단말, 애플리케이션, 네트워크, 데이터 흐름의 가시성을 높이는 방향까지 포함해야 한다. 다만 이 가시성이 실제 로그 분석과 침해 탐지·차단으로 연결되지 않으면, 제로트러스트도 정보보안 통제의 기반에 머물 뿐 실전 사이버보안 침해대응 체계가 되기는 어렵다.
모의해킹도 인증 대응 증적으로만 소비되어서는 안 된다. 본질은 공격자 관점에서 실제 침투 가능성을 검증하는 활동이다. 그 결과는 보고서로 끝나지 않고 웹애플리케이션 방화벽WAF), 엔드포인트 탐지 및 대응(EDR), 확장 탐지 및 대응(XDR), 보안 정리 및 이벤트 관리(SIEM), 로그 상관분석, 침해대응 체계가 실제 공격을 탐지하고 차단할 수 있는지 검증하는 자료로 이어져야 한다.
이제 보안 컴플라이언스는 두 축으로 나누어야 한다. 하나는 정보보안 관점의 ISMS-P다. 이는 정보보호와 개인정보보호 관리체계를 수립·운영하는 기준이다. 다른 하나는 사이버보안 관점의 침해대응 체계다. 이는 실제 공격을 조기에 탐지하고, 침해 흐름을 분석하며, 데이터 유출과 피해 확산을 차단하는 기준이다.
핵심은 책임이다. 인증은 면책이 아니다. ISMS-P 인증을 받았다고 침해사고 책임이 사라지지 않는다. 방화벽을 도입했다고 웹 공격 대응 책임이 끝나지 않는다. 로그를 보관했다고 침해 흐름을 분석한 것이 되지 않는다. 실제 시스템을 운영하고 공격을 탐지해야 하는 주체는 기업 자신이다.
정부 정책도 달라져야 한다. ISMS-P 확대가 기업의 보안 인식을 높이고 최소한의 관리 기준을 정착시킨 것은 사실이다. 그러나 해킹 피해에 대비한다는 명분으로 ISMS-P 의무화와 인증 항목을 계속 늘리는 방식만으로는 한계가 분명하다. 정부는 실시간 탐지·분석·차단을 중심으로 한 사이버보안 침해대응 기준을 별도로 제시해야 한다.
기업의 예산과 KPI도 바뀌어야 한다. ISMS-P 대응, 인증 컨설팅, 증적 관리에만 예산이 집중되면 실제 침해를 보는 역량은 약해진다. 해킹 피해에 대비하려면 원본 웹 요청·응답 수집, 계정 행위 분석, 서버·PC 이벤트 상관분석, 실시간 차단, 포렌식 증적 확보에 별도 예산이 배분되어야 한다. 보안 투자의 기준도 인증 유지가 아니라 탐지 시간, 차단 시간, 사고 원인과 범위 설명 가능성으로 바뀌어야 한다.
AI 해킹 시대의 질문은 “우리는 인증을 받았는가”가 아니다. “우리 보안팀은 지금 이 순간의 공격 흐름을 보고 있는가”다. 미토스 대응의 해법은 바로 이 질문에서 시작된다.
신승민 큐비트시큐리티 대표
