스타트업이 ISMS/ISMS-P 인증을 한다는 것

안녕하세요, 스타트업 생존보안 secucon입니다.

스타트업이 ISMS/ISMS-P 인증을 한다는 것

매년 3,4월 경이면 KISA(한국인터넷진흥원)에서 ISMS 인증을 받아야 하는 의무대상자 기업/기관에게 공문을 발송합니다. 한참 성장을 목표로 조직 전체가 매달리고 있는 스타트업에서 이 공문은 많은 고민에 빠지게 됩니다.

한정된 리소스와 불확실한 조건 속에 있는 스타트업이 이 업무를 위해 전담인력을 셋업한다는 것은 생각보다 어려운 결정이니까요. 심지어 하나의 팀이 아닌 단 한 명의 인력을 채용하는 것까지도. 그리고 이 인증을 위해 어느정도의 예산이 투입될지도 가늠하기 어렵습니다.

그럼 일단 뭐라도 해야겠으니 인력적인 측면에서 누군가가 겸직하거나 아니면 어쩔 수 없이 채용을 시작합니다.

그런데 왜 ISMS 인증을 받으라고 할까요?

고속 성장을 목표로 하는 스타트업은 대개 정보통신망 기반 서비스를 제공합니다. 이는 온라인 플랫폼, 애플리케이션, 혹은 클라우드 환경을 기반으로 운영되며, 이러한 비즈니스 모델의 핵심은 이용자(고객)로부터 수집 받거나 그로부터 만들어진 데이터입니다.

초기에는 작고 간단한 문제를 해결하며 출발하지만, 이용자의 니즈를 정확히 충족시킬 경우 스타트업은 예상보다 빠르게 성장하게 됩니다. 매출 규모가 증가하고, 비즈니스 규모가 확장되면 그에 비례해 수 많은 위협에 노출되어 위험이 증가합니다.그리고 그게 침해사고나 개인정보의 유출사고로 이어진다면 돌이킬 수 없는 더 많은 보안사고로 연결됩니다.

국가에서도 이점을 주목하기 때문에 일정 조건에 부합한다면 ISMS 인증을 받도록 의무화하는 것이죠. 꼭 IT분야가 아니더라도 여러 산업에서 다양한 인증이 존재하는 이유가 이와 비슷할 겁니다.

ISMS 인증만 받으면 사고예방을 보증해 주는 걸까요?

인증의 취지와 기업이 기대하는 것 사이의 Gap이 하나 있는데 바로 ISMS 인증을 받는다 하더라도 보안사고는 발생할 수 있습니다.

어디까지나 ISMS 인증은 다양한 영역 (자산, 조직, 사람, 물리적 환경 등)에서의 보안수준을 최소한의 통제장치 마련을 통해 일정하면서도 지속적으로 개선시키는 데 그 취지가 있기 때문이죠. 그리고 그 과정을 통해 기업이 위험을 식별하고 통제 가능한 수준으로 완화시켜 관리할 수 있도록 핵심적인 역할을 합니다.

그런 맥락에서 ISMS 인증은 지속적인 제도 정비를 통해 위험이 높다고 판단되는 산업을 대상으로 의무화를 확대하고 있습니다. (e.g 가상자산거래소, MVNO(알뜰폰) 사업자 등)

혼자서는 어렵지만, 함께라면 가능합니다.

현실적으로 겸직자나 단일 전담 인력이 혼자서 ISMS 인증을 준비하기는 매우 어렵습니다. 인증 준비는 단순히 문서를 작성하고 점검하는 것을 넘어, 조직 전체의 보안 거버넌스와 문화를 구축하는 일이기 때문입니다.

앞으로의 뉴스레터에서 다룰 이야기들

ISMS/ISMS-P 인증심사 현장에서, 그리고 인하우스에서 나름대로 정보보안과 개인정보보호 업무를 수행하면서 경험한 것을 토대로 조금이나마 고군분투하는 실무자분들과 함께 고민하고 성장하기 위해 이 뉴스레터를 시작했습니다.

변화하는 환경 속에서 필요한 정보와 인사이트를 제공하고, 제가 겪지 못한 영역과 상황이라면 함께 고민하고 방안을 모색하며 더 많은 기업들의 보안 수준을 함께 더 발전시키는 데 기여할 수 있기를 기대합니다.