ISMS-P 인증 획득까지, 보안 관련 실무자는 어떤 일을 했을까?

ISMS-P 인증 획득까지, 보안 관련 실무자는 어떤 일을 했을까?

오픈서베이가 23년 7월 5일 드디어 ISMS-P 인증을 획득했습니다. 이는 인증기관의 높은 기준에 맞게 정보보호, 개인정보보호를 위한 관리체계를 구축했음을 철저히 검증받은 것인데요. 오픈서베이는 리서치와 함께 경험관리 비즈니스를 시작하고 고객의 데이터를 쌓아 가는 상황에서, 가장 중요한 보안 환경을 강화해 신뢰를 높이고 플랫폼 안정성을 확보하기 위해 업계 최초로 ISMS-P 인증을 받게 되었다고 합니다 .

이번 콘텐츠에서는 데이터를 다루는 회사의 보안 환경과 이를 구축하기까지의 이야기를 담았습니다. ISMS-P 인증을 준비한 각 영역의 보안 담당자인 오픈서베이 보안 수비대는 어떤 일을 했는지, 인터뷰를 통해 자세히 살펴보시기 바랍니다.

안녕하세요, 오픈서베이 보안 수비대 여러분!

마이클: 안녕하세요, DevOps(데브옵스) 엔지니어 마이클입니다. 보안 수비대라고 불러주시니 재미있네요(웃음). 저는 개발 인프라 전반을 관리하며 개선하는 일을 맡고 있습니다. 최근 오픈서베이가 획득한 정보보호 및 개인정보보호 관리체계 인증인 ISMS-P 인증 업무를 리드했어요.

엘리: 반갑습니다. 제품그룹의 PgM(Program Manager) 엘리입니다. 저는 ISMS-P 인증 준비 과정에서 내부 구성원의 불편을 덜 수 있도록 조율하는 역할을 했어요.

루비: 안녕하세요, 제품그룹의 PgM인 루비입니다. 저는 회사 전반의 현황을 파악하고 정보를 전달해 엔지니어, 컨설팅 팀이 무사히 인증 과정을 진행할 수 있도록 도왔어요.

유니: 안녕하세요. 마케팅그룹에서 커뮤니케이션을 담당합니다. 저는 내부 구성원인 오니언과 오픈서베이 사용자가 변화를 잘 이해할 수 있도록 관련 소식을 전하는 커뮤니케이션 업무를 맡았어요.

최근 ISMS-P 인증 획득이라는 좋은 소식이 있었어요.

마이클: 네, 오픈서베이는 올해 7월 5일 정보보호 및 개인정보보호 관리체계 인증인 ISMS-P 인증을 획득했습니다. ISMS-P는 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도입니다.

사실 작년 연말쯤 ‘ISMS-P 인증 준비합니다!’라고 전사적으로 알렸는데, 실제로 관련 업무를 시작한 건 작년 9월 무렵이었어요. 그때부터 컨설팅 업체를 찾고 타임라인을 짜기 시작했거든요. 그러니 획득까지 약 10개월이 걸린 셈이죠.

기간만 봐도 쉽지 않은 일 같네요. 오픈서베이는 어떤 배경에서 이 인증을 획득하려고 계획하게 된 건가요?

엘리: 서비스가 일정 규모가 되면 정보통신망법에 따라서 정보보호 관리체계 인증인 ISMS 의무 대상이 돼요. 매출, 트래픽, 직원수 등 한국인터넷진흥원(이하 KISA)이 정해둔 기준이 있고, 오픈서베이가 잘 성장한 덕분에 그 기준을 넘게 되어 의무 대상이 된 거죠. 이때 의무 대상자는 ISMS, ISMS-P 인증 중 선택해서 취득하면 됩니다.

