‘중소기업 멀티 인증체계 유지 전략’ 주제로 PIS FAIR 2024에서 강연
스푼라디오 김태열 CISO “회사 상황에 맞게 프로세스 구축하고, 소통이 중요해”

[보안뉴스 박은주 기자] 한정된 자원을 가지고 사업을 이끌어가는 스타트업·중소기업이 개인정보를 보호할 수 있는 효과적인 방법으로 ‘보안 인증’이 제시됐다. 인증체계를 구축하면서 개인정보보호 조항과 항목에 따라 보안을 유지할 수 있고, 개인정보보호 과정을 체계화할 수 있기 때문이다.


PIS FAIR 2024에서 인력이 적은 보안팀이 인증 획득을 통해 개인정보보호 체계를 유지할 수 있는 전략을 공유하는 시간이 마련됐다. 오디오 라이브 방송 플랫폼 ‘스푼라디오’의 김태열 CISO가 ‘중소기업 멀티 인증체계 유지 전략’을 주제로 강연을 진행하며 “인증은 적은 인력으로 최대의 효과를 낼 수 있는 보안 방법”이라며 “인증 과정에 개인정보보호 과정이 녹아들어 있다”고 설명했다.

김 CISO는 스푼라디오에서 인증을 필요로 했던 배경과 함께 획득한 인증에 대한 설명을 이어갔다. 스푼라디오는 정보통신망법 47조 2항에 따라 인증을 획득해야 하는 법정의무 대상자였다. 일본 등 해외 매출액 비중이 전체 60% 이상을 차지하며 해외 서비스 확장을 위해 국제 인증을 고려했다. 제공하는 모든 서비스가 클라우드 기반이라 클라우드 관련 인증도 필요한 상황이었다. 김 CISO는 “우리 회사에 필요한 인증이 무엇인지 확인하고 선택해야 한다”고 설명했다. 더불어 “당시 전임자가 만들어놓은 인증체계를 유지하고 확장하기로 했고, (저 포함) 3명의 정보보호 팀원이 업무를 수행했다”고 말했다.

스푼라디오는 △CBPR(Cross Border Privacy Rule) △ISMS-P(정보보호 및 개인정보보호 관리체계 인증) △ISO 27001(정보보안경영시스템 인증) △ISO 27017·ISO 27018(클라우드 서비스 정보보호 인증) 총 5개 인증을 획득했다.

이 가운데 CBPR는 국경 간 프라이버시 보호 규칙으로 2011년 APEC이 전자상거래의 활성화와 회원국 간 안전한 개인정보의 상호 이전을 위해 개발된 인증이다. 한국에서는 개인정보보호위원회와 한국인터넷진흥원이 공동으로 운영하고 있다.

김태열 CISO는 “최고경영자가 보안을 어떻게 생각하는지에 따라 보안팀 향방이 결정된다”며 “인증을 획득하는 과정에서 최고경영자의 지원과 후원이 필수적”이라고 설명했다. 이후 인증체계를 유지하고 운영하는 것은 ‘사람’이라고 강조하며 “업무를 진행할 때 소통이 중요하다”고 강조했다. 끝으로 김 CISO는 “개인정보보호, 정보보호에 정답이 있는 것은 아니며, 회사 상황에 맞게 프로세스를 구축하고, 안전을 유지하는 것이 우선시돼야 한다”고 말했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>