당신의 보안, 안녕하신가요?
- Nota Team Blog
- 2024년 2월 16일
- 5분 분량
넘치는 정보란 말은 규모가 커진다는 말도 되지만 그만큼 보호하고 관리해야 할 것이 늘어난다는 이야기이기도 합니다. 내가 가진 자산을 안전하게 활용할 수 있도록 말이죠. 비밀번호를 주기적으로 바꾸고, 의심스러운 로그인 시도를 느끼면 바로 달려가 확인합니다. 그리고 이러한 일이 없도록 인증 절차를 늘려 보안을 강화하기도 하죠.

수많은 정보를 다루는 회사의 경우도 예외는 아닙니다. 특히 IT 기업이라면 정보보호의 중요성에 대해 많이 들어보셨을 겁니다. 그래서 노타도 인공지능을 활용하는 IT 기업인 만큼, 우리와 고객의 정보를 어떻게 보호하고 있는 방법 중에 어디선가 본 적은 있지만 뭔지는 잘 몰랐던 ISO27001이라는 인증 방식에 대해 알게 되었습니다. 아니, 27000도 아니고 271000도 아닌 반올림하고 싶은 마음이 가득 들게 하는 27001이라는 숫자는 또 뭔가요? 그래서 만나보았습니다. 저에게 ISO27001에 관한 궁금증을 풀어줄 3인을 말이죠.
Infra 팀의 신현호 님과 ILC(IP/Legal/Compliance) 팀의 정하윤, 이수나 님을 만나보았습니다.
우선 죄송합니다. 제가 ‘뭔지는 잘 몰랐던 ISO27001이라는 인증 방식’이라고 표현했습니다.
하지만 솔직하게 여쭤볼게요. ISO27001은 무엇인가요?
하윤) ISO 27001은 국제 표준 기구(ISO)에서 개발한 정보 보안 관리 시스템(ISMS)에 대한 국제 표준입니다. ISO 27001은 조직이 정보 자산을 효과적으로 관리하고 보호하기 위한 표준적인 프레임워크를 제공합니다. 이 표준은 정보 보안에 대한 종합적이고 구조화된 접근을 촉진하며, 조직이 정보 보안 위험을 식별, 관리, 제어하고 지속적인 개선을 수행할 수 있도록 돕는 장치라고 표현할 수 있어요.
조금 더 쉽게 설명한다면?
현호) 간단히 말하면 해외로 여행이나 출장을 갈 때 필요한 ‘비자’와 비슷한 맥락이라고 생각하시면 됩니다. 비자가 발급되고 나면 이 사람은 믿을 수 있구나! 하고 입국이 되는 것처럼 많은 준비와 심사를 거쳐 특정 기준을 만족하면 비자를 발급받을 수 있죠.
ISO27001 인증을 받았다면 정보보호 관리 체계에 있어 특정 기준을 충족했다는 것을 바로 증명할 수 있죠. 한 가지 더, 비자와 정보보호 인증이 유사한 점은 한 번 받았다고 해서 무기한이 아니라 만료 기간이 있고 갱신이 필요하다는 점도 있겠네요.

회사가 이미 미리 심사 기관을 통해 인증을 받아두면,
정보보안 증명을 위해 필요한 다양한 문서와 절차를 간소화할 수 있네요?
하윤) 맞아요. 현재 사업부와 진행되는 방식에 대해 예시를 들자면 과기부나 시, 도에서 주관하는 데이터 바우처나 AI 바우처를 지원하려면 우리 회사의 정보보안에 관한 다양한 서류 작성을 요청했어요. 인증이 없었다면 위에서 먼저 말씀드렸듯이 회사의 정보, 클라우드 관리 방안, 데이터 보호 방식 등 수많은 자료를 각각 소명해야 했죠. 마치 비자가 없다면 복잡한 절차, 본인 신원 증명 같은 여러 과정이 필요한 것처럼요.
이제는 자료준비에 관한 리소스를 전사적으로 줄일 수 있고 특히 비즈니스 파트에 속한 분들이 이번 인증과 함께 더 많은 공공 입찰이나 사업을 진행하는 데 도움이 되실 거라 생각해요.
한 가지 궁금한게 더 있습니다.
왜 하필 27000도 아니고 271000도 아니고 애매한 숫자인 27001 인가요?
현호) 그건 말이죠 ISO 27001이 ISO/IEC 27000 Family에 속해있기 때문이에요. ISO 27000 Family는 정보보안을 위한 국제 표준으로 정보보호 및 정보보안 관리 체계를 구축하기 위해 필요한 가이드라인입니다. 이 가이드라인은 국제 표준화 기구(ISO: International Organization for Standardization)에서 제정되었고 ISO 27001/2/3 등 다양한 숫자를 가지고 있어요.

