위드네트웍스, AI 디펜스 위한 자산·취약점 통합관리 플랫폼 'VTM' 공개...ISMS-P 개편 대응

핵심 요약

- 위드네트웍스, '인사이트 2026'에서 AI 기반 자산·취약점 통합 관리 플랫폼 'with VTM' 발표 - 자산·취약점·노출·위협 정보를 정규화한 고품질 데이터 제공으로 AI 디펜스 기초 데이터 역할 수행 - N2SF(New-New Security Framework), 제로 트러스트, ISMS-P 개편 등 최신 보안 규제 대응 지원

주요 내용

위드네트웍스가 2026년 개최된 '인사이트 2026' 컨퍼런스에서 AI 기반 자산 및 보안 취약점 통합 관리 플랫폼 'with VTM(Vulnerability & Threat Management)'을 공개했다. 이 플랫폼은 단순한 취약점 스캐닝 도구를 넘어 자산, 취약점, 노출, 위협 정보를 정규화하여 제공하는 차세대 보안 관리 솔루션으로 포지셔닝되고 있다.

with VTM의 핵심 차별점은 'AI 디펜스를 위한 신뢰할 수 있는 기초 데이터' 제공이다. 최근 AI 기반 보안 솔루션이 증가하는 추세지만, 정작 AI가 학습하고 판단할 고품질 데이터의 부재가 문제로 지적되어 왔다. 위드네트웍스는 다양한 소스에서 수집된 보안 데이터를 표준화·정규화하여 AI 기반 위협 탐지 및 대응의 정확도를 높일 수 있는 기반을 마련했다는 점을 강조하고 있다.

특히 이 솔루션은 2026년 본격화되고 있는 주요 보안 규제 및 프레임워크 변화에 대응하는 통합 플랫폼으로 설계됐다. N2SF(New-New Security Framework)로 불리는 차세대 보안 체계, 제로 트러스트 아키텍처 구현, 그리고 2024년부터 추진되어 온 ISMS-P 인증기준 개편에 대응할 수 있는 기능을 통합 제공한다. 이는 기업들이 여러 보안 요구사항을 개별적으로 대응하는 비효율을 줄이고, 통합된 관점에서 보안 관리 체계를 구축할 수 있도록 지원한다.

자산 관리 측면에서는 온프레미스, 클라우드, 하이브리드 환경의 모든 IT 자산을 자동으로 발견하고 분류하는 기능을 제공하며, 각 자산에 대한 취약점을 실시간으로 모니터링하고 우선순위를 부여하는 지능형 관리 체계를 갖추고 있다. 이를 통해 ISMS-P 인증 심사 시 요구되는 자산 및 위험 관리 입증을 보다 체계적으로 수행할 수 있다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, with VTM과 같은 통합 플랫폼의 등장은 매우 시의적절하다. 2024년부터 추진된 ISMS-P 개편의 핵심은 '형식적 문서 중심'에서 '실질적 보안 관리 중심'으로의 전환이다. 특히 자산 관리(2.5.1), 취약점 관리(2.6.3), 위협 및 위험 관리(2.3.1~2.3.3) 항목에서 실제 운영 중인 시스템 기반의 증적을 요구하는 경향이 강화되고 있다. 정규화된 데이터 기반으로 자산과 취약점을 관리하는 시스템은 심사 시 매우 유리한 증적 자료가 될 수 있다.

다만 실무 적용 시 주의할 점이 있다. 솔루션 도입 자체가 ISMS-P 인증을 보장하지 않는다는 점이다. 솔루션이 제공하는 데이터를 조직의 보안 정책 및 절차와 연계하고, 실제 취약점 조치 이력, 위험 수용 결정 과정, 경영진 보고 체계 등이 통합적으로 운영되어야 한다. 특히 AI 기반 자동화 기능에 과도하게 의존할 경우, 조직의 특수성을 반영한 판단이 누락될 수 있으므로, 사람의 판단과 AI의 분석이 적절히 조화를 이루는 운영 체계 설계가 중요하다.

ISMS-P 심사원 체크포인트

1. 정보자산 식별 및 관리 (2.5.1 정보자산 식별) - 자동화 도구를 통한 자산 발견 프로세스가 정기적으로 수행되는지 확인 - 발견된 자산의 분류 기준(중요도, 개인정보 포함 여부)이 명확하고, 자산 목록이 최신 상태로 유지되는지 점검 - 클라우드, 온프레미스, 하이브리드 환경 전체에 대한 가시성 확보 여부 - 개인정보보호법 제29조(안전조치의무) 이행을 위한 개인정보 처리시스템 식별 적정성

2. 취약점 점검 및 조치 (2.6.3 취약점 점검 및 조치) - 취약점 스캔 주기가 정책에 따라 준수되고 있는지(최소 분기 1회 이상 권고) - 발견된 취약점에 대한 위험도 평가 및 우선순위 부여 기준의 합리성 - 고위험 취약점 조치 완료 기한 준수 여부 및 예외 처리 절차의 적정성 - 취약점 조치 이력의 추적 가능성 및 경영진 보고 체계 구축 여부

3. 침해사고 예방 및 대응 (2.8.1 침해사고 예방 및 대응 체계 구축) - 위협 정보(Threat Intelligence)의 수집 및 활용 체계 구축 여부 - 정규화된 위협 데이터를 기반으로 한 사전 예방 활동 수행 증적 - 제로 트러스트 원칙 적용 시 지속적 검증을 위한 자산·취약점 데이터 연계 방안

CPPG·ISMS-P 연계 포인트

취약점 관리 생애주기(Vulnerability Management Lifecycle) 취약점 관리는 단순히 스캔 도구 실행으로 끝나지 않으며, ①발견(Discovery) → ②우선순위화(Prioritization) → ③조치(Remediation) → ④검증(Verification)의 생애주기로 관리되어야 한다. ISMS-P 인증기준 2.6.3에서 요구하는 '취약점 점검 및 조치'는 이 전체 프로세스가 정책에 따라 반복적·체계적으로 수행되는지를 평가한다. 시험에서는 각 단계별 책임자, 조치 기한, 예외 승인 프로세스에 대한 이해가 필요하다.

자산 분류 및 중요도 평가 정보자산 관리의 출발점은 자산의 정확한 식별과 중요도 평가다. ISMS-P 2.5.1 및 개인정보보호법 제29조에서 요구하는 안전조치는 자산의 중요도에 따라 차등 적용된다. 자산 분류 기준은 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 측면에서 각 자산이 침해될 경우의 영향도를 평가하여 설정하며, 특히 개인정보 처리 시스템은 별도의 강화된 보호조치 대상으로 분류해야 한다.