갈수록 심화하는 사이버 위협에 대응하기 위해 보안 인증을 넘어 실질적 보안 관리 체계를 마련해야 한다는 의견이 나온다. SK텔레콤이 정보보호 및 개인정보보호 관리체계(ISMS·ISMS-P)를 획득했음에도 초유의 해킹사고를 막지 못했기 때문이다. 정보보호업계는 공공분야 국가망보안체계(N²SF)를 민간영역에도 확산하고 소프트웨어자재명세서(SBOM)를 중심으로 한 공급망 보안 강화에 나서야 한다고 제언한다.
SK텔레콤은 국내 주요 통신 서비스 제공자로서 이동통신서비스 인프라 운용, T전화·누구(NUGU) 서비스 운영에 관한 ISMS와 이동전화 고객관리 서비스에 관해 ISMS-P를 보유했다.
ISMS와 ISMS-P는 과학기술정보통신부와 개인정보보호위원회가 주관하는 국가공인 정보보호 인증제도다. ISMS 인증의 경우 정보자산을 안전하게 관리하기 위한 위험 관리, 사고 예방 및 대응, 복구 등 80개 기준을 통과한 기업에 부여한다. 의무 대상은 주요 정보통신서비스 제공자나 정보통신서비스 매출액 100억원 이상 또는 일평균 이용자 수 100만명 이상인 경우 등이다.
이번 SK텔레콤 해킹사고를 계기로 보안 인증 제도 개편에 나서야 한다고 지적이 나오지만, 기업이 실질적인 사이버 보안 체계를 구축할 수 있는 환경을 조성해야 한다고 목소리에 힘이 실린다.
한 사이버 보안 기업 관계자는 “보안 인증은 '최소한의 보안' 요건을 갖춘 것인데, 기업·기관이 보안 인증 획득으로 '할 일을 다했다'고 여기기 십상”이라며 “실제 개인정보 보호 유출 사고 발생 시 ISMS-P 인증은 과징금 감경 사유가 되는 등 기업에 안 좋은 시그널을 줄 수 있다”고 말했다.
◇N²SF 기반 보안 체계로 나아가야
정보보호업계는 SK텔레콤 해킹 사고를 반면교사 삼아 '경계 기반 방어'에서 '구조 기반 방어'로 전환해야 한다고 강조한다. SK텔레콤 해킹사고는 홈가입자서버(HSS)에 가입자 인증 정보가 집중돼 있고 내부 인증서버 간 신뢰 기반 연동망으로 운영돼 횡적이동(내부확산)을 막지 못해 피해가 커졌다는 분석이 나온다. 특히 BPF도어(BPFDoor) 악성코드 침투 등 네트워크 보안 안에서 공격이 이뤄졌다는 점에서 기존 경계 기반 보안의 한계가 드러난다.
정부가 공공분야를 대상으로 추진하는 N²SF는 기존의 경계 기반 보안을 보완하는 제로 트러스트(Zero Trust) 보안과 다중계층보안(MLS)을 통한 심층방어 체계 등이 담겼다. 제로 트러스트는 '아무것도 신뢰하지 말고 계속 검증하라'는 보안 개념으로, 내부 접속 권한을 획득하면 내부망을 휘젓고 다닐 수 있는 경계 기반 보안 체계와 달리 내부 침입을 가정해 모든 연결을 의심해 보안성을 높인다. 특히 N²SF는 정보시스템 중요도에 따라 기밀(C)·민감(S)·공개(O) 등 세 등급으로 나눠 차등 적용한다. 이를 바탕으로 신뢰할 수 있는 정보기술(IT) 자산과 아닌 자산을 명확히 구분하고 통제해 보안 구조를 촘촘히 설계한다.
정부는 가이드라인 초고를 통해 N²SF 구축 절차도 제시했다. △준비 △C·S·O 등급분류 △위협식별 △보안대책 수립△적절성 평가·조정 등 절차를 거쳐 조직에 N²SF 기반 보안 체계를 구축할 수 있도록 안내한다. 오는 7월 N²SF 가이드라인 1.0을 발간해 N²SF 이해도를 높이는 한편 제도 안착을 유인할 계획이다.
한 보안 전문가는 “N²SF 기반 보안 체계를 구축하면 보안 구역 분리를 통해 공격자의 내부 이동을 막을 수 있다”며 “유출 시 피해가 큰 민감정보를 저장한 IT자산에 강력한 유출 방지 솔루션을 설치하는 등 데이터 중심 보안 체계로 피해 확산을 예방할 수 있다”고 말했다.
◇SBOM 생성 통한 사이버 보안 관리체계 획기적 전환을
실질적 보안 체계를 위한 대안 중 하나로 SBOM 도입이 거론된다. SBOM은 SW 부품을 식별할 수 있도록 돕는 일종의 명세서다. SW 개발·배포·도입·운영 전 단계에 걸쳐 취약점을 식별하고 보안을 강화하는 공급망 보안 도구로 각광 받고 있다.
전문가들은 SBOM 생성이 단순히 공급망 보안과 무벽장벽 해소를 넘어 사이버 보안 관리 체계를 획기적으로 높일 것으로 기대하고 있다. ISMS는 체크리스크 중심이며 획득 후 갱신까지 시차가 있는 사전 점검이라면, SBOM은 선제적으로 형상관리(Configuration Management) 체계 구축을 요구하며 지속적으로 취약점 관리를 할 수 있어서다. 개발사-운영사 등이 SBOM을 기반으로 새로 발견된 취약점 패치와 업데이트를 실시간으로 공유하는 식이다.
궁극적으로 주요 기반시설·SW 운영사, SW 개발사, 오픈소스 SW 커뮤니티, 보안기업에 더해 정부의 사이버 보안 정책, 글로벌 SW 수출까지 여러 이해관계자 간 협력 프로레스를 마련할 수 있다.
최윤성 고려대 SW·AI융합대학원 교수는 “주요국의 SBOM 정책에서 말하는 실사의 증거란, 기업이나 기관이 SW 구성요소의 보안 및 라이선스 컴플라이언스를 점검하고 검증한 사실을 입증할 수 있는 기록을 의미한다”며 “이는 단순히 SBOM을 생성하고 끝나는 것이 아니라, 그 내용을 검토하고 관리하고 있다는 증거가 있어야 함을 뜻한다”고 말했다.
조재학 기자 2jh@etnews.com
![[박나룡 보안칼럼] 정보보호 투자, 왜 인력이 최우선인가](https://www.dailysecu.com/news/photo/202505/166440_195057_223.jpg)
![[뉴스 줌인] 연이은 대기업·금융기관 해킹 피해···“관리 체계 전면 재개선 시급”](https://img.etnews.com/news/article/2025/05/07/news-p.v1.20250507.60fa569ec9f64e3dbf2b6b1868329170_P1.jpg)