[신년 인터뷰] 안종업 위드네트웍스 대표 "자산·취약점·이력 통합…보안 거버넌스 플랫폼 강화"

위드네트웍스는 2025년 한 해 withVTM(위드브이티엠) 3.0을 중심으로 안정적인 성장 흐름을 이어갔다고 밝혔다. 자산 가시성 확보와 취약점 통합 관리가 시장의 핵심 요구로 떠오르면서, 제품 방향성과 수요가 맞물린 점이 성장의 동력으로 작용했다고 설명했다.

가장 대표적인 성과로는 한국주택금융공사 정보보안포탈 구축 사업에서 withVTM 3.0을 수주한 사례를 꼽았다. 단순 취약점 스캐너가 아니라 자산·취약점·이력 정보를 통합 관리하고, 보안 거버넌스 체계를 구현하는 솔루션으로서 평가받았다는 것이다.

위드네트웍스는 2025년 국내 주요 보안 사고를 계기로 ‘자산 관리 미흡’과 ‘권한 통제 실패’가 보안 사각지대를 만들 수 있다는 인식이 확산됐다고 진단했다. 이에 따라 Shadow IT(숨겨진 자산) 기반 식별과 통합 인벤토리 기능에 대한 수요가 급증했고, 솔루션 매출 비중도 전년 대비 의미 있게 확대됐다고 밝혔다.

기술 측면에서는 네트워크 상 자산을 자동 식별하고, CVE와 자동 매핑한 뒤 CVSS·EPSS·KEV와 자산의 비즈니스 중요도를 종합해 VRS(Vulnerability Risk Score)로 우선순위를 제시하는 구조를 강조했다. 더 나아가 SIEM·SOAR와 연계해 “가장 위험한 것부터 체계적으로 대응하는” 자동화된 보안 거버넌스를 구현하는 아키텍처가 고객 호응을 얻었다고 밝혔다.

■위드네트웍스 안종업 대표 인터뷰

Q. 2025년 귀사 핵심 성과

2025년은 위드네트웍스가 withVTM 3.0을 중심으로 안정적인 성장을 이뤄낸 의미 있는 해였다. 특히 자산 가시성 확보와 취약점 통합 관리가 보안 시장의 핵심 요구사항으로 부상하면서, withVTM 3.0 솔루션의 방향성과 시장 니즈가 정확히 맞아떨어졌고 이것이 성장의 동력이 됐다고 봤다.

가장 대표적인 성과는 한국주택금융공사 정보보안포탈 구축 사업 내 withVTM 3.0 수주였다. 이는 단순한 취약점 스캐너가 아닌 자산·취약점·이력을 통합 관리하고 보안 거버넌스 체계를 구현할 수 있는 솔루션으로서 withVTM 3.0이 인정받은 사례였다고 설명했다.

또한 2025년 국내에서 발생한 주요 보안 사고들을 계기로 자산 관리 미흡과 권한 통제 실패가 보안 사각지대로 작용할 수 있다는 인식이 확산됐고, 이는 withVTM 3.0의 Shadow IT 기반 자산 식별과 통합 인벤토리 기능에 대한 시장 수요 급증으로 이어졌다고 밝혔다. 그 결과 전체 매출에서 솔루션 부문의 비중이 전년 대비 의미 있게 확대됐으며, 특히 금융·공공 분야에서의 레퍼런스 확보가 성장의 핵심 동력이 됐다고 했다.

Q. 2025년에 가장 의미 있었던 대표 레퍼런스와, 도입 고객이 선택한 결정적 이유는 

2025년 대표 레퍼런스로는 한국주택금융공사 정보보안포탈 구축 사업 내 withVTM 3.0 구축 사례가 있었다. 고객은 분산된 정보보안 업무를 통합하고 비효율적인 관리 프로세스를 자동화해 강화되는 보안 규제에 효과적으로 대응하기 위한 방안을 마련하고 있었다고 설명했다. 특히 수많은 IT 자산과 위협 중에서 실질적으로 중요한 위험 요소를 선별할 수 있는 기준과 체계를 수립하는 것이 최우선 과제였다고 했다.

withVTM 3.0은 네트워크상의 모든 IT 자산과 애플리케이션을 자동으로 식별해 관리자가 인지하지 못했던 Shadow IT까지 시각화하고 단일 데이터베이스로 통합했다고 밝혔다.

