㈜소프트이천

지난 1년간 발생한 통신사와 이커머스 기업에서 발생한 대형 보안 사고는 ISMS의 ‘실효성’에 대한 의문을 던졌다. ISMS 인증을 유지하고 있던 기업에서도 심각한 보안 사고가 발생하면서, 기존 인증 과정이 실제 운영 환경의 위험까지 충분히 점검하고 있었는지 되돌아보게 됐다. 이에 따라 정보보호관리체계(ISMS)는 단순한 문서 적합성 확인을 넘어, 실제 현장에서 보안 통제가 제대로 작동하는지를 검증하는 방향으로 개편이 추진되고 있다.

한편, 생성형 AI의 확산과 디지털 전환 가속화로 기업의 공격 표면은 빠르게 확대되고 있으며, 그에 따라 관리 대상과 통제 범위 또한 더욱 복잡해지고 있다. 이런 변화에 맞춰 ISMS 심사 역시 형식적 적합성을 넘어 실제 운영 환경에서의 보안 역량을 엄격히 검증하는 체계로 고도화되고 있다.

이제 ISMS 준비를 ‘서류·문서 중심 대응’이 아닌 ‘운영 체계 정비’의 관점에서 어떻게 접근해야 할지 함께 짚어보자.

지금 ISMS 준비 전략을 바꿔야 하는 이유
이번 ISMS 개편의 핵심은 ‘실효성 중심의 전환’이다. 심사 구조와 적용 범위, 사후관리 체계 전반이 조정되면서 기업의 준비 방식에도 변화가 요구되고 있다. 개편 흐름은 3가지로 정리할 수 있다.

첫째, 의무 적용 범위의 확대 추진이다.

민간과 공공 주요 개인정보처리 시스템을 대상으로 ISMS-P 의무화를 확대하는 방안이 추진되고 있으며, 종래의 매출규모와 이용자수의 기준에서 ‘주요 시스템’ 기준으로 심사 의무 대상이 확대될 것으로 보인다. 대규모 플랫폼과 통신사와 같이 사회적 파급력이 큰 기업에 대해서는 보다 강화된 인증 기준이 별도로 적용되고, 개인정보보호법, 정보통신망법 등 관련 법제도와의 연계도 강화될 것으로 예상되고 있다.

둘째, 심사 방식과 검증 범위의 고도화다.

ISMS 심사 절차는 예비 심사, 기술 심사, 본심사로 구분되며, 각 단계의 검증 강도가 한층 높아진다. 예비 심사에서는 핵심 항목에 대한 선(先)검증(Pass/Fail) 체계를 도입해 일정 기준에 미달할 경우 본 심사 이전에 걸러내는 구조를 도입한다. 기술 심사 단계에서는 모의해킹과 취약점 진단 등을 통해 인증기준 적합성을 심사기관이 직접 확인하고, 본심사에서는 코어 시스템에 대한 현장 실증을 강화해 실제 통제 체계의 작동 여부를 확인한다.

[그림 1] 심사 방식 강화 방안 주요 내용(안)

이와 함께 검증 범위 자체도 확대된다. 공급망 보안 측면에서는 클라우드 환경과 AI·LLM 연동 구조까지 관리 범위에 포함되며, AI 관련 신규 위협과 데이터 유출 리스크에 대한 대응 역량도 주요 점검 요소로 다뤄진다. 또한, 내부 정보시스템에 국한하지 않고 외부 연동·위탁 구조까지 통제 범위를 넓혀 보안 관리 수준을 확인하는 방향으로 전환되고 있다. 최근에는 소프트웨어자재명세(SBOM)를 기반으로 한 공급망 보안 관리의 중요성도 함께 강조되고 있다.

셋째, 사후관리 책임의 강화다.

보안 사고나 데이터 유출이 발생할 경우 특별 사후심사가 즉시 가동되며, 정기 심사와는 별개로 사고 원인과 대응의 적절성을 집중적으로 점검한다. 심사 과정에서 중대한 결함이 확인되거나 사고 대응이 부실한 경우에는 인증 취소까지 가능하도록 관리 기준이 엄격해진다.

특히 사고 시점의 재현과 소명이 중요한 평가 요소로 부각된다. 이를 위해 변경 이력, 접근 기록, 입·출력 로그 등 관련 증적을 평소부터 체계적으로 관리해야 한다는 점이 강조된다. 아울러, 분야별 전문 인증위원회를 운영하고, 심사원을 대상으로 AI 신기술 보안 교육을 확대하는 등 심사 전문성 제고도 병행된다.