마이클: 처음에 두 인증 중 어떤 것을 준비할 지 고민하며 저희가 다루는 데이터를 더 들여다 봤어요. 오픈서베이는 생년월일, 거주지, 연락처 등 프로필 정보는 물론이고 패널, 사용자 리서치를 위해 소비재, IT서비스, 식음료, 금융 등 광범위한 산업에 대한 경험이나 의견을 데이터로 수집합니다. 데이터 퀄리티를 위해 정보 업데이트 주기도 짧아요. 특히 각 데이터를 결합하면 개인을 식별할 수 있는 정보가 되기 때문에 개인정보를 잘 처리하는 것이 어떤 회사보다도 정말 중요합니다.

정보보호의 조치와 활동에 한하는 ISMS 인증 기준에 더해서, 개인정보보호라는 더 넓은 범위까지 고려하는 것이 오픈서베이에게는 선택이 아닌 필수라는 데에 뜻이 모아졌어요. 더 어려운 과정을 경험할 거라고 다들 각오하며, 개인정보 수집·보유·이용·제공·파기 등 개인정보보호를 위한 조치와 활동까지 인증받는 ISMS-P 획득을 준비하게 되었어요. 오픈서베이는 고객의 데이터를 다루기 때문에 그간 데이터 보안에 힘써오긴 했지만, ISMS-P 인증을 받는 건 모든 방면에서 훨씬 높은 수준의 기준을 맞춰야 해서 이 결정 이후에는 훨씬 많은 리소스를 투입하기 시작했습니다.

루비: 오픈서베이가 데이터를 다루는 회사고, 또 경험관리 프로덕트의 출시로 기업 고객의 데이터가 오픈서베이에 쌓이기 때문에 보안에 대한 고객의 기대도 점점 올라가는 상황이에요. 큰 기업들은 보안에 대한 관심이 특히 더 높잖아요. 그래서 보안에 대해 얘기할 때 인증 여부를 확인하는 경우도 있고요. 고객 니즈를 생각해도 오픈서베이가 정보보호, 개인정보보호에 더 주의를 기울여야 할 시점이었어요. 오픈서베이가 보안 측면에서 확실히 믿을 수 있는 회사가 되면 비즈니스 기회도 더 많아질 수 있으니까요. 이런 이유로 준비하게 된 건데, ISMS-P 인증을 획득한 현재 상황에 사업 그룹과 얘기해보면 고객 신뢰가 높아진 것을 체감할 수 있다고 하더라고요.

ISMS-P 인증을 받기 위해 일은 어떤 순서로 진행됐나요?

마이클: 일단 현황을 파악하는 것이 우선이에요. 우리 회사는 어떤 서비스를 제공하고 어떤 인프라 위에서 프로덕트를 운영하는지, 어떤 개인정보를 취급하는지, 그리고 어떤 팀이 이 정보를 다루는지 등을 알아야 하죠. 취약점까지 파악하고 나면 인증기준에 맞게 해야 할 조치는 무엇인지 정리를 하고 계획서를 쓰게 됩니다. 이 계획서에 따라 하나하나 수행하는 거예요. 말로 하니 간단한 느낌이네요 (웃음).

인증을 준비하면서 오픈서베이에 새롭게 도입된 것들이 많습니다. 정보보호시스템도 갖췄고 중요한 데이터에 불법 접근이나 유출을 차단하기 위해 망 분리 시스템도 구축했어요. 새로운 서비스를 기준에 맞게 만드는 게 아니라, 잘 운영되고 있는 서비스를 보완해야 하는 거니까 다양한 옵션 중에 최선의 방향을 찾아내야 했어요. 매 선택이 내외부적으로 큰 영향을 줄 수 있어서 고민의 고민을 거듭했던 순간이 많았습니다.

ISMS-P 인증은 기준이 높고 획득까지 절차가 꽤 까다롭다고 알려져 있어요. 준비 과정에서 어려웠던 점도 많았을 것 같아요.

