전기·전자 제품은 KS 규격을 통과하면 일정 수준의 안전성과 품질을 기대할 수 있다. 규격은 비교적 오래 유지되고, 평가 이후 제품 상태가 급격히 바뀌는 일도 드물다. 그래서 규격 충족은 곧 신뢰의 근거가 된다.
하지만 정보보안 분야는 다르다. 고정된 제품의 품질을 확인하는 일이 아니라, 계속 변하는 공격자와 실시간으로 맞서는 운영의 문제다. 오늘 통과한 점검표가 내일의 공격까지 막아주지는 않는다. 어제 없던 제로데이, 변형 공격, 정상 계정을 노리는 크리덴셜 스터핑 같은 공격은 기존 인증 항목만으로는 설명되지 않는다. 같은 시스템이라도 공격자 전술이 바뀌면 위험 수준은 순식간에 달라진다.
이 점에서 정보보안을 KS 규격처럼 이해하는 것은 위험하다. 인증은 기본 통제를 갖추게 만드는 데 의미가 있다. 접근통제 정책이 있는가, 로그를 보관하는가, 보안 장비를 도입했는가를 확인하는 최소 기준으로는 필요하다. 그러나 그것이 실제 침해 대응력을 보장하지는 못한다. ISMS-P 인증은 조직이 관리체계를 갖추고 있는지 보여줄 수는 있어도, 실제 공격을 탐지하고 분석하고 차단할 수 있는지까지 증명하지 못한다.
공격자는 인증서를 보고 들어오지 않는다. 가장 약한 지점을 찾고, 가장 늦게 대응하는 조직을 노린다. 그래서 중요한 질문도 달라져야 한다. 무엇을 갖추었는가가 아니라, 공격이 들어왔을 때 실제로 탐지할 수 있는가. 근거 로그를 바탕으로 분석할 수 있는가. 웹과 계정, 서버 행위를 연결해 침해 흐름을 볼 수 있는가. 그리고 실시간 대응이 가능한가. 몇 시간 뒤가 아니라 몇 분 안에 차단과 격리가 가능한가를 물어야 한다. 보안의 본질은 보유 여부가 아니라 대응 능력에 있기 때문이다. MITRE ATT&CK처럼 공격의 흐름을 체계적으로 분석하는 글로벌 표준이 보여주듯, 핵심은 인증 항목을 채웠는가가 아니라 실제로 대응할 수 있는가다.
AI가 공격 탐색과 우회, 변형, 후속 행위의 속도를 급격히 높이는 지금, 앤트로픽의 미토스(Claude Mythos Preview)처럼 제로데이를 빠르게 발견하고 변형 공격을 생성하는 AI 위협은 인증 중심 보안의 한계를 더욱 선명하게 드러낸다. 문제는 “AI가 공격한다”는 자극적 표현이 아니다. 더 본질적인 문제는 공격자가 더 빠르게 취약점을 찾고, 더 다양한 변형을 시도하며, 대응 시간이 극도로 압축된다는 점이다. 이런 환경에서는 사전에 정리된 인증 항목만으로는 부족하다. 웹 요청과 응답, 계정 활동, 서버 행위를 하나의 흐름으로 연결해 즉시 대응해야 하는데, 부분 로그와 형식적 점검만으로는 이 속도를 따라가기 어렵다.
이제 ISMS-P 강화의 방향도 달라져야 한다. 인증 항목을 더 늘리고 문서 점검을 더 촘촘히 하는 방식만으로는 현실의 공격을 따라갈 수 없다. 필요한 것은 실전형 공격 대응 가이드다. 어떤 로그를 남겨야 하는지, 어떤 행위를 서로 연결해 봐야 하는지, 어떤 기준으로 이상 징후를 판단해야 하는지, 몇 분 안에 무엇을 먼저 조치해야 하는지를 제시해야 한다. 인증이 “기본은 갖췄는가”를 묻는다면, 가이드는 “실제로 막을 수 있는가”를 묻도록 바뀌어야 한다.
또 하나 분명히 해야 할 점이 있다. 모의해킹을 더 자주 한다고 해서 이 문제가 해결되는 것은 아니다. AI가 변형 공격의 속도와 규모를 폭발적으로 높이는 지금, 정해진 시나리오에 기반한 반복적 모의해킹만으로는 현실의 공격 흐름을 따라가기 어렵다. 공격자 전술이 바뀌면 새로운 패턴이 생기고, AI는 그 변형 속도를 더 끌어올린다. 필요한 것은 더 많은 형식적 점검이 아니라, 전술 변화에 맞춰 탐지·분석·대응 절차를 계속 갱신할 수 있는 운영 기준이다.
그래야 보안 조직은 문서와 점검에만 매달리지 않고 실제 탐지와 분석, 대응에 자원을 집중할 수 있다. 현장도 인증을 부담으로만 느끼지 않고 실질적인 대응 역량을 끌어올리는 기준으로 받아들일 수 있다. 지금 필요한 것은 더 많은 형식이 아니라, 더 정확한 기록과 더 빠른 대응을 가능하게 하는 정책이다.
정보보안은 KS 규격처럼 인증으로 끝나는 분야가 아니다. 인증은 출발점일 뿐이다. 이제 ISMS-P도 문서 중심의 확인 체계에 머무르지 말고, 실제 공격 대응력을 높이는 가이드 중심 체계로 강화되어야 한다. 그래야 인증은 형식적 부담이 아니라 현실의 보안을 돕는 실질적인 제도가 될 수 있다.
joo@qubitsec.com