[주간보안동향] 공공 클라우드 보안인증 국정원 일원화…27년 시행 外

사이버 위협이 일상이 된 시대, 보안은 더 이상 특정 기업만의 문제가 아니라 개인과 사회 전체의 리스크로 확산되고 있습니다. 한 주간 국내외에서 발생한 주요 보안 이슈와 정부 정책, 기업 소식을 살펴봅니다.

공공 클라우드 보안인증 국정원 일원화…27년 시행

기존 CSAP 인증체계 / 출처=KISA

과학기술정보통신부(이하 과기정통부)와 국가정보원(이하 국정원)은 기업이 공공 클라우드 시장 진입을 위해 거쳐야 했던 이중 인증 절차를 국정원 단일 검증 체계로 통합한다고 4월 20일 발표했다. 정부는 올해 상반기 중 ‘국가 클라우드컴퓨팅 보안 가이드라인’을 개정하고, 1년의 유예기간을 거쳐 2027년 하반기부터 이를 본격 시행할 예정이다.클라우드 보안인증(CSAP)은 공공기관에 클라우드 서비스를 제공하려는 사업자가 정보보호 기준 준수 여부를 평가받는 제도다. 그동안 기업들은 CSAP 획득 후, 국정원의 클라우드 보안 검증까지 거쳐야 해 이중 규제라는 지적이 존재했다. 인증 준비에 따른 시간과 비용 부담이 있었던 만큼 향후 검증 구조가 단일화되면 클라우드 기업의 공공 시장 진입 문턱이 보다 낮아질 것으로 기대된다.

정부는 인증 주체를 국정원으로 일원화하는 동시에 검증 항목도 간소화한다고 밝혔다. 조직 구성이나 인력 보안 등 행정적 요소보다 서비스의 보안 기술 수준 평가에 집중한다. 한편 기존 CSAP 인증 제품의 유효기간은 그대로 인정한다. 정부는 투명한 검증 제도 운영을 위해 산학연이 참여하는 민관 검증심의위원회를 운영하고, 기존 CSAP 평가기관 한국정보통신진흥협회(KAIT) 등을 그대로 활용해 연속성을 이어갈 방침이다.

한편, 민간 영역의 보안인증은 정보보호관리체계(ISMS)에 클라우드 자율 보안인증으로 통합될 계획이다. 이번 개편은 유사 보안 기준을 하나로 통합해 행정 절차의 효율성을 극대화하는 것이 골자다. 다만 제도가 실효를 거두려면 후속 준비가 중요하다. 클라우드 네이티브 설계 등 최신 기술 환경을 수용할 수 있는 유연하고 실효성 있는 보안 기준 마련이 필요한 시점이다.

구글, 지난해 국내 부적절 광고 1억 7550만 건 삭제

구글은 17일 광고 안전 보고서를 발표했다 / 출처=구글

구글이 지난 17일 발표한 ‘2025 광고 안전 보고서’에 따르면, 지난해 세계에서 83억 건 이상의 부적절한 광고를 삭제하고, 정책을 위반한 사이트 24만 5000개 이상을 차단했다. 국내에서만 1억 7550만 건의 광고가 삭제됐고, 32만 6000개의 광고주 계정이 정지됐다.

여기에서 구글은 AI 모델 제미나이를 광고 안전 시스템에 전면 도입해 정책 위반 광고 99% 이상을 이용자에게 노출되기 전 걸러냈다. 구글은 “광고 환경에 새로운 AI 악용 수법이 등장하고 있지만, 제미나이를 활용해 부적절한 광고를 더욱 정교하게 식별해 빠르게 차단하고 있다”고 밝혔다.

국내에서 보고된 주요 광고 정책 위반 유형으로는 저작권 침해가 가장 높은 비중을 차지했다. 이어 ▲광고 네트워크 악용 ▲데이팅 및 교제 서비스 ▲허위 진술 ▲성적인 콘텐츠 등이 그 뒤를 이었다.

샌즈랩, AI 해킹 고도화 대응 ‘에이전트형 NDR’ 공개

MNX 솔루션 / 출처=샌즈랩

AI 기반 사이버 공격이 고도화되는 가운데, 기존 탐지 중심 보안의 한계가 드러나고 있다. AI 보안기업 샌즈랩은 이에 대응해 자사의 AI 네트워크 탐지 및 대응(NDR) 솔루션 ‘MNX’를 ‘에이전트형 NDR’로 고도화한다고 20일 밝혔다.

에이전트형 NDR는 단순 위협 탐지를 넘어 위협의 맥락 전체를 해석함으로써 위협 대응에 필요한 정보를 효율적으로 제공하는 것을 목표한다. AI 기반 이상행위 및 비정상 세션 탐지, 파일 추출·분석, 공격 흐름 추적, 자동화된 매뉴얼(Playbook) 연동 기능을 결합해 보안 운영자의 신속한 판단을 돕는다. 특히 MNX는 보안 기능 확인서를 보유해 공공기관 도입 시 경쟁력을 갖춘다. 양자 내성 암호 점검 기술을 통해 향후 양자 보안 체계 전환 대비 기반도 함께 제공한다.