결국 ISMS 인증 개편은 ‘인증 취득’ 자체보다 ‘시스템이 실제로 작동하고 있음을 지속적으로 증명하는 것’에 방점을 두고 심사 체계를 재정비하는 과정이라고 볼 수 있다.

이런 변화는 단순한 심사 절차 조정이 아니라, 의무 대상 기준, 인증 유형 구조, 심사 방식, 사후관리 책임까지 전 영역을 재정렬하는 수준의 개편이다. 특히 “어디까지를 관리 범위로 볼 것인가”, “실제 운영을 어떻게 입증할 것인가”라는 관점에서 기업의 준비 전략에도 근본적인 변화가 요구된다. 아래 표는 기존 제도와 개편 방향, 그리고 실무에 미치는 영향을 구조적으로 정리한 것이다.

[표 1] ISMS 의무 대상의 실무적 변화

AI 확산에 따른 ISMS 검증 강화 포인트
이번 개편에서 특히 주목되는 부분은 AI 환경에 대한 보안 통제 강화다. 생성형 AI 확산과 함께 기업의 공격 표면이 급격히 확대되고 있으며, 프롬프트 인젝션, 데이터 오염, 모델 추출 등 AI 특화 공격이 증가하고 있다. 이런 위협은 기존 보안 체계만으로는 충분히 대응하기 어려운 영역으로 평가된다.

또한, AI는 데이터 흐름 구조 자체를 복잡하게 만든다. 학습 데이터에 개인정보가 포함될 수 있고, 모델 응답 과정에서 기밀 정보가 외부로 노출될 가능성도 존재한다. 그만큼 민감 정보 유출 위험이 심화되고 있어, AI 활용 기업은 이에 대한 통제 체계를 명확히 정비해야 한다.

AI 보안이 어려운 또 다른 이유는 관리 대상의 범위가 넓기 때문이다. 가시적으로 드러나는 모델·엔드포인트(LLM, sLLM), API Key와 같은 인터페이스뿐 아니라, 에이전트 권한, 플러그인, 프롬프트 템플릿 등도 기본 통제 대상에 포함된다. 더 나아가 벡터 DB, 지식베이스, 파인튜닝 데이터, 입·출력 로그, 사용자 피드백, 변경 이력 등 데이터 및 거버넌스처럼 드러나지 않는 많은 영역을 관리 범위에 포함해야 한다. 이는 단순 시스템 보호를 넘어, AI 자산 전반을 자산 대장에 포함하고 범위와 책임, 통제를 정의하는 체계적 관리가 필요함을 의미한다.

이에 따라 AI 위협 대응은 단계적 접근이 요구된다.

• 첫째, 전사 AI 사용 현황을 파악하고 위협 시나리오를 도출해 AI 침해 시 유출 영향도를 측정하는 위험 평가를 수행해야 한다.
• 둘째, 입력 통제와 모니터링 등 기술적 보호 조치를 적용하고, 이상 행위 탐지와 로그 기록을 통해 보안통제 증적을 확보해야 한다.
• 셋째, 모델 및 프롬프트 변경 관리, 사용 전 보안성 검토 등 거버넌스 체계를 구축해 지속적으로 관리해야 한다.

결국 AI 환경에 대한 검증은 특정 기술 통제 여부를 확인하는 수준을 넘어, 자산 식별 → 기술적 보호→ 거버넌스 체계 구축까지 포함한 통합적 관리 역량을 점검하는 방향으로 강화되고 있다.

[표 2] ISMS 개편 주요 변화와 AI 환경 대응 방향

안랩이 제시하는 ISMS 개편 대응 전략
ISMS 개편에 효과적으로 대응하기 위해서는 형식적 인증 준비를 넘어, 실제로 작동하는 보안 거버넌스를 구축하는 것이 핵심이다. 과거에는 심사 통과를 위한 문서 작성과 증적 준비에 집중하는 경우가 적지 않았지만, 이제는 실무 중심의 운영 체계를 내재화해야 한다. 지속 가능한 보안 프로세스를 정착시키고, 경영진의 의사결정 참여와 CISO 중심의 전사 보안 체계를 가동하는 구조로 전환해야 한다.

이를 위해 안랩은 프로세스·기술·조직의 균형 있는 접근을 제안한다.