엘리: 방금 마이클이 보안 취약점을 파악하면 이걸 보완하는 계획을 세운다고 말씀하셨잖아요. 그런데 이 개선 방법에서 정해진 답이 없어요. 정보를 보호하기 위해 어떤 것을 지켜야 한다는 기준은 있지만 이걸 프로덕트에서 어떻게 구현해야한다라는 방법론까지 정해져 있진 않은 거죠. 정보는 기준대로 보호하되 사용자 불편함을 최소화하는 방식을 찾고, 나아가 서비스의 장기적인 측면까지 고려해야 하는데, 회사도 저도 이 모든 게 처음이라서 시행착오가 많았어요. 특히 오픈서베이는 일반 회사보다 더 많은 데이터를 다루기 때문에 더 어려웠어요. 인증 컨설팅 업체와 논의했을 때 많은 회사들이 쓰는 방식을 우리가 그대로 도입하는 것은 불가능했어요. 데이터가 너무 많기 때문에 그 방식으론 처리가 불가능하거나 업무 효율이 안 나오더라고요.

프로덕트를 개발하고 운영하는 측면에서도 효율적이어야 하고, 프로덕트를 사용하는 내외부 사용자의 업무 효율도 중요했어요.. 이 중간을 찾기 위해 조율하고 가장 좋은 방식을 고민하는 일이 참 어려웠어요.

마이클: 커뮤니케이션이 가장 어려웠습니다. ISMS-P 인증을 위한 준비는 저 혼자 하는 일이 아니라 전사 모두가 함께 하는 일이에요. 기술적 조치는 일부 엔지니어의 일이지만 그밖의 일들은 구성원이 빠짐없이 같이 해주셔야 하니까요. 처음엔 혼자서 부서별 커뮤니케이션을 진행했는데 저는 엔지니어고 아무래도 제 주관에 의해 메시지를 전달하다 보니 사업 부서에게 의도와는 다른 메세지가 나가거나 실제로 필요한 일들이 잘 전달되지 않는 경우도 있었던 것 같아요. 에너지도 시간도 더 많이 들어갔는데 중반부터는 PgM과 커뮤니케이션 팀과 협업하게 되어 훨씬 더 매끄럽게 일이 진행되었던 것 같습니다.

ISMS-P 업무를 잘 진행시키기 위해 가장 신경쓰신 점도 궁금해요.

루비: 저는 원래 사업그룹에서 일했고 올해 3월부터 PgM 업무를 맡았어요. 엘리나 마이클이 전달해 주신 내용을 적용해야 했던 사업그룹 입장일 때는 변화들을 마냥 반길 수는 없었어요. 예를 들면 고객에 데이터를 공유할 때도 승인 절차가 추가되니까 시간이 더 걸리게 되더라고요. 데이터를 잘 보호하고 보안 시스템을 잘 구축하는 데 꼭 필요한 일이니 이해는 되지만 불편한 건 사실이었어요. 이렇게 제가 직접 경험해봤기 때문에 ISMS-P 인증 관련 업무를 맡으면서 커뮤니케이션에 고민을 정말 많이 했어요. 정보보호를 하기 위해 꼭 이 방법밖에 없을지, 결함을 보완하면서도 사용자가 조금이나마 편하게 느낄 다른 방법을 찾고 싶었거든요. 그래서 나름 고군분투하며 많은 분들과 논의하고 의견을 들으려고 노력했어요.

유니: 정보보호의 기준은 정해져 있고 저희 타임라인상의 데드라인도 어느정도 정해두었는데요. 준비 중후반부에는 프로덕트를 개발하는 제품/개발그룹도 긴 기간 이어지는 업무에 약간 지쳐있었고, 변화를 겪는 사업그룹도 피로도가 높다는 게 느껴졌어요. 그래서 커뮤니케이션에도 그에 대한 배려가 필요했어요. 같은 내용을 어떻게 눈에 잘 띄게 전달할 수 있을지, 어떤 타이밍에 내보내야 할지, 두세 번 묻지 않고도 이해할 수 있도록 어떻게 메시지를 정리할지 등을 고민했던 것 같아요.

혹시 프로덕트에서 외부 사용자도 느낄만한 변화도 있을까요?

