긴급 보안점검 공문, 왜 나왔고 어떻게 대비해야 할까?

최근 통신·금융 업계에서 해킹 사고가 이어지며 많은 기업들이

서비스 중단과 개인정보 유출 등 큰 피해를 겪었습니다.

특히 2025년 초 S통신사 가입자 정보 유출, K통신사와 L통신사 협력사 서버를 통한 고객정보 노출,

9월 L카드사의 대규모 개인정보 유출 사건은 사용자들의 불안감을 키웠습니다.

이런 상황에서 대한민국 과학기술정보통신부는

모든 CISO 신고 기업을 대상으로 긴급 보안점검 공문을 발송해 전사적인 점검을 요청했습니다.

이번 글에서는 공문 발송 배경과 요구사항, 그리고 각 항목에 맞는 준비 방법을 정리해 보겠습니다.

기업 대상 긴급 보안 점검 공문 발송 배경과 주요 일정

과기정통부가 공문을 보낸 직접적인 계기는 연속적인 해킹 사고였습니다.

정부는 이러한 위험이 다른 영역으로 확산되지 않도록 선제 조치가 필요하다고 판단했습니다.

이번 공문은 정보통신망법에 따라 CISO를 지정해 신고한 기업을 대상으로 하며, 

규모와 업종에 관계없이 약 3만 곳이 포함됩니다.

공문은 다음과 같이 수행 기한을 제시합니다.

1. 주요 정보통신기반시설·ISMS 인증 기업: 10월 31일까지
2. 상장사: 11월 30일까지
3. 기타 중소기업: 12월 31일까지

정해진 기한 안에 점검을 마치고 결과 보고서를 제출해야 하며,

과기정통부는 결과를 확인해 사후 심사에 반영한다고 밝혔습니다.

공문 발송은 경영진에게 보안의 중요성을 상기시키고, 기존의 보안 체계를 점검할 계기를 제공하는 의미도 있습니다.

또한 최근 다른 보안업체들이 배포하는 랜섬웨어 대응 가이드라인에서도

자산 실사와 백업 훈련의 필요성을 강조하고 있어, 

공문에 담긴 네 가지 항목이 국내외 공통 권장사항이라는 점을 알 수 있습니다.

​

CISO 공문이 요구하는 점검 항목

공문은 CEO 서명을 요구해 경영진의 책임을 명확히 하며,

다음과 같은 네 가지 점검 항목을 제시합니다.

• 전사 IT 자산 실사
• 인터넷 접점 식별
• 취약점 점검 및 개선
• 백업 전환 훈련

우리 회사도 이걸 점검할 수 있을까?

주요 정보통신기반시설 이나 상장사는 사내 전산팀이 이를 수행 가능하겠지만,

중소기업에게 전사적인 보안 점검은 부담스러운 작업일 수 있습니다.

전담 보안 인력이 부족하고, 장비가 여러 공급업체에 분산되어 있어 체계적인 관리가 어렵기 때문이죠.

창리정보통신 보안솔루션의 도움을 받아 초기 점검과 시스템 구축을 진행하고,

이후에는 자체적으로 꾸준한 관리 체계를 유지하는 것이 현실적인 방안입니다.

창리정보통신의 보안 컨설턴트와 내부 담당자가 협력해 자산 목록을 업데이트하고,

취약점 점검 결과를 토대로 개선 계획을 실행해 나가면

공문에서 요구하는 항목을 충족하는 동시에 실질적인 보안 수준도 향상될 것입니다.

또한 직원 대상의 보안 교육과 훈련을 정기적으로 진행해 보안 위협을 줄이는 것도 가능합니다.

창리정보통신의 항목별 공문 대응 방법

• 전사 IT 자산 실사 – 현장 실사와 자산 목록화

기업 내 자산을 정확히 파악하는 것이 첫걸음입니다.

창리정보통신의 유지보수 담당자가 직접 현장을 방문해 서버, PC, 네트워크 장비, IoT 기기 등

모든 자산을 실사하고, 누락 없이 자산 목록을 생성합니다.

이 과정에서 장비의 위치, 운영체제 버전, 설치된 소프트웨어, 사용 여부 등을 확인해 문서화합니다.

자산 목록이 정확할수록 이후 취약점 점검과 백업 대상 선정이 용이해집니다.

• 인터넷 접점 식별 – 네트워크 점검과 UTM 도입

창리정보통신의 네트워크 담당자가 전체 전산망을 점검해 외부로 노출된 서버와 포트를 식별하고,

UTM(차세대 방화벽)을 도입해 악성 트래픽과 취약점 공격을 사전에 차단할 수 있습니다.

이 과정은 단순히 장비를 설치하는 것에서 끝나지 않고,

방화벽과 스위치 로그를 분석해 이상 징후를 탐지하는 체계까지 마련합니다.

이러한 체계 구축을 통해 추후에도 실시간 관제를 통한 위협 감지가 가능하고

로그 분석을 통한 네트워크 유지보수 관리가 가능합니다.

• 취약점 점검 및 개선 – ISO27001 기준의 분석과 개선

창리정보통신의 ISO27001 심사원 자격을 보유한 전문가가 취약점을 분석하고 개선 방안을 제시합니다.

이를 통해 운영체제나 프로그램의 최신 보안 적용 여부, 불필요한 서비스 제거, 계정 및 권한 설정 상태 등

보편적 보안 가이드를 안내하고, 실제로 적용할 수 있는 범위 내에서 설정 변경과 보안 강화를 지원합니다.

이렇게 단계별로 개선 작업을 수행하면

공문에서 요구하는 ‘취약점 점검 및 개선’ 항목을 보다 현실적으로 만족시킬 수 있습니다.

• 백업 전환 훈련 – NAS 중심의 데이터 보호 시스템 구축

마지막으로, 데이터 백업 상태를 점검하고 복구 훈련을 실시해야 합니다.

창리정보통신은 복수의 NAS를 이용해 데이터 공유 및 백업 환경을 구축하고,

스냅샷 기능과 WORM(Write Once Read Many) 옵션을 적용해

랜섬웨어나 실수로 인한 데이터 변조를 방지합니다.

업무망과 분리된 2차 백업 NAS를 두어 실시간으로 데이터를 동기화하고,

정기 점검을 수행해 백업본이 제대로 작동하는지 확인합니다.

KISA가 권고하는 3-2-1 백업 원칙(백업본 3개, 다른 매체 2개, 오프라인 1개 저장)도 적용해

재해 상황에도 안전하게 데이터를 보호할 수 있습니다.

백업 장비의 상태를 주기적으로 확인하고 백업 로그를 검토하는 등 꾸준한 관리도

창리정보통신에서 도와드리고 있습니다.

점점 심화되는 보안 위협

이번 긴급 보안점검 공문은 단순한 행정 절차로 보일 수 있지만

최근 증가한 해킹 사고에 대응하기 위한 근본적인 예방책 마련이 목적입니다.

공문에 제시된 네 가지 항목을 중심으로 자산을 파악하고, 인터넷 접점을 식별하며,

취약점을 분석·개선하고, 백업 시스템을 강화하는 과정은 향후에도 반복해서 관리해야 합니다.

통합유지보수 전문기업 창리정보통신이 인력이 부족한 기업의 체계적인 보안 환경을 구축하고,

내부적으로는 자산 관리와 백업 관리까지 가능한 시스템을 구축해드립니다.

갑작스러운 공문에 당황하지 마시고 언제든 편하게 창리정보통신으로 문의주세요.

보안 전문가가 친절히 상담 도와드리겠습니다.

감사합니다.