위드네트웍스, 2026 부산 IT전시회서 AI 기반 자산·취약점 통합관리 플랫폼 선보여

핵심 요약

- 위드네트웍스, 2026 부산광역시 정보화전략 IT전시회에서 AI 기반 자산·취약점 통합 관리 플랫폼 '위드VTM' 공개 - N2SF(차세대 보안관제 프레임워크), 범부처 정보보호 종합대책, ISMS-P 개편 등 공공 부문 보안 규제 강화에 대응 - AI 기술을 활용한 자산 및 취약점 통합 관리로 공공기관의 정보보호 관리체계 효율화 지원

주요 내용

위드네트웍스는 2026년 부산광역시에서 개최된 '2026 부산광역시 정보화전략 IT전시회'에 참가해 자사의 AI 기반 자산·취약점 통합 관리 플랫폼 '위드(with)VTM'을 선보였다고 밝혔다. 이번 전시회는 지방자치단체와 공공기관의 디지털 전환 및 정보보호 강화 방안을 공유하는 자리로 마련됐다.

공공 부문은 최근 N2SF(차세대 보안관제 프레임워크), 범부처 정보보호 종합대책, ISMS·ISMS-P 인증제도 개편 등 연이은 규제 변화에 직면해 있다. 특히 2025년부터 단계적으로 적용되고 있는 N2SF는 공공기관에 자산 관리, 취약점 관리, 보안관제 등 통합 보안 체계 구축을 요구하고 있어, 이에 대응할 수 있는 솔루션에 대한 수요가 증가하고 있다.

위드VTM은 AI 기술을 기반으로 IT 자산을 자동으로 식별·분류하고, 취약점을 실시간으로 탐지·평가하는 통합 플랫폼이다. 기존에 자산관리와 취약점관리를 별도 시스템으로 운영하던 공공기관들이 하나의 플랫폼에서 통합 관리할 수 있도록 설계됐으며, ISMS-P 인증심사 시 요구되는 증적 자료를 자동으로 생성하는 기능도 포함하고 있다.

위드네트웍스 관계자는 "공공기관은 개인정보를 대량으로 처리하면서도 ISMS-P 인증 의무 대상이 확대되고 있어 체계적인 정보보호 관리체계 구축이 필수"라며 "위드VTM은 복잡한 규제 요구사항을 효율적으로 충족할 수 있도록 지원한다"고 설명했다.

전문가 시각

ISMS-P 선임심사원 관점에서 볼 때, 위드VTM과 같은 자산·취약점 통합관리 솔루션의 등장은 매우 환영할 만하다. 실제 인증심사 현장에서 가장 많은 미흡사항이 발견되는 영역이 바로 '자산 식별 및 분류(2.4.1)'와 '취약점 점검 및 조치(2.8.4)'이기 때문이다. 많은 조직이 엑셀 기반으로 자산대장을 관리하다가 실제 운영 자산과의 불일치 문제로 지적을 받고, 취약점 점검 결과를 산발적으로 보관하여 이력 추적이 불가능한 경우가 빈번하다.

특히 공공기관의 경우 개인정보 영향평가, 정보시스템 사전점검, ISMS-P 인증 등 다양한 규제 대응을 위해 동일한 자산정보와 취약점 점검 결과를 반복적으로 제출해야 한다. 통합 플랫폼을 통해 이러한 증적 자료를 일관성 있게 관리하고 자동으로 생성할 수 있다면, 인증 준비 기간을 단축하고 심사 시 적합 판정을 받을 가능성을 크게 높일 수 있다. 다만 도입 시 조직의 업무 프로세스와 플랫폼 기능이 정합하는지, 실제 운영 환경에서 자산 자동 탐지 정확도가 충분한지 사전 검증이 필요하다.

ISMS-P 심사원 체크포인트

1. 정보자산 식별 및 분류 (ISMS-P 2.4.1) - 심사 시 주요 점검사항: 정보자산 대장의 최신성 및 정확성, 자산의 중요도 분류 기준 명확성, 실제 운영 자산과 대장의 일치 여부 - AI 기반 자동 탐지 솔루션 도입 시에도 ①자산 분류 기준 문서화 ②자동 탐지 결과의 주기적 검증 프로세스 ③담당자 지정 및 책임 명확화가 필수 - 관련 법령: 개인정보보호법 제29조(안전조치의무), 개인정보의 안전성 확보조치 기준 제4조(내부관리계획 수립·시행)

2. 취약점 점검 및 조치 (ISMS-P 2.8.4) - 심사 시 주요 점검사항: 취약점 점검 주기 준수, 발견된 취약점의 조치 이력 관리, 위험도에 따른 우선순위 대응 체계 - 통합 플랫폼 활용 시에도 ①취약점 점검 계획 수립 ②고위험 취약점 즉시 조치 프로세스 ③분기별 점검 결과 경영진 보고 등 관리적 통제가 병행되어야 함 - N2SF 연계: 차세대 보안관제 체계에서는 취약점 정보를 보안관제센터와 실시간 연계하여 사고 예방에 활용하도록 요구

3. 개인정보 처리시스템 대장 관리 (ISMS-P 3.1.2) - 심사 시 주요 점검사항: 개인정보를 처리하는 모든 시스템의 식별, 처리 개인정보 항목·목적·보유기간 명시, 시스템 간 개인정보 흐름도 작성 - 자산관리 플랫폼에서 일반 정보자산과 개인정보 처리시스템을 구분하여 관리하고, 개인정보 처리 현황을 별도로 추적할 수 있는 기능 필요 - 관련 법령: 개인정보보호법 시행령 제30조(개인정보 처리방침 수립 및 공개), 안전성 확보조치 기준 제3조(내부 관리계획)

CPPG·ISMS-P 연계 포인트

1. 정보자산 관리 생명주기 (Asset Management Lifecycle) 정보자산 관리는 식별→분류→중요도 평가→보호대책 적용→폐기의 생명주기로 관리되어야 한다. ISMS-P 인증기준 2.4.1에서는 조직이 보유한 모든 정보자산을 식별하고 중요도에 따라 분류하며, 각 자산에 대한 책임자를 지정하도록 요구한다. AI 기반 자동 탐지 솔루션은 '식별' 단계의 효율성을 높이지만, '분류 기준 수립', '중요도 평가 방법론', '책임자 지정'은 조직의 관리적 통제로 반드시 수반되어야 한다. 시험에서는 자산 분류 기준(기밀성·무결성·가용성), 자산대장 필수 포함 항목, 자산 변경 시 승인 절차 등이 출제된다.

2. 취약점 관리 프로세스 (Vulnerability Management Process) 취약점 관리는 탐지→분석→우선순위 결정→조치→검증의 순환 프로세스다. ISMS-P 2.8.4는 정보시스템 및 보안시스템에 대한 주기적 취약점 점검과 발견된 취약점의 신속한 조치를 요구한다. 특히 공공기관은 행정안전부 '정보시스템 보안 취약점 분석·평가 기준'에 따라 분기 1회 이상 취약점 점검을 수행해야 한다. 취약점 조치 시 위험도(긴급·상·중·하)에 따른 조치 기한 준수가 핵심이며, 시스템 특성상 즉시 조치가 불가능한 경우 보완통제(방화벽 정책, 접근통제 강화 등) 적용과 예외 승인 절차가 필요하다. 시험에서는 취약점 점검 도구 종류, CVSS 점수 체계, 패치 관리 정책 등이 출제된다.