유니: 대부분 보이지 않는 시스템에서의 변화가 많아서 외부 사용자가 느낄 수 있는 건 극히 일부이긴 합니다. 그런데 그중 오픈서베이에 로그인할 때 2차 문자 인증을 받게 된 건 아마 다들 느끼셨을 변화 같아요. 조금의 불편은 생겼지만, 이 단계 덕분에 튼튼한 문이 생겼고 데이터를 잘 보호하고 관리하는 데에 아주 중요한 역할을 하고 있어요.

엘리: 설문에 따라 응답자 개인정보를 수집하는 경우도 있어요. 설문을 설계하는 순간부터 자연스럽게 개인정보를 잘 관리하도록 프로덕트를 업데이트했습니다. 예를 들어 휴대전화번호를 수집하는 문항을 추가할 경우, 텍스트를 인식해 자동으로 개인정보 문항 여부를 확인하는 팝업이 떠요. 그리고 응답 옵션을 전화번호로 선택하면 개인정보 수집문항으로 자동 설정되죠. 개인정보 데이터는 일반 응답 데이터와 별도 분리하고 암호화해 관리하고 일정 기간 이후에는 파기합니다. 개인정보를 수집하는 담당자들의 처리 부담감이 줄어들었죠.

개인정보나 민감정보를 보호하도록 강력한 보안 시스템이 구축됐군요. 꼭 필요하고 당연한 변화이지만, 오니언들에겐 업무에 불편함도 생겼을텐데 내부 분위기는 어땠나요?

엘리: 같은 회사지만 각자 맡은 일이 다르니까 관점도 다를 수 있어요. 이걸 조율하는 게 힘들긴 했지만, 오히려 서로의 간극을 좁힐 수 있었던 것 같아요. 제품개발그룹에서는 사업그룹의 일을 더 이해하게 되고 사업그룹에서는 우리의 보안 시스템이 현재 형태로 만들어진 과정을 좀 더 이해하게 된 것 같아요. 특히 팀 리드분들이 팀원들에게 적극적으로 전달해 주시고 필요한 이유를 잘 설명해주신 것이 큰 도움이 되었습니다.

마이클: 보안과 사용 편의성 간의 딜레마는 과거부터 제기되곤 합니다. 이번 ISMS-P 준비 과정에서도 오니언들은 불편함을 경험하셨을 거예요 (웃음). 사실 제가 경험했거나 들어본 회사의 경우 본인 업무가 아니라고 생각해서 참여 자체를 안 하는 경우가 많아요. 그런데 오니언들에게 어떤 조치를 해달라고 말씀드리면 바로 행동으로 옮겨서 적용해 보고 의견을 빠르게 나눠주시는 편입니다. 불편이나 개선점은 듣고 다른 방안을 더 고민해볼 수도 있으니까 큰 도움이 됐어요. 미흡한 부분도 많았을 텐데 잘 참여해 주시고 의견도 잘 나눠주셔서 감사한 마음이 큽니다.

약 10개월이라는 긴 기간이라 특별히 기억에 남는 일도 있을 것 같아요.

엘리: 저는 작년 연말 통합 회원 업데이트를 배포한 날이 기억에 남아요. 내부 사용자뿐 아니라 외부 사용자까지, 업데이트 영향 범위가 오픈서베이 모든 사용자였던 큰 규모 업데이트였거든요. 회사의 향후 방향성을 고려해 회원을 통합하자고 결정했고 당시엔 참 힘들기도 했는데, 반년 정도 지나고 보니 꼭 필요한 고생이었고 잘 해냈다는 생각이 들어요.

유니: 저는 내부에 정보유출방지솔루션을 처음 적용했을 때요. 내부적으로도 엄청나게 큰 변화인데 그 시스템 자체 버그도 많아서 엔지니어인 마이클도 PgM인 엘리, 루비도 많이 고생하신 걸로 알고 있어요. 업무 환경이 갑작스레 바뀐 오니언들의 불편도 컸고요. 보안을 위해 모두가 꼭 감수해야만 불편함이 생긴다면, 그 필요성에 대한 공감대와 상황 이해를 잘 만들어가야겠다고 생각하게 된 일이에요. 이때부터 내부 사용자 커뮤니케이션에도 리소스를 투입하고 메시지와 전달 방식을 많이 고민하게 된 것 같아요.

