웹 취약점 점검은 더 이상 선택이 아닌 법적 의무입니다. 이번 글에서는 정보통신기반보호법부터 전자금융감독규정까지 법적 기준을 정리하고, 웹 취약점 분석 자동화 도구를 통한 효율적인 점검 방법을 소개합니다.
■ 웹 취약점 점검, 왜 정기적으로 해야할까요?
2025년, 과학기술정보통신부와 한국인터넷진흥원(KISA)이 함께 실시한 상반기 사이버 위기 대응 모의훈련에 따르면 42개 기업 홈페이지에서 총 140개의 취약점(평균 3.3개)이 발견됐다고 합니다! 홈페이지의 취약점은 해킹으로 연결될 수 있기에 주의가 필요해요. 또한 과학기술정보통신부에 따르면 최근 국내에서 지속적으로 발생한 해킹 사태를 계기로 이번 훈련에선 최초 침입 경로가 되는 취약 지점을 사전에 발견하고 조치할 수 있는 방식을 사용했다고 합니다. 앞으로 웹 취약점 점검을 통해 해킹 위협을 선제적으로 예방하는 것이 더욱 중요해질 것으로 보여요!
■ 웹 취약점 점검은 선택이 아닌 의무!
☑️ 정보통신기반보호법
정보통신기반보호법에 따르면 주요통신기반시설을 운영하는 기업은 웹 취약점을 정기적으로 분석 및 평가하고, 필요한 보완 조치를 취해야 하며, 연 1회 이상 점검할 것을 안내하고 있습니다.
|
제17조(취약점 분석ㆍ평가의 시기) ①관리기관의 장은 소관 정보통신기반시설이 주요정보통신기반시설로 지정된 때에는 지정 후 6월 이내에 법 제9조제1항의 규정에 의한 취약점의 분석ㆍ평가를 실시하여야 한다. 다만, 관리기관의 장은 소관 주요정보통신기반시설 지정 후 6월 이내에 동 시설에 대한 취약점의 분석ㆍ평가를 시행하지 못할 특별한 사유가 있다고 판단되는 경우에는 관할 중앙행정기관의 장의 승인을 얻어 지정 후 9월 이내에 이를 실시하여야 한다. ②관리기관의 장은 제1항에 따라 소관 주요정보통신기반시설이 지정된 후 당해 주요정보통신기반시설에 대한 최초의 취약점 분석ㆍ평가를 한 후에는 매년 취약점의 분석ㆍ평가를 실시한다. 다만, 소관 주요정보통신기반시설에 중대한 변화가 발생하였거나 관리기관의 장이 취약점 분석ㆍ평가가 필요하다고 판단하는 경우에는 1년이 되지 아니한 때에도 취약점의 분석ㆍ평가를 실시할 수 있다. <개정 2012. 5. 23.> ③ 관리기관의 장은 법 제9조제2항에 따라 중앙행정기관의 장으로부터 주요정보통신기반시설의 취약점을 분석ㆍ평가하도록 명령을 받은 경우에는 그 명령을 받은 날부터 6개월 이내에 해당 시설의 취약점 분석ㆍ평가를 실시해야 한다. <신설 2021. 3. 9.> |
☑️ 전자금융감독규정
전자금융감독규정에 따르면 전자금융거래를 지원하는 홈페이지는 6개월에 1회 이상의 웹 취약점을 점검할 것을 의무화하고 있습니다.
이처럼 주요정보통신기반시설, 전자금융기반시설 또는 개인정보를 처리하는 기업에서는 정기적으로 웹 취약점 점검을 수행해 웹 해킹 위협에 노출되는 것을 방지할 의무가 있습니다.
■ 웹 취약점 점검의 현실은 어떤가요?
기업 및 기관들은 다양한 웹 서비스와 페이지를 운영하고 있습니다. 대민 서비스 홈페이지, 관리자 페이지, 내부 업무망 등 점검 대상 웹 페이지는 계속해서 증가하고 있어요. 여기에 더해 게시물 등록, 예약, 결제 등 웹에서 제공하는 기능도 복잡해지고 있습니다. 그에 비해, 점검 인력은 한정되어 있어 일일이 수동으로 전체 페이지와 서비스를 점검하는 데에는 한계가 있습니다.
또한, 웹 취약점 점검 이후 다수의 취약점이 발견되면, 이 중 어떤 이슈가 가장 위험한 취약점인지 판단하고 조치하는 데 많은 시간이 소요됩니다.
■ 보다 성공적인 웹 취약점 점검을 위하여



1. 뉴시스 / 정부, SKT 해킹사태 계기 취약점 탐지 훈련 개편…”외부 침투 경로 점검” / https://www.newsis.com/view/NISX20250618_0003217317
