본문 바로가기
카테고리 없음

해롤드 사건으로 본 ISMS-P 변화

by 몽실뭉실 2025. 12. 30.
반응형

해롤드 사건으로 본 ISMS-P 변화

 

2024년 하반기 발생한 해롤드 개인정보 유출 사건은 한국 정보보안 업계에 큰 충격을 주었습니다. 인증 준비 중이던 기업에서 발생한 이 사고는, 기존 ISMS-P 체계의 허점과 향후 보안 운영의 본질을 다시 돌아보게 하는 계기가 되었습니다. 이번 글에서는 해롤드 해킹 사건의 전말을 바탕으로 ISMS-P 제도의 강화 방향, 그리고 실무자와 기업이 어떤 준비를 해야 할지를 심층적으로 분석합니다.

해롤드 사건 개요와 정보 유출의 원인

2024년 9월, 중견 미디어 기업 해롤드는 랜섬웨어에 감염되며 고객정보와 내부 문서 수천 건이 유출되는 사고를 겪었습니다.
더 충격적인 점은, 공격의 경로가 해롤드 본사가 아닌 협력업체 서버를 통해 이루어졌다는 것입니다. 이는 기존 보안 체계가 내부망에 집중된 관리에 한정되었고, 공급망 보안(Supply Chain Security) 에는 미흡했다는 점을 드러냅니다.

해롤드는 당시 ISMS-P 인증을 준비 중이었지만 아직 심사가 완료되지 않은 상태였고, 이로 인해 외부 감리는 물론 침해사고 대응 프로토콜도 미흡했습니다. 특히 ▲백업 체계 부재 ▲모니터링 시스템 미설치 ▲보안 인력 부족 ▲협력업체 보안 평가 미진행 등의 문제가 유출로 이어졌습니다.

해커들은 협력사의 관리자 계정을 통해 내부 시스템에 접근했으며, 이후 수일간 내부 데이터를 수집하고 암호화해 금전적 요구를 하는 방식이었습니다. 해롤드는 즉각 대응에 실패했고, 복구에는 수주 이상이 소요되었습니다.

→ 이 사건은 ‘인증 전 단계’에서도 보안이 허술하면 리스크가 폭발적으로 커질 수 있다는 점을 명확히 보여준 사례입니다.

ISMS-P 인증 기준은 어떻게 변화하고 있나?

이 사건 이후, 정부와 관련 기관은 ISMS-P 인증 기준 강화를 공식화했습니다.
특히 협력사·외주 인력 관리, 사이버 위협 탐지 체계, 재난 복구 및 백업 시스템의 실효성 확보가 핵심 키워드로 떠오르고 있습니다.

2025년부터 적용되는 개정안의 주요 변화는 다음과 같습니다:

  1. 협력사 보안 통제 항목 강화
    • 기존: 협력사 현황 관리 정도
    • 개정: 정기적 보안 점검, 계약서 내 정보보호 조항 의무화, 외부 감사 시행
  2. 재난 대응 체계 실효성 평가
    • DR(Disaster Recovery) 시나리오 테스트 및 복구 가능 여부 평가
  3. 침해 탐지 및 대응 체계 고도화
    • 단순한 로그 수집 → 실시간 이상 징후 탐지 시스템 필수화
    • 내부 위협 감지 솔루션 도입 권장 (UEBA 등)
  4. 보안 교육 및 실무자 훈련
    • 교육 이수율 확인 → 실제 시나리오 기반 훈련 이수 여부 점검으로 변경

또한, 인증 심사 시 문서 중심 평가에서 운영 중심 실태 평가로 전환되고 있으며, 일부 심사원은 무작위로 로그 기록, 장비 운영 내역, 외주 계약서 등을 확인하고 있습니다.

→ 즉, 단순히 ‘인증을 받기 위한 형식적인 준비’가 아니라, 실질적인 보안 운영 역량 강화가 없으면 앞으로는 인증 통과조차 어려워질 수 있습니다.

기업이 준비해야 할 대응 전략

해롤드 사건과 ISMS-P 개정 흐름을 고려할 때, 기업은 다음과 같은 준비가 필수적입니다.

  1. 협력업체까지 포함한 통합 보안 체계 구축
    • 협력사, 외주업체의 시스템 접근 권한 점검
    • 보안 수준 사전 평가 및 교육 포함 계약 체결
  2. 재해복구(Backup) 및 침해대응 시나리오 운영화
    • 주기적인 모의훈련 수행
    • 백업 데이터 무결성 점검
    • 복구 속도 및 운영환경 복원 테스트 필수
  3. 내부 모니터링 체계 고도화
    • SIEM, EDR, NDR 등 통합 보안 모니터링 시스템 도입
    • 실시간 위협 탐지 체계로 이상 징후 빠르게 대응
  4. ISMS-P 인증 준비 시, 최소 3개월 이상의 사전운영
    • 심사 당일만 준비하는 ‘서류 인증’은 퇴출
    • 최소 90일 이상의 실적 운영 데이터 필요 (로그, 교육 이력, 대응 훈련 등)
  5. 인식 개선과 전사적 참여
    • 정보보호는 IT 부서만의 문제가 아닌 경영진부터 전 직원까지 참여하는 문화가 필요
    • 특히 CEO 및 CISO의 책임성과 실질적 리더십 강조

해롤드 사건처럼 “아직 인증 안 받았으니 문제 없어”라는 인식은 이미 오래전에 유효하지 않습니다. ISMS-P는 더 이상 ‘선택사항’이 아니라, 기업 생존을 위한 기본 방어 체계가 되었습니다.

결론: 해킹은 ‘언젠가’가 아니라 ‘언제든’ 일어난다

해롤드 사건은 인증이 없어서가 아니라, 실질적인 보안 운영 부재가 만든 결과였습니다.
ISMS-P 인증 기준은 이제 단순히 절차적 요건이 아니라, 기업의 리스크 대응 역량을 측정하는 기준으로 진화하고 있습니다.
지금이야말로 모든 기업이 운영 중심의 보안 전략을 갖춰야 할 시점입니다.
해롤드 사례를 반면교사 삼아, ISMS-P를 형식이 아닌 실질로 준비하는 것이 해킹 예방의 첫걸음이 될 것입니다.

반응형

티스토리툴바