탄탄한 보안 능력은 기본! ISMS-P 인증 도전기

지난 7월, 비누팀이 정보보호 및 개인정보보호 관리 체계 인증(Personal information & Information Security Management System, ISMS-P)을 획득했습니다. 대학생활 플랫폼 에브리타임과 캠퍼스픽, 대학백과는 물론, Z세대 전문 커머스플랫폼 에브리유니즈까지 자사의 모든 서비스에 대한 인증을 마쳤습니다.

ISMS-P는 한국인터넷진흥원(KISA)에서 운영하는 국내 최고 권위의 정보보호 관리체계 인증 제도입니다. 정보보호 조직 구성부터 인력 · 시설물 관리, 고객의 개인정보 처리와 관련된 분야까지 정보통신망법과 개인정보보호법에 의거하여 총 101개 인증 기준에 대해 적합성 심사를 통과해야지만 비로소 인증을 받을 수 있는데요.

개발팀, 운영팀, 경영지원실 등 많은 유관부서와 협력하며 오랜 시간 동안 노력한 정보보안팀과 이야기를 나누며 ISMS-P 인증의 중요성과 준비 과정, 향후 계획 등을 자세히 알아보겠습니다.

반갑습니다! 팀소개 부탁드립니다.

안녕하세요. 저희 정보보안팀은 이용자의 개인정보와 회사의 중요정보를 보호하기 위해 노력하고 있어요. 보안 정책수립, 침해사고 대응, 취약점 분석, 모의해킹, 보안 솔루션 구축 및 운영, 보안교육 등 다양한 업무를 수행하고 있습니다. 쉽게 설명하자면 비누팀이라는 집의 보물을 지키기 위해 가훈과 규율을 정하고 울타리를 점검하며 창문도 잠그는 일을 해요. 또 도어록과 CCTV를 설치하고 대문 앞에서 경비도 서는 등 더 안전한 비누팀을 위한 일들을 하고 있어요.

정보보안을 위해 많은 일을 하고 계시네요👀 ISMS-P 인증을 추진하게 된 배경이 궁금해요.

비누팀이 제공하는 서비스의 기능이 확장되고, 사업 범위가 확대됨에 따라 내부적으로 정보보호 관리체계 수립해야 할 시기라고 판단했습니다. 특히, 당사의 서비스를 이용하는 이용자의 개인정보를 안전하게 보호하기 위해 개인정보보호 관리체계 영역까지 신청하여 ISMS-P 인증을 추진했습니다.

개인정보보호 관리체계 영역까지 신청한다는 것은, 어떤 의미인가요?

정보보호부터 당사가 제공하는 서비스의 개인정보 흐름을 파악하여 개인정보의 수집, 저장, 처리, 전송, 파기까지 모든 과정을 안전하게 관리하는 체계를 구축한다는 의미입니다. 이를 통해 이용자들의 개인정보를 더욱 철저히 보호하고, 관련 법규를 준수하기 위한 종합적인 관리 체계를 마련할 수 있죠.

ISMS-P 인증의 중요성과 상징하는 바가 무엇인가요?

한국인터넷진흥원(KISA)은 국가가 공인하는 기관입니다. 공신력 있는 기관으로부터 당사의 서비스가 안전하고 체계적으로 관리되고 있다는 것을 인증 받았기 때문에 신뢰할 수 있습니다. 특히, 인증 기준에는 ‘경영진의 참여’라는 항목이 포함되어 있는데요. 이를 통해 당사의 경영진이 정보보호 및 개인정보보호에 관심을 가지고 의사결정에 직접 참여함으로써, 이 분야에 주안점을 두고 있다는 점을 확인할 수 있습니다. 개인정보 영역에서도 주요 정보자산과 고객의 개인정보를 안전하게 관리하고 있다는 것을 깐깐한 심사 과정을 통해 인정 받은 셈입니다. 즉, ISMS-P 인증은 당사가 정보보호와 개인정보보호에 있어 높은 기준을 준수하고 있으며, 경영진부터 실무진까지 모두가 이러한 노력을 기울이고 있음을 의미합니다.

ISMS-P 인증을 준비하면서 가장 중점을 둔 부분은 무엇인가요?

