- "망이 아니라 자산에서 시작하는 보안"… withVTM 기반 실무 구현 가이드 제시

통합 ICT 및 정보보호 전문기업 위드네트웍스(대표 안종업)가 보안 담당자들의 최대 현안인 N2SF(차세대 국가정보망 보안 프레임워크) 대응을 위한 실전 가이드를 내놨다. 위드네트웍스는 5일 자사 홈페이지를 통해 이 전자책을 무료로 배포한다고 밝혔다.위드네트웍스가 이번 전자책을 발간한 이유는 현장의 필요 때문이다. 작년 10월 범부처 정보보호 종합대책과 N2SF 보안 가이드라인 발표 이후, 보안 담당자들은 공통적으로 "정책 방향은 이해하겠는데, 그래서 구체적으로 뭘 어떻게 해야 하는가?"라는 현실적인 고민을 토로했다.특히 세 가지 문제가 두드러졌다. 첫째는 실행 가능한 구체적 가이드의 부족이었다. N2SF가 요구하는 C/S/O 등급 분류, 제로 트러스트 아키텍처, 자산·취약점 관리 체계 강화 같은 개념들이 이론적으로는 이해되지만, 현장에서 어디서부터 시작해야 할지 막막한 상황이었다.둘째는 자산 정보의 심각한 파편화였다. IT 부서의 CMDB, 보안 부서의 취약점 스캐너와 EDR, 구매 부서의 자산 관리 시스템, 각 업무 부서의 엑셀 파일에 흩어진 정보를 수작업으로 취합하는 데만 수개월이 걸리는 비효율이 반복되고 있었다. 더욱 심각한 것은 N2SF가 요구하는 프로세스와 계정 같은 논리적 자산은 아예 관리조차 되지 않는 경우가 대부분이라는 점이었다.셋째는 규제 대응에만 매몰되는 근시안적 접근이었다. 많은 기관이 N2SF와 정보보호 공시를 '또 하나의 규제 부담'으로만 받아들이고 있지만, 위드네트웍스는 이를 디지털 전환과 제로 트러스트 보안 고도화를 동시에 추진할 수 있는 기회로 봐야 한다고 판단했다.이런 현장의 요구를 해결하기 위해 위드네트웍스는 단순한 정책 해설이 아닌, "그래서 어떻게 해야 하는가?"에 대한 실무적 해답을 담은 전자책을 기획했다. 또한 자사의 withVTM 솔루션을 통해 축적한 자산 관리와 위험 평가 노하우를 바탕으로, 흩어진 자산 정보를 통합하고 서버를 넘어 프로세스와 계정까지 관리 범위를 확장하는 구체적인 방법론을 제시하는 것이 이번 전자책의 핵심 목표다.전자책의 핵심 메시지는 분명하다. "보안은 이제 망 구조가 아니라 자산에서 시작하며, 그 자산은 서버를 넘어 프로세스와 계정까지 포함해야 한다"는 것이다.공격자들이 실제로 노리는 것은 서버라는 '물리적 상자'가 아니다. 그들의 진짜 타깃은 그 안에서 동작하는 '권한'이다. 즉, 전자결재 시스템의 승인 프로세스, 고객 데이터베이스에 접근하는 애플리케이션 계정, 배치 작업을 수행하는 스케줄러 서비스 계정 같은 것들이 공격자의 진짜 타깃이 된다는 것이다.따라서 N2SF가 요구하는 C/S/O 등급 분류와 제로 트러스트 구현을 위해서는 자산의 범위를 확장해야 한다. 물리적 자산인 서버(온프레미스·가상·클라우드), 네트워크 장비, 단말뿐만 아니라 논리적 자산인 애플리케이션, 소프트웨어 패키지, 실행 중인 프로세스, 서비스 계정까지 포함해야 한다.위드네트웍스는 이런 문제의식을 바탕으로 자사의 자산 및 보안 취약점 통합관리 솔루션 withVTM을 'N2SF 시대의 자산·위험 컨텍스트 엔진'으로 재정의했다. withVTM은 세 가지 핵심 기능으로 N2SF와 정보보호 종합대책 구현을 지원한다.첫 번째 기능은 NIST 표준 기반의 확장된 자산 식별이다. 서버와 네트워크 장비는 물론 애플리케이션, 프로세스, 계정, 클라우드 리소스, Shadow IT까지 표준화된 방식으로 수집하고 정규화한다. 각 자산에는 업무 기능, C/S/O 등급, 소유 부서, 망 구간 등 N2SF 설계에 필요한 메타데이터가 함께 관리된다.두 번째는 AI 기반 실시간 위험도 산정이다. 단순히 CVSS 점수만 보는 게 아니다. EPSS(실제 악용 확률), CISA KEV(실제 공격 확인 취약점), 공개 익스플로잇 존재 여부, 자산의 네트워크 노출 상태 등을 종합 분석해 '지금 우리 환경에서의 진짜 위험도'를 산출한다.세 번째는 제로 트러스트 정책 엔진에 컨텍스트를 공급하는 것이다. "이 사용자가, 이 단말로, 지금 이 상황에서, 이 자산에 접근해도 되는가?"라는 제로 트러스트의 핵심 질문에 정교하게 답할 수 있도록 실시간 컨텍스트를 제공한다.또한, 전자책은 withVTM을 활용한 N2SF 적용을 현실적인 3단계로 제시한다.첫 단계는 자산·업무·위험 현황 진단이다. 기관 내 모든 자산을 수집하고 정규화하며 위험도를 산정하는 과정이다. 두 번째 단계는 정보서비스·C/S/O 등급 설계 지원으로, 확보된 자산 정보를 바탕으로 N2SF 등급 체계를 구축한다. 세 번째 단계는 정책·아키텍처 구현과 지속 모니터링으로, 제로 트러스트 엔진과 연계한 동적 보안 체계를 운영하는 것이다.이를 통해 기관들은 N2SF 보안 가이드라인과 정보보호 공시 요구사항을 충족하는 동시에, 실제 위험이 높은 자산에 집중적 통제를 적용해 실질적 보안 강화를 달성할 수 있다.'N2SF와 범부처 정보보호 종합대책 준수의 실질적 해법' 전자책은 위드네트웍스 공식 홈페이지에서 무료로 다운로드할 수 있다.위드네트웍스는 "N2SF는 새로운 장비를 사라는 게 아니라, 무엇을 자산으로 보고 어떻게 위험을 측정할 것인가에 대한 새로운 관점을 요구하는 프레임워크"라며, "이번 전자책이 막막함을 느끼는 보안 담당자들에게 현실적인 이행 전략을 수립하는데 도움이 되기를 바란다"고 밝혔다.한경잡앤조이 온라인뉴스팀 기자 jobnjoynews@hankyung.com