결국 ISO27001 인증은 ISO 27000 Family의 일부이고 ‘우리가 가진 정보를 잘 보호하고 관리하고 있다’는 인증인 거네요.
하윤) 맞아요. 정보보안은 곧 개인정보보호와 직결되는 문제죠. 특히 개인정보 데이터를 활용하는 인공지능을 만들 때는 결국 사람의 손길이 닿는 부분이다 보니 직원 모두가 본인이 다루는 정보의 중요성을 인지하고 개발에 임하는 것이 핵심인데요. 우리가 다루는 개인정보가 자의/타의로 회사 밖으로 유출되거나 노출이 되는 일을 촘촘한 시스템을 통해 방지하죠.
이번 인증 취득이 노타의 정보보호에 대한 신뢰성에 지대한 영향을 미칠 것이라고 예상하는데요,
혹시 동의하시나요?
하윤) 네, 맞습니다. 노타에서 의미하는 보안 강화는 ‘얼마나 예방이 잘 되고 있는지’와 ‘문제가 발생할 경우 얼마나 빠르게 대응하는지’의 두 가지 포인트를 중심으로 관리되고 있습니다. 앞서 말씀드렸듯이 노타의 솔루션은 개인정보를 다루는 데이터를 대부분 사용하기 때문에 이 두 가지를 중심으로 우리 회사의 기술에 대한 신뢰도 형성이 된다고 생각해요. 침입에 대한 예방과 함께 혹시라도 유출 사고 등의 보안 이슈가 발생하더라도 신속대응팀이 구성되어 있어 빠르게 대응하여 피해를 최소화할 수 있다는 것이니까요.
그런데 왜 ISO27001이라는 인증 방식을 택하셨나요?
하윤) 우선 노타는 글로벌 시장도 대상으로 하고 있기 때문에 국제적인 인증을 받는 방법을 선택하려고 했어요. ISO27001은 조직 통제, 인적 통제, 물리적 통제, 기술적 통제 등 정보보호 관리 영역별 93개 세부 항목에 대한 요구사항을 모두 만족하고 인증기관의 엄격한 심사와 검증을 통과해야 해요.
💡 [토막상식 by 수나] ISO27001 인증을 위해 필요한 네 가지 카테고리!
1️⃣ 조직 통제 (Organizational controls)
우리 조직 내에서 정보보호 활동을 어떻게 수행하고 있는지 확인합니다.
(정보보호 정책 수립, 역할과 책임 할당, 사고 관리 계획 등이 포함)
2️⃣ 인적 통제 (People controls)
우리 조직 구성원들이 정보보호 규정을 이해하고 준수하는지를 확인합니다.
(정보보호 담당자의 자격 검토, 정보보호 서약서 작성, 정보보호 인식 교육 등이 포함)
3️⃣ 물리적 통제 (Physical controls)
우리 조직의 물리적인 시설과 장비가 정보보호 요구사항을 충족시키는지 확인합니다.
(출입문 CCTV 설치, 서버실 출입 제한 장치 설치, 비상 대응 장치 구비 등이 포함)
4️⃣ 기술적 통제 (Technological controls)
우리 조직의 시스템과 기술적 조치가 정보보호를 위해 안전하게 운영되고 있는지 확인합니다.
(서버 보안 취약점 점검, 데이터 백업 수행, 보안 솔루션 및 방화벽 구성 확인 등이 포함)
와우, 93개 항목이라니!
수나) 꽤 많죠? 사실 국내 IT 스타트업에서는 많이 획득하지 못하고 있는 인증이기도 하고 대부분 대기업이나 아주 큰 규모의 사업을 하는 회사들이 많이 가지고 있죠.
노타가 IT 스타트업임에도 불구하고 이렇게 까다로운 인증 획득을 고려한 이유는 무엇이었나요?
수나) 노타는 국내뿐만 아니라 해외 시장에서도 인지도를 쌓아 올려 나가고 있어요. 미국과 독일에 법인을 운영 중이기도 하고 NVIDIA, arm 등과 같은 글로벌기업과의 파트너십이나 비즈니스를 위해 선제적으로 준비해야 한다고 생각했죠. 더 나아가 국내에는 ISMS 같은 국내용 필수 인증도 있지만, 해외 시장을 위한 글로벌 인증을 다시 취득해야 합니다. 그리고 ISO는 국제 표준이기 때문에 전 세계 어느 곳에서도 통용되죠.
이번 ISO27001 인증 획득이 노타의 사업부에 큰 도움이 될 것 같아요.
사업부별 어떤 부분에서 도움이 될 것이라 생각하시나요?
하윤) 넷츠프레소 사업부 먼저 말씀드릴게요. 노타의 플랫폼에 경량화하고자 하는 AI 모델을 올리는 순간부터 정보보호의 의무가 시작됩니다. 고객사 소유의 데이터는 물론 아직 외부로 배포하지 않은 AI 모델에 관한 정보를 담고 있는 경우도 있을 수 있기 때문에 모든 단계에서 회사 내부 직원부터 외부까지 모든 단계에서 고객사 정보 및 영업 비밀 유출의 가능성이 있다는 것을 인지하고 철저한 정보보안 프로세스를 적용합니다.
또한, 노타 DMS 솔루션과 ITS 솔루션 역시 운전자의 데이터, 보행자 및 차량 정보가 포함된 데이터 등 개인정보가 포함된 데이터로 학습되고 있어 직결되는 부분입니다.