루비: 초반에 개인정보 수집 방식을 고민하던 일들이 기억에 남습니다. 아까 말씀드린 것처럼 현재는 개인정보를 체크 박스 설정으로 구분하고 처리하는데, 이렇게 결정하기까지 다양한 방법을 고민했어요. 그 과정에서 저는 사업그룹에서 일했던 경험이 있으니 개발자 미팅에서는 내부 사용자로서의 어려움을 어필하고, 사업그룹과 미팅할 때는 개발그룹 입장에서의 어려움을 전했거든요. 다양한 일을 경험한 덕분에 두 그룹의 니즈를 모두 이해할 수 있었지만, 그 과정에서 애쓰던 게 꽤 힘들기도 해서 기억에 남는 것 같아요.

마이클: 저는 인증서가 회사에 도착한 날이라고 말씀드리고 싶습니다. ISMS-P 준비 경험이 과거에도 있지만 최초 인증을 총괄한 건 처음이에요. 꽤 오랜 기간이 필요하고 많은 사람의 노력이 필요하다는 걸 알았지만, 역시 실제로 경험하니 쉬운 일은 아니더라구요 (웃음). 인증 공문을 받았을 때도 물론 좋았는데, 며칠 뒤에 회사로 실물 인증서가 도착하니 기분이 또 달랐습니다. 뭉클하기도 했어요. 인증서 취득까지 사내 모든 분들이 노력이 있었기에 가능했던 거라 실물로 받은 인증서의 의미가 더 크게 느껴졌습니다.

정보보호, 개인정보보호는 일회성 업무로 끝나는 게 아니라 지속적으로 보완하고 강화해야 하는 일인데요. 인증 외에도 오픈서베이는 현재 어떤 노력을 기울이고 있는지, 앞으로 어떤 계획이 있는지도 궁금합니다.

유니: 오픈서베이는 매월 둘째 주 수요일을 구성원 대상 정보보호의 날로 지정했어요. 오니언들이 각자 랩탑에서 PC 스크립트를 실행해 보안 상태를 점검하고 취약점은 가이드에 따라 보완하는 날이죠. 많은 분들이 고객 데이터를 다루기 때문에 실무자 랩탑 보안 상태가 중요하거든요. 초반에는 이런 일들이 생소하기도 하고, 또 다들 업무 일정이 바쁘니까 제가 많이 나서서 독려하기 바빴는데요. 이제는 다들 보안에 대한 공감대가 잘 형성된 것 같아요. 지난 7월 정보보호의 날에는 113명 오니언 전원이 당일 내 모두 참여해 주셨어요. 앞으로도 업무 환경 내에서 보안 문제가 생기지 않도록 정보보호의 날을 잘 운영해 갈 예정입니다.

마이클: 현재 ISMS-P 인증을 받는 데에 적합한 수준으로 내부 기준과 시스템이 세팅했으니 이 부분을 잘 지키고 있는지 꾸준히 점검해야 해요. 그리고 결함 사항은 아니지만 보완 권고를 받은 부분도 선제적으로 대응할 예정입니다.

데이터가 넘쳐나는 시대에 수많은 정보, 개인정보를 보호하기 위해서 보안 기준은 앞으로도 점점 더 높아질 거예요. 보안은 기준이 높아질수록 사용자 입장에서 더 불편해지는 부분도 생기기 마련이죠. 오픈서베이는 사용자에게 최대한 좋은 경험을 주면서도 데이터 보안은 더 강화되도록 앞으로도 많이 고민하고 노력할 예정입니다. 앞으로도 많은 관심 가져주시면 감사하겠습니다!

철저한 데이터 보안 환경을 구축하고 있는
오픈서베이에서 함께 일하고 싶다면
지금 바로 입사 지원 해보세요!