여기에 샌즈랩은 사이버 위협 인텔리전스 서비스 ‘CTX’와 계정 정보 유출 알림 서비스 ‘IDPW’를 결합해 분석 범위를 넓혔다. CTX의 실시간 위협 정보를 반영해 알려지지 않은 이상 패턴이나 공격자 인프라, 신규 C2 통신 지표 등을 빠르게 포착하고, IDPW가 제공하는 계정 유출 정보를 토대로 네트워크 이상 행위와 계정 탈취 징후를 교차 분석하도록 돕는다. 이를 바탕으로 샌즈랩은 향후 MNX 기반 통합 관리형 탐지 및 대응(MDR)형 서비스로도 확장할 계획이다.

김기홍 샌즈랩 대표는 “NDR은 더 많은 이상 행위를 탐지하는 솔루션이 아닌 실제 대응 가능한 판단으로 바꾸는 운영 체계로 진화해야 한다”며, “샌즈랩은 고객 환경과 운영 수요에 따라 탐지, 분석, 대응 지원까지 연계하는 형태의 서비스를 토대로 활용 범위를 넓혀갈 것”이라고 말했다.

N2SF 시행 가시화…SGA솔루션즈, 공공 보안 대응 강화

기존 국가 망 보안체계 문제점 / 출처=KISA

오는 5월 ‘국가 사이버보안 기본지침’이 본격 시행됨에 따라 공공 보안체계가 N2SF(국가망 보안체계) 중심으로 개편된다. 이는 국정원이 발표한 새로운 국가·공공기관 보안 정책으로, 물리적 망분리에서 벗어나 데이터 중요도에 따라 보안 수준을 적용하는 데이터 중심 보안으로의 전환을 의미한다.

통합 IT보안 전문기업 SGA솔루션즈는 제로트러스트 기반 통합 보안 포트폴리오를 중심으로 N2SF 전환 지원에 나선다고 21일 밝혔다. 풀스택 제로트러스트 솔루션 ‘SGA ZTA’, 통합 계정·접근관리 솔루션 ‘SecureGuard ICAM’, 시스템 보안 솔루션 ‘RedCastle’ 등을 연계해 N2SF 환경에 최적화된 보안체계 구축을 지원한다는 방침이다.

최영철 SGA솔루션즈 대표는 “N2SF 시행은 공공 보안을 데이터 및 정책 중심으로 바꾸는 출발점”이라며, “컨설팅에 그치지 않고 구축과 운영을 아우르는 실행형 보안체계를 제공하겠다”고 밝혔다. SGA솔루션즈는 과기정통부·KISA 주관 제로트러스트 사업에 3년 연속 주관사로 참여했으며, 지난해 ‘국가·공공기관 대상 국가망 보안체계 시범실증사업’을 주관했다. 최영철 대표는 ‘제로트러스트 가이드라인 2.0’ 집필에 참여했고, 국정원 MLS(현 N2SF) TFT 참여위원으로 활동한 바 있다.

쿠도커뮤니케이션-블랙덕, AI 코드 보안 시장 공략

쿠도커뮤니케이션이 블랙덕의 AI 기반 코드 보안 솔루션 ‘시그널(Signal)’을 국내 시장에 본격 공급한다 / 출처=쿠도커뮤니케이션

ICT 전문기업 쿠도커뮤니케이션이 글로벌 애플리케이션 보안 기업 블랙덕(Black Duck)과 함께 AI 기반 코드 보안 솔루션 ‘시그널(Signal)’을 국내 시장에 본격 공급한다고 21일 밝혔다. 시그널은 AI가 생성한 코드와 사람이 작성한 코드를 실시간 분석해 보안 취약점을 찾아내고, 실제 악용 가능한 위험만을 신호로 선별해 우선순위로 제시한다.

이를 통해 기존 솔루션의 고질적 문제인 과도한 경고(노이즈)를 줄여 보안 담당자가 핵심 이슈에 집중하도록 돕는다. 취약점에 대해 검증된 수정 방안을 제안하거나 자동 대응도 가능하다. 옌 청(Yen Cheong) 블랙덕 APAC 채널 총괄은 “이제 단순히 많은 취약점을 탐지하는 것이 아니라 개발 흐름을 방해하지 않으면서 실제 위험에 집중하는 보안 방식이 필요하다”고 강조했다.

시그널은 여러 AI 에이전트가 협업해 분석부터 검증, 수정하는 ‘Agentic AI AppSec’ 구조를 기반으로, 20년 이상 축적된 보안 인텔리전스가 담긴 ‘ContextAI’를 활용해 정확도를 높였다. 또한 깃허브 코파일럿, 클로드, 제미나이 등 주요 AI 코딩 어시스턴트와 연동된다. 김철봉 쿠도커뮤니케이션 부사장은 “AI 개발 환경에서 속도와 보안을 동시에 확보하는 것이 기업 경쟁력의 핵심”이라며, “국내 기업들의 실제 위험 중심 보안 체계 구축을 적극 지원하겠다”고 밝혔다.

IT동아 김예지 기자 (yj@itdonga.com)