페이퍼리스를 통해 업무 효율성을 높이고자 많은 노력을 기울였습니다. 인증심사는 총 101개의 통제항목과 328개의 점검항목에 대해 심사원이 모든 항목을 빠짐없이 확인하는 작업으로 이루어집니다. 이를 위해 각 항목에 맞는 증거 자료를 제출해야 합니다. 심사원 수에 맞춰 항목 별 서류를 출력해야 하는데, 이는 자원 낭비로 이어지기 때문에 고민이 많았습니다. 고민 끝에 이번 준비 과정에서는 운영명세서와 모든 증적을 Notion을 통해 디지털화하고 심사원에게는 노트북을 지급해 종이 사용량을 줄일 수 있었습니다. 심사를 마친 후 심사원이 코멘트를 남겨주시기도 했어요. 노션을 통해 저희 팀과 실시간으로 소통 할 수 있어서 보다 원활한 심사가 가능했다는 내용이었죠.

환경도 지키고, 업무 효율성도 높여 두 마리 토끼를 잡았네요. 디지털화로 인해 보안에 더 신경 쓴 부분이 있나요?

정보보안의 기본 3원칙을 지키고자 노력했습니다. 노션은 페이지 별로 접근 권한을 부여할 수 있기 때문에 저희 팀만 액세스가 가능한 팀 스페이스에 모든 자료가 담긴 메인 데이터베이스를 만들어 기밀성을 유지했습니다. 인증 심사를 준비할 때는 유관부서와, 심사 중에는 심사원들과 내용을 공유할 때 중요한 내용이 변경되거나 삭제되지 않도록 했습니다. 접근 권한 외에 읽기, 댓글, 공유, 편집 등 세부적인 권한을 설정해 무결성을 보장했습니다.

또한, 데이터베이스의 관계형 속성을 통해 여러 데이터베이스들을 연결하여 많은 데이터들 속에서도 필요한 정보를 빠르게 확인할 수 있게 함으로써 가용성도 놓치지 않도록 했습니다.

많은 항목을 심사 받는 과정이 순탄하지 않았을 것 같습니다. 힘들었던 점이 있었나요?

ISMS-P 인증심사는 범위도 넓고 통제항목도 많아서 대부분의 기업들은 컨설팅을 통해 준비합니다. 하지만 저희는 비누랩스와 유니브스토어, 두 개의 법인 모두 자력으로 준비했기 때문에 많은 시간이 필요했습니다. 특히 최초 심사라 수백 개의 증적을 하나하나 만들어야 했는데, 만만치 않더군요. 그래도 결국 이렇게 인증을 취득하니 정말 큰 보람을 느낍니다. 그 동안의 준비 과정이 주마등처럼 지나가기도 하고요.

인증 절차와 단계는 어떻게 되나요?

인증 심사는 준비, 심사, 인증까지 세 단계로 나눌 수 있습니다. 첫 번째 단계는 말 그대로 심사를 받기 전 인증을 받기 위해 자체적으로 준비하는 기간입니다. 정보보호 및 개인정보보호 관리체계를 구축하여 운영하죠. 회사의 보안 정책을 수립하고 업무에 필요한 절차를 마련하고, 각종 훈련과 교육을 진행하는 등 다양한 업무를 합니다. 꼼꼼하게 ISMS를 구축하다 보니 1년이라는 시간이 훌쩍 지나가 있었습니다. 그리고 내부적으로 준비가 완료되면, 신청 양식에 자사의 정보보호 및 개인정보보호 운영 현황을 작성하여 인증 심사를 신청합니다.

두 번째는 심사 단계입니다. 제출한 신청서를 바탕으로 심사기관에서 심사 팀장을 배정하고, 팀을 구성해 회사로 방문해 심사를 진행합니다. 첫 인증 심사의 경우에는 5~6명의 심사원으로 구성되고, 약 7일 간의 일정으로 진행됩니다. 심사를 통해 도출된 결함사항을 전달 받으면 보완 조치를 해야 합니다. 심사팀장이 직접 재방문해 조치 이행 여부를 점검하기 때문이죠. 이후 심사 결과 보고서를 작성하고 제출하면 인증위원회 심의를 통해 인증서를 발급 받을 수 있습니다.

인증 절차가 꽤나 까다롭고, 소요 기간도 긴 편이지만 꼼꼼하게 모든 항목을 준비해야하고 점검을 통해 보완까지 하기 때문에 더욱 공신력 있는 인증제도라고 할 수 있습니다.