먼저, 프로세스 영역에서는 체계적인 정보보호 규정 수립과 실효성 있는 운영 절차 확립이 필요하다. 위험 평가, 통제 설계, 증적 관리가 문서에 그치지 않고 실제 업무 흐름에 반영돼야 한다.

기술적 측면에서는 최신 위협에 대응할 수 있는 기술적 보호 조치와 보안 솔루션을 적절히 도입해 운영해야 한다. 특히 AI 환경과 공급망 구조 확장에 따라 로그 관리, 이상행위 탐지, 취약점 점검 등 실질적인 통제 체계를 갖춰야 한다.

조직 차원에서는 경영진의 보안 투자 의지와 전 임직원의 보안 인식 내재화가 중요하다. 보안은 특정 부서의 업무가 아니라 조직 전반의 책임이라는 인식 전환이 필요하며, 전문 인력 확보와 지속적인 교육도 병행돼야 한다.

이 밖에, 내부 전문 인력이 충분하지 않은 기업이라면 보안 전문업체와의 협력을 통해 대응 역량을 보완하는 방안도 고려할 수 있다. 전문 인력 없이 자체적으로 인증을 준비할 경우 인증 탈락 및 지연, 사고 발생 시 대응 미흡, 재컨설팅으로 인한 비용 중복 등의 위험이 발생할 수 있기 때문이다. 초기 단계에서 전문 파트너의 도움을 받아 체계를 정비하는 것이 장기적으로는 더 효율적인 접근이 될 수 있다.

ISMS 인증 대응을 위한 안랩 보안 솔루션
개편된 ISMS 심사에서는 단순한 기준 충족 여부가 아니라, 보안 체계가 조직 내에서 얼마나 일관되게 관리되고 있는지를 중점적으로 확인한다. 이에 따라 체계적인 설계와 이를 뒷받침하는 기술적 기반이 함께 마련돼야 한다.

안랩은 보안 솔루션과 컨설팅을 결합한 통합 접근을 제안한다.

ISMS는 위험평가, 보안 통제, 위협 대응, 취약점 관리, 통합 모니터링 등 다양한 영역을 포괄한다. 각 영역을 수작업으로 관리하기에는 한계가 있는 만큼, 통제 활동을 체계적으로 지원하고 증적을 축적할 수 있는 전문 솔루션의 역할이 중요하다. 예를 들어, 위험평가 결과에 따라 엔드포인트 보안(EPP/V3), 이상 행위 탐지 및 대응(EDR/MDR), 네트워크 통제(XTG), 지능형 위협 분석(MDS), 취약점 점검(ESA/ASM), 통합 모니터링(XDR/MXDR, MSS) 등을 적용함으로써 기술적 보호 조치와 운영 기록을 동시에 관리할 수 있다.

[표 3] ISMS 주요 요구사항과 안랩 보안 솔루션 매핑 예시

더 나아가, 안랩 보안컨설팅은 ASEM(AhnLab Security Engineering Method)을 기반으로 ▲계획 수립 ▲위험 분석 ▲대책 수립 ▲구현 및 관리의 단계에 따라 ISMS 대응 체계를 설계한다. IT 환경과 자산을 분석하고, 위협·취약점 분석 및 위험 평가를 통해 보호 대책을 도출한 뒤, 보호 전략 수립과 실행 계획까지 연계하는 방식이다.

[그림 2] ASEM 기반 ISMS 인증 대응 절차

이처럼 체계적인 설계와 기술적 통제를 함께 적용하는 것이 개편된 ISMS 심사에서 요구하는 보안 관리 체계의 지속성과 실행력을 입증하는 기반이 된다.

ISMS 개편은 기업의 보안 관리 체계를 한 단계 끌어올리는 계기가 될 것이다. 2026년 1분기 관련 고시 개정·공표 이후 단계적 시행이 예정된 만큼, 지금부터 체계적인 준비가 요구된다. 조직·기술·거버넌스를 유기적으로 연결하는 통합적 대응 역량이 향후 인증과 사후 관리의 성패를 좌우할 것으로 예상된다. 컨설팅과 솔루션, 관제를 아우르는 엔드투엔드(End-to-End) 접근은 이런 변화에 안정적으로 대응하기 위한 현실적인 선택지가 될 수 있다.

더 자세한 내용은 안랩 온라인세미나 영상에서 확인할 수 있다.

출처 : AhnLab