또한 식별된 자산 정보를 전 세계 보안 위협 정보(CVE)와 자동 매핑하고, CVSS·EPSS·KEV 등 다양한 취약점 지표와 자산의 비즈니스 중요도를 종합해 고유의 위험도 평가 지표인 VRS를 산출했다고 설명했다. 이를 통해 ‘가장 먼저 처리해야 할 위협’의 우선순위를 객관적·정량적으로 도출할 수 있었다고 했다.

아울러 상용 및 오픈소스 스캐너와의 유연한 연동으로 특정 벤더 종속성을 탈피하고, 감사 증적 자료의 디지털화와 보고서 자동 생성으로 컴플라이언스 대응 업무를 개선했다고 밝혔다. 결과적으로 한국주택금융공사는 “무엇을 먼저 보호해야 하는가”라는 질문에 대한 명확한 답을 얻고, 데이터 기반의 보안 의사결정 체계를 완성할 수 있었다고 말했다.

Q. 2025년에 출시/고도화한 제품·서비스 중 시장 반응이 컸던 제품과, 현장에서의 효과는 무엇이었나

2025년에 가장 시장 반응이 컸던 제품은 withVTM 3.0이었고, 그중에서도 Shadow IT 기반 자산 식별 기능에 대한 고객 반응이 가장 컸다고 밝혔다. 기존 고객사들은 자산을 엑셀이나 ITSM 기준으로 수작업 관리하는 경우가 많아 실제 운영 중인 자산의 정확한 개수와 상태를 파악하기 어렵다고 설명했다. 이러한 ‘가시성 부재’는 보안팀이 “무엇을 보호해야 하는가”라는 기본 질문에도 답하지 못하게 만드는 근본적 한계였다고 했다.

실제 사례로, 한 고객이 약 200여 개의 자산 정보를 전달한 환경에서 Shadow IT 스캔을 적용한 결과, 누락된 IP 자산을 추가로 발견하는 수준을 넘어 기존에 관리하던 자산의 역할·OS·서비스 정보가 실제와 다르게 관리되던 부분까지 식별할 수 있었다고 말했다.

withVTM 3.0은 각 자산의 운영체제, 설치 소프트웨어, 실행 중인 서비스, 오픈 포트까지 상세히 파악하고, 신규 장치 연결이나 구성 변경이 발생하면 이를 실시간 반영하는 ‘신뢰 가능한 자산 인벤토리’ 구축을 지원한다고 밝혔다. 또한 확보된 자산 정보를 TI 기반 CVE 데이터베이스와 실시간 연동해 자산 중요도와 실제 위협 수준을 종합 고려한 지능형 위험도 평가를 제공한다고 설명했다.

아울러 자산 식별 과정에서 취약점 점검까지 자동 연계해 수행한다고 했다. 자체 스캔 엔진(Agent/Agentless)뿐 아니라 고객이 사용 중인 국내외 외부 취약점 스캐너 결과도 통합 수집해 전사 자산의 취약점 현황과 위험도를 한눈에 파악할 수 있도록 했다고 말했다.

특히 2025년에는 withVTM 3.0을 SIEM·SOAR와 연계한 전사 보안 자동화 체계 구축 아키텍처가 고객 호응을 얻었다고 밝혔다. withVTM 3.0이 제공하는 자산 가시성과 우선순위 정보를 기존 보안 이벤트 대응 체계와 결합해 “가장 위험한 것부터 체계적으로 대응하는” 자동화된 보안 거버넌스를 완성할 수 있었다는 설명이었다.

Q. 2025년에 가장 큰 보안 위협 트렌드는 

2025년 보안 위협의 핵심 트렌드는 자산 관리 미흡과 내부자·권한 관리 문제였다고 진단했다. 고도화된 외부 해킹 기법보다 조직 내부의 기본 관리 체계 부재가 대규모 사고로 직결되는 양상이 두드러졌다고 했다.