듣기만 해도 어마어마한 준비기간이 필요했을 것 같은데요?
노타에서 이렇게 광범위한 영역을 점검하고 없는 부분을 새로 만드는 것이 힘들진 않으셨나요?
수나) 노타는 이미 유럽의 개인정보 보호법인 GDPR(General Data Protection Regulation)에 대응하고 있었기 때문에 위에서 명시한 대부분의 보안 조치를 내부에서 선행하고 있었어요. AI 모델을 주요기술로 하는 기업의 경우, 인공지능 모델 학습에 필요한 개인정보를 포함하는 학습 데이터 관리가 주요한 사항이기도 해서 노타는 자연스럽게 일정 수준 이상의 정보보안에 관한 인식이 심어져 있던 것이죠. 물론 그렇다고 바로 인증 획득을 신청했던 것은 아니고 하반기 내내 팀원들과 열심히 인증 규정에 맞게 자료들을 정리하여 이번 TF가 단합하여 집중한 덕에 비교적 짧은 시간에 인증을 획득할 수 있었습니다.

이번 경험으로 느낀 점이 있다면 이야기해 주세요.
현호) 저는 회사 내부의 정보보안에 대한 의식이 높아진 것 같다 고생 생각해요. 회사 내부에서 정보보안에 대한 관심과 참여가 높아졌다는 것을 목격하기도 했고, 이러한 의식이 더 확산하면서 전사적으로 정보보안에 대한 책임을 공유하고 향상하는 데에 큰 도움이 될 것으로 기대됩니다.
하윤) 노타의 모든 인원이 정보보안에 대한 중요성을 인지하고 나름대로 실천하고 계셨다는 부분을 크게 시사해요. R&D에 계신 분들뿐만 아니라 non R&D에 계신 분들도 중요성을 인지하고 있었다는 것이 우리 회사 전체가 더 큰 시장을 목표로 하고 있다는 것을 느껴졌어요. 그리고 그 덕에(?) R&D에만 국한된 것이 아닌, 전사가 정보보호에 참여해야 하는 ISO 27001 인증의 기준 중 하나를 쉽게 달성할 수 있었거든요.
수나) 이번이 끝이 아니라 앞으로 사후 심사나 갱신의 과정이 남아있습니다. 하윤님과 현호님이 말씀처럼 노타 임직원들은 정보보안에 대한 인식이 높아서 큰 어려움이 없을 것으로 생각해요. 이제 큰 산을 넘었으니 노타가 가진 기술이 글로벌하게 확산할 수 있도록 돕기 위해서 또 다른 준비를 시작할 텐데, 임직원분들이 적극적으로 동참해 주실 것이라 믿습니다.
.
.
인터뷰를 시작하던 시기, 하윤님에게 “정보보호가 왜 중요한지 아시나요?”라는 질문을 받았을 때 순간 멈칫했었습니다. 중요한 것은 알고 있지만 막상 설명하려니 어디서부터 해야 할지 말문이 막혔답니다. 세 분과의 인터뷰를 통해서 저 또한 머리로는 알고 있지만 똑 부러지게 설명하기 어려운 부분들을 많이 알게 되었고, 회사라는 조직 내에서, 비즈니스를 위해서 철저하게 관리되어야 할 필수적인 부분이라는 것도 알게 되었죠.

이제는 여느 웹사이트 하단마다 표시되어 있는 Privacy Policy가 무엇을 위한 것인지, 노타 홈페이지 바닥글에 붙어있는 LRQA 기관에서 인증한 ISO27001 인증 딱지(?)가 어떻게 만들어졌는지, 단 한 장의 인증서를 위해 얼마나 많은 시간이 투자되었는지 알 수 있었고, 이를 통해 노타크루가 실질적으로 느끼게 될 업무의 간편함까지 간접경험 해볼 수 있었습니다.
저에겐 낯설었던 전문용어와 지식을 여러 단계로 풀어주신 현호, 하윤, 수나님께 다시 한번 감사드립니다.
