한국인터넷진흥원(KISA)에 따르면 국내 사이버 침해사고 신고 건수는 2022년 1142건, 2023년 1277건, 2024년 1887건으로 해마다 꾸준히 증가해 왔다. 지난 한 해는 11월 기준 2167건, 상반기에만 1천건 이상이 접수돼 전년 동기 대비 약 15% 증가했다. 서버 해킹과 디도스(DDoS) 공격이 전체의 약 75%를 차지하며 위협의 강도 역시 날로 높아지고 있다.

이러한 상황에서 연 1~2회 정기 점검과 정보보호 인증 취득에 의존해 온 대다수 기업의 보안 전략은 근본적인 한계에 직면했다. 공격 방식은 자동화와 지능화를 거듭하며 24시간 조직의 빈틈을 탐색하고, 공격표면 역시 클라우드와 서비스형 소프트웨어(SaaS) 도입 확대로 끊임없이 변화하고 있기 때문이다.

또 정보보호관리체계(ISMS)와 개인정보보호관리체계(ISMS-P) 인증을 보유한 기업에서조차 대형 보안 사고가 잇따르면서, 빠르게 변화하는 사이버위협 환경에 현행 인증 제도가 충분히 대응하지 못한다는 지적도 제기되고 있다. 인증 시점에는 문제가 없었더라도, 새롭게 등장한 취약점에 대응하기 위한 상시 관리 능력까지 보장하기는 어렵기 때문이다. 반기 또는 연 단위로 시행하는 주기적 점검과 정부 차원에서 시행하는 인증 제도만으로는 실질적인 위험을 사전에 포착하기 어렵다는 지적이 꾸준히 제기되는 이유다.

정부는 ISMS 및 ISMS-P 제도 전반에 대한 개선책을 내놓았다. 지난달 6일 개인정보보호위원회와 과학기술정보통신부는 관계부처 대책회의를 통해 주요 공공 시스템과 통신사, 대규모 플랫폼을 ISMS-P 의무 인증 대상으로 확대하고, 서류 중심 심사에서 벗어나 현장 검증을 강화하는 방안을 발표했다.

가장 큰 변화는 기술 심사의 실효성을 높이기 위한 조치에서 드러난다. 개선안에는 사고 이력이 있거나 고위험군으로 분류된 기업에 대해 예비심사 단계부터 취약점 진단과 더불어 실제 공격 상황을 가정한 모의해킹(Penetration Testing)을 의무화하는 내용이 포함됐다. 또한 인증 기업에서 중대한 침해사고가 발생할 경우 특별 사후 심사를 통해 즉시 인증을 취소할 수 있도록 하면서, 현실적 공격 기반 검증의 제도적 필요성이 부각되고 있다.

이같은 규제 변화는 산업 전반에서도 실전 대응력 중심의 검증 요구를 더욱 강화하는 흐름으로 이어지고 있다. 일례로 금융보안원은 지난 11월 빗썸과 코인원 등 주요 가상자산 거래소를 대상으로 실제 해킹 방식과 동일한 모의 침투 테스트를 수행해 외부 침입부터 내부 확산에 이르는 위험 경로 전반을 검증했는데, 이는 기존의 문서·절차 중심 점검 방식에서 벗어나 실전 공격 상황을 가정한 평가 방식으로 보안 전략의 무게추가 이동하고 있음을 보여주는 사례로 평가된다.

감독기관의 점검 방식까지 변화하는 상황에서, 기업들 역시 조직의 실제 취약 지점을 파악하기 위한 보다 현실적인 검증 방식에 주목하고 있다. 단순 스캔 중심 점검만으로는 최신 공격 기법이나 위협 환경을 반영하기 어렵다는 문제의식이 확산되면서, 실제 공격 상황을 가정해 위험 구간을 확인하는 실전형 모의해킹이 주목받고 있는 것이다. 업계 역시 검증 체계를 고도화하기 위해 실제 공격자가 사용하는 기법과 최신 위협 인텔리전스를 점검 과정에 반영하려는 움직임을 강화하고 있다.

이러한 변화 속에서, 에스투더블유(S2W)는 실전형 검증 수요에 대응하기 위해 사이버위협 인텔리전스(CTI) 기반 분석 역량을 모의해킹 절차에 결합한 통합적 보안 모델을 제시하고 있다. 디지털 리스크 프로텍션(DRP)과 공격표면관리(ASM), 위협 인텔리전스(TI)를 연계해 조직의 공격 노출 구간을 입체적으로 파악할 수 있도록 지원한 것이다.

자체 ASM 솔루션을 통해 외부 공격표면을 식별하고, 위험도 판별 알고리즘으로 내부 자산의 대응 우선순위를 도출하는 것이 특징이다. 또한 공개된 취약점을 자동 검증하는 CART(Continuous Automated Red Teaming) 시스템을 활용해 실제 위협 행위자의 공격 시나리오 기반 테스트도 수행할 수 있다. 아울러 공격자의 전술·기술·절차(TTP)를 분석해 대비해야 할 취약점과 선제적 대응 방안을 제안하며, 다크웹에 유출된 계정 정보로부터 파생될 수 있는 공격 시나리오까지 검토하도록 지원하고 있다.

양종헌 S2W 오펜시브연구팀장은 “모의해킹은 자동 스캐닝(Scanning)으로 식별된 취약점이 실제 공격으로 이어질 수 있는지 확인해 위험도를 판단하는 과정”이라며 “이를 기반으로 조직은 공격자가 실제로 악용할 가능성이 높은 지점부터 우선적으로 대응할 수 있다”고 설명했다. 이어 “S2W의 모의해킹 서비스는 노출 지표를 통합적으로 관리하고 취약점의 우선순위를 실시간으로 조정하는 등 지속적 위협 노출 관리(CTEM) 체계를 구축하는 데 필요한 기반을 제공한다”고 덧붙였다.