대규모 조직일수록 실제 운영 자산과 접근 권한을 정확히 파악하지 못해 미식별 자산이나 과도한 권한이 보안 사각지대로 이어지는 사례가 지속됐다고 설명했다. SK텔레콤·KT 유심 정보 유출 이슈, LG유플러스 서버 해킹, KT 서버 침해 사고, 쿠팡 보안 사고 등을 언급하며, 외부 공격 기법보다 자산 관리 미흡과 접근 권한 통제 실패, 내부 관리 체계의 한계가 대규모 보안 사고로 이어질 수 있음을 보여준 사례라고 말했다.

또한 이들 조직이 보안 투자를 해왔음에도 자산 가시성과 권한 관리라는 근간이 흔들리면 방어선이 무너질 수 있다는 교훈을 남겼다고 덧붙였다. 이런 흐름 속에서 자산 관리, 내부자 권한 통제, 보안 거버넌스 강화를 중심으로 정부 정책과 규제가 논의·강화되며 2025년이 전환점이 됐다고 평가했다.

Q. 2025년 귀사 제품(서비스)에 AI 적용이 있었나. 있었다면 어디에 적용했고 성과는 무엇이었나

withVTM 3.0에는 AI 기술이 두 가지 핵심 영역에 본격 적용됐다고 밝혔다. 자산 스캐너(Shadow IT 식별)와 지능형 위험도 스코어링 영역이었다.

Shadow IT 스캔에서는 AI가 네트워크상 미식별 자산의 IP·OS·오픈 포트 정보를 분석해 기존 자산 관리 정보와 실제 운영 환경 간 차이를 자동 식별하는 데 활용됐다고 설명했다. 이를 통해 자산 현황의 정확도와 신뢰도를 높였다고 했다.

취약점 관리 영역에서는 AI가 CVSS·EPSS·KEV와 자산의 비즈니스 중요도를 종합 분석해 VRS를 자동 산출하는 지능형 스코어링 체계를 구축했다고 밝혔다. 그 결과 단순한 취약점 나열이 아니라 “지금 당장 처리해야 할 핵심 위협”의 우선순위를 명확히 제시하고, 보안 담당자가 한정된 자원으로 효과적인 대응을 수행할 수 있는 의사결정 체계를 완성했다고 말했다.

Q. 2026년 최우선 경영 과제 3가지는 

2026년은 위드네트웍스에게 ‘변화와 기회의 해’가 될 것이라고 말했다. 정부의 강력한 보안 정책 추진으로 자산 관리와 취약점 관리가 보안의 핵심 과제로 부상하면서 시장 패러다임이 변화하고 있고, withVTM 3.0의 성과를 바탕으로 도약을 준비하고 있다고 밝혔다.

첫째로 정부 보안 정책에 부합하는 표준 솔루션으로 도약하는 것을 제시했다. 2025년 10월 22일 범부처 정보보호 종합대책, 12월 10일 정보보호 공시 개정안 입법예고, 국가 망 보안체계 N2SF 가이드라인 공개 등 정책들이 공통적으로 IT 자산 식별과 취약점의 체계적 관리를 강조한다고 설명했다. 기존 취약점 스캐너는 일부 시스템에만 적용돼 전사 현황 파악에 한계가 있고, ITSM은 운영 관점 자산 관리는 가능하지만 보안 취약점과의 연계가 부족하다고 진단했다. 반면 withVTM 3.0은 자산 식별과 취약점 관리를 통합한 ‘보안 중심의 자산 관리 솔루션’으로서, Shadow IT를 포함한 전사 자산을 식별하고 취약점 점검을 자동 연계해 자산 내역과 취약점 정보를 통합 관리할 수 있다고 밝혔다.

둘째로 조달 등록을 통한 공공·엔터프라이즈 시장 저변 확대를 제시했다. 공공 부문에서는 조달청 등록으로 고객 접근성을 높이고, 보안 중심 자산·취약점 관리와 컴플라이언스 대응 체계 구축에서 신뢰받는 파트너로 자리매김하겠다고 밝혔다. 엔터프라이즈 시장에서는 대기업의 복잡한 IT 환경에 최적화된 통합 보안 관리 솔루션으로서 입지를 강화하겠다고 했다. 또한 SIEM·SOAR 운영 전문성과 withVTM 3.0의 시너지를 핵심 경쟁력으로 내세웠다. withVTM 3.0이 AI 기반으로 자산을 스캔해 자산 중요도와 VRS를 산출하면 이 정보가 SIEM 이벤트 분석과 결합되고, SOAR는 자산 중요도와 VRS 기반으로 우선순위 플레이북을 자동 실행해 데이터 기반 자동화 의사결정 체계로 전환할 수 있다고 설명했다.