이번 인증을 위해 구현한 보안 조치들이 있다면 소개해주세요.

먼저 회사의 근간이라고 할 수 있는 정보보안 규정을 수립했습니다. 수립한 규정을 바탕으로 각종 절차서와 가이드를 만들었고, 이후 정보보호 시스템을 본격적으로 구축했습니다. Network Access Control(NAC), 방화벽, 백신 등 기본적인 엔드포인트 보안 솔루션뿐만 아니라, Amazon Web Services(AWS) 환경에서의 보안 그룹(Security Group, SG), Identity and Access Management(IAM) 권한을 세분화하고 웹 애플리케이션 방화벽(Web Application Firewall, WAF) 등을 구성했습니다. 이는 ISMS-P 인증을 받기 위해서뿐만 아니라 정보 보호를 위해 필요한 조치라고 판단되어 우선적으로 진행한 것입니다. 그 다음으로는 취약점 점검, 재해 복구 훈련, 위험 평가, 개인정보 보호 교육 등의 활동을 추가로 시행했습니다 .

정보보안팀이 해야 할 일도 많고, 역할도 참 다양했겠어요. 주요 역할을 꼽는다면 무엇일까요?

정보보안팀은 ISMS-P 인증을 주도하며, 다양한 유관 부서와 협력하여 원활한 진행을 도왔습니다. 개발팀, 운영팀, 총무팀, 인사팀 등과의 협업을 통해 필요한 기준을 충족하도록 지원했고, 임직원들에게 인증 제도에 대해 충분히 설명하고 교육을 실시하여 심사 준비 과정에 적극적으로 참여하도록 유도했습니다.

또한, 문서화 작업과 절차 정립을 주도하고, 정보보안 리스크를 체계적으로 관리했습니다. 심사 과정에서 발생하는 요구사항에 대응하고 심사원들과의 커뮤니케이션을 주도해 인증을 획득하는 데에 기여했다고 생각합니다.

ISMS-P 인증 획득 이후에는 유지를 위한 노력이 지속적으로 필요하다고 들었어요. 관련해 향후 계획을 말씀해주세요.

비누팀은 사업을 확대하며 지속적으로 성장하고 있는 만큼, 서비스 출시 등 회사의 변화에 맞춰 인증 범위를 확대해 나가려고 합니다. 오직 심사만을 위한 조치가 아닌, 비누팀의 보안 수준을 단계 별로 향상시키고 보완하는 것을 목표로 하고 있습니다.

마지막 질문입니다! 비누팀의 보안 수준을 높이기 위해 어떤 구체적인 노력이 있었을까요?

현재 다각적인 노력을 기울이고 있는데요. 먼저, 월간 보안 운영 보고서를 작성하여 보안 운영 현황을 정기적으로 점검하는 시간을 가지고 있고, 자체적으로 모의해킹 및 취약점 진단을 수행하여 시스템을 보호하고 있습니다. 또한 임직원들의 보안 인식 수준을 제고하기 위해 정기적인 교육 프로그램을 진행하고 있습니다. 개정되는 법규 현황을 지속적으로 모니터링하는 일도 빠질 수 없는데요. 이를 통해 법적 리스크를 최소화할 수 있기 때문이죠. 마지막으로 급변하는 IT 기술에 맞춰 새로운 보안 솔루션을 적극 검토하고, 특히 해외 사업 진출을 위해 글로벌 수준의 보안 표준을 준수하기 위해 노력하고 있습니다.

정보보안팀과의 인터뷰 내내 700만 명이 넘는 에브리타임 사용자의 소중한 개인 정보를 보호하기 위해 최선을 다하는 모습이 인상적이었습니다. 회사와 서비스의 규모가 커지면서 정보보안팀의 책임이 더 무거워졌지만, 이러한 노력이 있었기에 지금까지 정보 누출 사고 없이 사용자가 안정적으로 서비스를 이용할 수 있었다는 생각이 듭니다. ISMS-P 인증을 획득한 이후에도 보안 수준을 높이기 위해 지속적으로 힘쓰는 정보보안팀 덕분에 비누팀은 앞으로도 사용자에게 안전한 서비스를 제공할 것입니다.