정보보호 공시 첫걸음, ‘IT 자산 식별’ 신설이 던지는 의미와 과제
정부가 정보보호 공시 제도에서 ‘IT 자산 식별’을 가장 우선하는 현황 고시 항목으로 신설했다. 이에 따라 공공기관과 기업들은 각자의 전산 환경 내에 존재하는 모든 IT 자산, 즉 서버, 클라우드 인스턴스, 네트워크 장비, 애플리케이션 등을 정확히 식별하고 관리해야 한다. 이번 조치는 정보 유출, 랜섬웨어, 내부 망 취약점 등 갈수록 다양해지는 보안 위협으로부터 조직 전체의 보호 역량을 점검·강화하라는 현실적 요청에 정부가 공식적으로 응답한 것으로 볼 수 있다. 사실상 ‘내가 가진 것을 제대로 아는 것’ 없는 보안은 공허함을 실무적 관점에서 인정한 것이다. 최근 발생한 주요 사고들을 보면 해킹 피해 이후 조사 단계에서조차 기업들이 보유 자산, 데이터 흐름 현황조차 파악하지 못해 수습이 한층 더 어려워졌다는 지적이 반복됐다. 실제로 지난해 국내 모 대기업 A사의 경우, 미확인 서버가 외부와 연결된 채 방치돼 랜섬웨어 피해가 급속히 확산했지만, 정작 복구 과정에서도 해당 서버 목록 파악에만 수십 시간이 소요됐다. 이는 단순한 기록 보관 체계 미흡만의 문제가 아니라, IT 인프라 성장 과정에서 자산 식별의 체계화가 기술적, 조직적 우선순위에서 밀려났기 때문이다.
기존 정보보호 공시 기준들은 대부분 보안 정책 체계, 주요 보호 조치, 투자 규모 등의 계량적 항목에 집중해오던 방식이었다. 하지만 디지털 전환이 가속화되면서 클라우드 네이티브, 임시 인프라, 외부 협력사 연계망 등 조직 경계를 빠르게 확장하는 현재 환경에선 전통적 보안 통제만으로는 실질적 위험 통제가 불가능해졌다. 대표적 예로, 2024년 국내 모 보험사 데이터 누출 사건 역시 클라우드 환경 내 임시 DB와 서버 자원이 자동 생성·삭제되는 과정에서 통합 관리 체계 미비가 사각지대가 됐다. 이러한 환경적 변화 속에서 정보보호의 첫 걸음을 ‘IT 자산의 정확한 파악’에 두겠다는 고시는, 단순히 표준의 갱신이나 실적 체크 차원을 넘어 실질적 해법 전환의 신호로 해석할 수 있다.
실제 IT 자산 식별은 전통적 방식과 달리 자동화 도구, AI 기반의 네트워크 모니터링, 그리고 상시적 점검 체계 도입이 병행되어야 한다. 머신러닝 기반 자산 탐지 솔루션이 각종 로그, 네트워크 트래픽을 스캔해 미등록 시스템이나 비인가 단말을 지속적으로 찾아내는 기술적 접근이 점점 늘고 있다. 하지만 기술적 진전에도 불구하고, 많은 조직은 여전히 자산 관리 DB의 인적 갱신 오류, 부서간 중복/사각지대를 해소하지 못한다. 특히 업무 부서와 IT 부서 간 현황 인식의 괴리, 외부 협력사 자산 식별의 책임 소재 불분명 문제가 현장에서 빈번히 발생하고 있다. 유럽연합 NIS2 지침 등 해외 규제에서도 정보보호 책임의 시작이 ‘자산 식별 및 분류’임을 명시하지만, 실제 현장 적용에선 전담 인력의 역량, 현업의 협조, 지속 투자 등 복합적 과제가 공존한다.
IT 자산 식별의 고도화는 단순히 장비 목록 확보를 넘어 네트워크 트폴로지, 데이터 흐름, 사용처별 위험 프로파일링으로 이어져야 한다. 최신 보안 사고 대응 기업들은 전산망 내 자산 라이프사이클, 데이터 가치, 비상 복구 우선순위까지 연동하는 ‘자산-위험 연계 관리’ 체계를 도입하고 있다. 예컨대 일본의 유력 금융기관들은 매 분기별 ‘클라우드 자산 재검증 데이’를 통해 클라우드 내 모든 리소스와 접근권한 현황을 점검한다. 국내 또한 기업 규모를 막론하고 정보보호관리체계(ISMS) 인증, 개인정보보호 자율평가 등을 수행하며 IT 자산 현황의 투명성과 즉시성 확보를 강화하고 있다.
앞으로 정보보호 공시 제도가 실효성을 가지기 위해서는 단순 식별 현황 보고를 넘어, 변경 이력 관리, 비인가 기기 발견 및 대응 프로토콜, 예외 자산에 대한 명확한 정책 설계가 병행되어야 한다. 결과의 투명성뿐 아니라 과정의 통제, 구성원 전반의 자산 인식 교육이 뒷받침돼야 한다. IT 자산의 동적 변화와 외부 협업 확산 현실에서, 이번 공시 제도 개편은 ‘현장의 보안 현실 인지’에서 출발해 실질적 근본 대책을 제시하는 첫 단계가 될 것이다. 기업과 기관 현장의 실무자가 자산 식별이라는 출발점에서 문제의식을 전환할 수 있기를 기대한다.
— 유재혁 ([email protected])
요즘 해킹 뉴스 볼때마다 느끼는 건데, 자산 목록 관리 진짜 필수같아요! 이렇게 공식적으로 1번 항목으로 지정된 건 환영👏👏 앞으로 모든 기업이 잘 따라줬으면 좋겠네요 🙂
IT 자산 식별만 잘해도 위험 반은 줄겠네요!👍 정보 감사합니다 😊
근데 저런 거 하라고 하면 또 문서화만 늘고 실체는 없는 거 아닌가…? 회의만 또 늘겠네.
이거 서버 담당자들 밤샌다에 한 표🤔 결국엔 이력관리도 자동화해야 될 듯.
자산 식별이란게 알고보면 현장에선 진짜 어렵죠🤔 클라우드는 실시간 변화, 온프렘은 외주 꼬이고, 결국 자동화 도입 없다면 무의미할 수도… 그래도 공식 1순위로 올라오니 이제 관심이라도 집중될 듯.
ㅋㅋ 자산 식별 없이는 보안도 없다는 거네. 근데 맨날 실사 나오면 담당자 몰라서 난리나는 거 반복이다. 처벌강화만 말고 해결법도 좀 공유해라!
기업들 자산관리 DB도 문제지만 부서끼리 소통 진짜 안됨. 바뀌고 또 바뀌고ㅠ 자동화 툴 필수네요.
ㅋㅋㅋ 드디어! 실무자 고생길 열린다~~