또한 2026년 위협 노출 진단 서비스 신규 출시 계획도 밝혔다. 네트워크 단에서 OS 디텍트 및 취약점 점검 스캐너를 서비스 형태로 제공해 Shadow IT를 포함한 자산을 식별하고 CVE 기반 취약점과 CCE 수준의 설정 취약점을 스캔하며, 전문 컨설팅 리포트로 데이터 기반 보안 투자 의사결정을 지원하겠다고 말했다.

셋째로 아시아 시장을 중심으로 글로벌 진출 기반 구축을 제시했다. 국내에서 축적한 기술력과 성공 경험을 바탕으로 아시아 지역 파트너 협력, 글로벌 컨퍼런스 등 채널을 통해 해외 고객 접점을 확대하겠다고 밝혔다.

Q. 2026년 제품·기술 로드맵에서 가장 큰 변화는 

2026년에는 제로트러스트와 보안 AI를 핵심 집중 분야로 설정했다고 밝혔다. withVTM 3.0이 Shadow IT를 포함한 자산 식별과 가시성 확보로 제로트러스트 구현의 토대를 제공하고 있으며, 2026년에는 자산의 실시간 보안 상태와 취약점 정보를 반영해 ‘자산 중심의 제로트러스트’ 체계 구현에 집중하겠다고 말했다.

AI 기술도 2025년 자산 식별과 위험도 스코어링에서 성과를 거뒀다고 평가하며, 2026년에는 자산 중요도와 취약점 정보를 기반으로 위험도 분석과 대응 우선순위 도출을 더 고도화하는 방향으로 적용 범위를 확대하겠다고 했다.

Q. 2026년에 가장 우려되는 보안 위협은 

2026년에 가장 우려되는 위협은 자산 가시성 부족과 내부 권한 관리 미흡으로 인한 침해 위험 확대라고 밝혔다. 클라우드, 컨테이너, 원격 근무 등으로 IT 환경이 복잡해질수록 미식별 자산이나 과도한 권한이 보안 사각지대로 작용할 가능성이 높아진다고 설명했다.

2025년 SK텔레콤·KT 유심 정보 유출, LG유플러스 서버 해킹, KT 서버 침해 사고, 쿠팡 보안 사고 등을 언급하며, 고도화된 외부 공격보다 내부의 자산 관리 미흡과 권한 통제 실패가 대형 사고로 이어질 수 있음을 보여줬다고 했다. 정부가 2025년 10월 22일 범부처 정보보호 종합대책, 12월 10일 정보보호 공시 개정안 입법예고, N2SF 가이드라인 공개 등 정책을 연이어 발표했고, 핵심 메시지는 “IT 자산을 정확히 식별하고 그 자산의 취약점을 체계적으로 관리하라”는 것이라고 말했다.

이에 따라 기업과 기관은 개별 솔루션 도입을 넘어 자산·권한·이력 중심 관리 체계를 선제적으로 구축해야 하며, 자산을 단순 목록화하는 수준이 아니라 보안 중심으로 각 자산의 취약점, 노출 위협, 비즈니스 영향을 종합 파악해 우선순위 기반 의사결정을 할 수 있어야 한다고 강조했다.

또한 withVTM 3.0이 Shadow IT를 포함한 자산 식별, AI 기반 위험도 평가, 정책이 요구하는 증적 관리까지 통합 제공한다고 설명했다. 더불어 솔루션 도입 전 공격 표면을 먼저 확인하려는 수요를 위해 2026년부터 위협 노출 진단 서비스를 제공해 외부 노출 자산과 CVE/CCE 기반 취약점을 신속히 파악하고 공격 표면을 최소화하도록 지원하겠다고 밝혔다.

데일리시큐