통합 ICT 및 지능형 보안 서비스 전문기업 위드네트웍스(대표 안종업)는 자사의 AI 기반 자산 및 보안 취약점 통합관리 플랫폼 'withVTM V3.0'이 조달청 나라장터 디지털서비스몰에 정식 등록됐다고 16일 밝혔다. 이번 등록으로 중앙부처·지방자치단체·공공기관은 복잡한 입찰 절차 없이 디지털서비스몰을 통해 withVTM V3.0을 즉시 도입할 수 있게 됐다. 디지털서비스 전문계약제도는 디지털서비스 지정을 받은 솔루션에 한해 수의계약·카탈로그계약 방식의 신속한 공공 조달을 허용한다.
이번 등록은 공공 부문의 보안 규제가 동시에 강화되는 시점에 이뤄졌다. 지난해 9월 발표된 국가망 보안체계(N2SF)에 따르면 일률적 망분리에서 벗어나 업무 중요도(C·S·O) 기반의 자산 중심 보안 거버넌스를 요구한다. 지난 4월 발표돼 2027년 시행을 앞둔 ISMS·ISMS-P 인증 전면 개편안은 디지털 자산과 취약점에 대한 '상시 보안 체계'를 사실상 의무화했다. 두 제도는 공통적으로 조직이 보유한 자산을 정확히 파악하고, 그 취약점을 식별하며, 이를 상시 관리할 수 있는 체계를 갖출 것을 요구한다.
그러나 현장에서는 자산관리, 취약점 점검, 컴플라이언스 증거자료가 서로 다른 도구와 수작업으로 분절돼 운영되는 경우가 많아, 도구 사이의 빈틈이 그대로 보안 사각지대가 되는 문제가 반복돼 왔다. withVTM V3.0은 이 세 가지 요구사항인 자산관리·취약점관리·상시 보안 체계를 하나의 플랫폼에서 완벽하게 지원함으로써, 규제 대응을 위한 단편적 도구를 넘어 보안 운영의 기준점 역할을 한다.
withVTM V3.0이 정의하는 '자산'의 범위는 전통적인 서버·네트워크 장비를 넘어선다. AI 기반 스캔으로 IT 부서조차 인지하지 못한 비인가 자산인 섀도 IT(Shadow IT)와 외부에 노출된 섀도 응용 프로그램 인터페이스(API)까지 자동으로 찾아내 보안 사각지대를 해소한다. 나아가 소프트웨어 구성 명세인 소프트웨어 자재명세서(SBOM)를 기반으로 애플리케이션을 이루는 오픈소스·서드파티 구성요소 수준까지 자산으로 식별·관리해 공급망 무결성까지 점검한다. 이처럼 자산의 정의를 '장비 단위'에서 '소프트웨어 구성요소 단위'로 넓혀, 관리자가 미처 보지 못하던 영역까지 보안 관리 대상으로 끌어들인 것이 withVTM V3.0의 강점이다.
withVTM V3.0은 보안 취약점(CVE)과 보안 설정 취약점(CCE)을 단일 플랫폼에서 동시에 진단하고, 외부 노출 서비스 취약점까지 함께 점검한다. 그러나 핵심은 방대한 취약점 가운데 '무엇을 가장 먼저 보호해야 하는가'를 가려내는 데 있다. withVTM V3.0은 취약점 심각도(CVSS)에만 의존하지 않고 향후 악용 가능성(EPSS)·실제 악용이 확인된 취약점(CISA KEV)·공격 코드 신호에 자산의 업무 중요도를 더해 AI로 종합한 자체 취약성 위험도 점수(VRS)를 산출한다. 이를 통해 한정된 보안 인력이 외부 등급에만 의존하지 않고 실제로 위험한 취약점에 먼저 집중하도록 데이터 기반 우선순위를 자동으로 제시한다.
withVTM V3.0은 자산 탐지·식별부터 인벤토리·SBOM 작성, 취약점 대응, VRS 기반 우선순위 산정, 조치 및 재검증에 이르는 전 과정을 하나의 주기로 자동화한다. 이를 통해 분기 단위의 일회성 점검에 머물던 보안 운영을 상시 관리 체계로 전환하고, 감사에 필요한 증거자료를 자동으로 수집·보고서화해 ISMS-P·N2SF 등 컴플라이언스 대응 부담을 크게 줄인다.
안종업 위드네트웍스 대표는 “이번 디지털서비스몰 등록으로 공공기관이 까다로운 조달 절차 없이 withVTM V3.0을 신속하게 도입할 수 있는 길이 열렸다”고 밝혔다. 이용 프로덕트 총괄 상무는 “자산 가시성 확보부터 취약점 진단, AI 기반 위협 우선순위 산정, 상시 보안 운영과 컴플라이언스 대응까지, N2SF와 ISMS-P 개편이 요구하는 핵심 과제를 단일 플랫폼에서 해결하도록 지원하겠다”고 밝혔다.
위드네트웍스는 이번 등록을 발판으로 공공기관과 금융권을 중심으로 withVTM V3.0 기반의 자산·취약점 통합관리 사업을 적극 확대해 나갈 계획이다.
이경민 기자 kmlee@etnews.com
